基于云計算環境的數據中心網絡安全風險控制策略

摘要：為了確保云計算技術更好地應用到數據中，進一步提高數據平臺的安全性能，現提出一套行之有效的數據中心網絡安全風險控制方案。首先，針對數據中心面臨的主要網絡安全風險，全面地分析了基于云計算環境的數據中心網絡安全情況。其次，從靈活應用安全防御技術、優化數據中心網絡安全設計、完善網絡安全虛擬化結構、提升數據中心安全服務水平等方面入手，為實現對數據中心網絡安全風險的科學化控制提出具有建設性的建議。結果表明：本文所提出的網絡安全風險控制方案具有較高的可靠性和可行性，確保數據中心能夠正常、穩定、安全的運行，完全符合實際應用需求。希望通過這次研究，為相關人員提供有效的借鑒和參考。

關鍵詞：云計算環境；數據中心；網絡安全；風險控制

在云計算環境下，數據中心迎來了前所未有的發展機遇，極大地提高了數據平臺的計算能力和數據信息處理能力，但是增加了數據中心的安全風險，嚴重危及了人們的人身安全和財產安全，為了避免以上不良現象的出現，提高數據中心網絡環境的安全性和可靠性，如何科學地控制數據中心網絡安全風險是技術人員在應用云計算技術期間必須思考和解決的問題。

一、云計算環境下數據中心面臨的主要網絡安全風險

（一）傳輸鏈路單一，保留措施缺失

對于數據中心而言，其網絡架構設計得是否合理，直接影響了業務承載能力，數據中心通信設備通常會表現出一定的冗余性，其常見問題如下：網絡帶寬難以符合高峰數據交換相關標準和要求；網絡通信設備缺乏最基本的數據處理能力，難以滿足高峰期的業務處理需求；安全區域出現劃分不科學、不合理問題；在進行網絡通信傳輸期間，缺乏對數據加密和校驗安全技術的應用，導致網絡數據出現丟失、泄露等風險。

（二）邊界安全管控與防護缺失

對于網絡邊界而言，其安全管理與防護通常會涉及網絡安全邊界防護、入侵防護和訪問控制等環節。在進行網絡邊界檢查期間，要將邊界檢查設備部署在數據中心網絡上，采用規則檢查的方式，全面化地檢查網絡流量、網絡數據以及無線網絡的接入情況，目前，數據中心存在邊界安全管控與防護缺失現象，為網絡病毒攻擊和破壞數據中心網絡提供了可乘之機。

（三）云計算環境安全保護缺失

云計算環境安全主要是指在綜合考慮終端主機層、應用層等各個層次安全需求的基礎上，將訪問控制、惡意代碼防范、入侵防范等環節落實到位。現階段，數據中心缺乏惡意代碼防范能力，經常面臨入侵防御保護缺失現象，無法及時、有效地發現和處理系統漏洞問題，導致其網絡性能大幅度下降，進而增加服務器崩潰風險，造成網絡通信出現大面積中斷現象以及重要網絡數據丟失、泄露風險，不利于后期正常業務的有序開展。

二、基于云計算環境的數據中心網絡安全分析

（一）網絡設備的性能要求

在服務器虛擬化部署規模的不斷增加下，數據中心網絡業務流呈現出急劇增長的趨勢，為此，我國對網絡設備的運行性能提出了更高的要求[1]。流量模型在實際運用中，要對縱向流量模式進行轉變，使其轉變為混合模式，為了確保數據中心網絡的性能得以大幅度提高，需要將整個網絡設置為無收斂狀態，此時，數據中心網絡即便遇到了突發流量，也能表現出較高的承受能力。

（二）網絡流量控制

在虛擬機環境下，通過對物理服務器進行虛擬處理，使其被虛擬成若干臺VM，多臺VM在交換流量期間，通常需要利用服務器，對流量進行虛擬交換[2]，此外，通過利用交換機影像，可以全面地監控虛擬機、物理服務器之外的流量，但是，多個虛擬機之間的流量不允許被監控，此時，管理員既不能控制這部分流量，也無法看到這些流量。虛擬服務器流量圖如圖1所示。為了更好地滿足用戶需求，需要對多個不同的VM，進行劃分，使其被劃分為多個不同的安全域，便于后期訪問控制工作的有效開展。

（三）網絡安全策略控制

數據業務網通常用到了多種類型的業務系統，這些業務系統對服務器均起到了很好的保護作用，虛擬服務器之間安全策略遷移如圖2所示，從圖2中可以看出，VMware虛擬機遷移情況如下：當該虛擬機從上一臺服務器遷移到下一臺服務器時，網絡交換機端口策略設定會發生相應的變化，此時，如果采用人工操作方式，將會增加一定的工作量[3]。

（四）網絡管理和控制

在云計算環境下，如何借助數據中心網絡，對虛擬機進行管理和控制是當下不得不面臨的新問題。VMware虛擬機內部主要用到了分布式交互機，為數據中心提供了網絡接入平臺支持，當虛擬機移動時[4]，各個端口上的策略均會出現相應的移動，但是，在對數據中心進行科學化、精細化管理期間，虛擬化平臺所內置的交換機會出現很多問題，如網管人員所使用的應用平臺缺乏簡潔友好的管理界面；不同虛擬機流量在沒有使用服務器網卡時，很容易混合在一起；多個虛擬機流量在實際運用中，仍然要共存在同一個端口中。

三、基于云計算環境的數據中心網絡安全風險控制策略

（一）靈活應用安全防御技術

為了確保數據中心網絡安全風險降到最低，技術人員要重視對態勢感知技術和網絡安全威脅防御技術等安全防御技術的靈活化應用。①態勢感知技術應用。要利用態勢感知技術，加強對云數據中心系統的有效保護，避免其出現一系列的安全隱患問題，進一步提高數據中心的穩定性和安全性[5]。態勢感知技術在實際運用中，主要結合網絡數據包的收集情況，對網絡動態化演變趨勢進行科學化分析，便于后期對數據中心網絡安全風險的全面化分析和判斷，該技術應用流程如圖3所示。通過將態勢感知技術與云數據中心進行充分結合，可以實現對網絡數據流的自動化監控，判斷數據中心網絡內是否出現異常數據包，一旦出現異常數據包，該技術會自動處理異常數據包，使得網絡安全問題出現的可能性降到最低，為確保網絡安全損害程度的科學化、有效化控制提供重要的技術支持。②網絡安全威脅預測技術。利用該技術處理數據中心網絡安全風險期間，要利用所構建好的網絡風險通報機制，根據數據中心的運行需求，制定相應的預警體系[6]，確保管理人員在發現網絡病毒、網絡黑客惡意攻擊和竊取網絡數據后能夠在第一時間內采集所需信息，便于后期數據中心安全風險處理工作的有效開展，在此基礎上，技術人員可以借助網絡架構和免疫機制，將網絡病毒、網絡黑客隔離在云數據中心網絡外，從而實現對云數據中心的有效保護。

（二）優化數據中心網絡安全設計

為了進一步提高云數據中心網絡的可靠性和安全性，技術人員要重視對數據中心網絡安全設計的優化和完善，使得云數據中心表現出較高的網絡安全防御能力。首先，技術人員要結合數據中心的網絡布局情況，從網絡準入、身份驗證等環節入手，不斷地提高數據中心網絡區域的穩定性和安全性，操作人員要根據數據中心網絡服務需求[7]，不斷地改革和創新傳統的網絡服務模式。其次，網絡病毒、網絡黑客、不法分子通過借助云計算環境，利用DOS攻擊方式、DDOS攻擊方式對數據中心網絡進行攻擊，為此，技術人員要有針對地布設相應的網絡安全裝置，從而及時、有效地抵抗網絡病毒、網絡黑客、不法分子的攻擊方式。最后，技術人員要利用網絡安全設備，加強對數據中心網絡內部惡意代碼的防護，避免網絡病毒、網絡黑客、不法分子惡意攻擊和破壞數據中心。在對網絡安全裝置進行布設期間，要利用“SSHv2”協議，加強對安全防御終端機制的科學化構建。同時，為了實現對數據中心網絡安全問題的科學化、有效化處理，技術人員要結合數據中心內部網絡結構，制定出一套行之有效的網絡安全訪問控制方案[8]，使得各個網絡裝置表現出較高的安全性和可靠性。為了確保惡意代碼處理的全面性和有效性，技術人員要將防護機制設置在數據中心網絡出口位置處，以達到抵御網絡病毒的目的，從而實現的數據中心網絡的有效化保護。

（三）完善網絡安全虛擬化結構

為了確保云計算技術與數據中心進行充分結合，技術人員要重視對網絡安全虛擬化結構的完善。首先，需要將安全虛擬化結構部署到數據中心內部，并做好對數據平面功能和云平臺功能的科學化分離，從而為用戶提供更加優質的服務，對于數據中心而言，其網絡安全虛擬化結構主要用到了SDN技術，因此，技術人員可以利用SDN技術，向網絡引流層內設置相應的虛擬機。其次，技術人員要結合分布式網絡安全架構的特點，科學地部署和安裝網絡安全管理裝置，同時，還要向數據中心內虛擬機系統中依次部署Hypervisor、

SDN控制器，從而實現對虛擬化網絡安全系統的搭建[9]。該系統主要是由SDN控制器組成，當用戶登錄和訪問該系統后，虛擬機和SDN控制器會自動進入到數據中心網絡中，此時，該系統會自動調用服務層、引流層，向用戶提供安全化服務體驗，并利用引流裝置，完成對安全服務控制層的搭建，便于用戶更加高效化、便捷化地采集和整理網絡數據。另外，技術人員要加強對多個虛擬化引流裝置的設置和應用，通過設置和應用這些裝置，可以為數據中心提供良好的業務編排服務功能，使得數據中心表現出較高的安全服務能力[10]，從而保證安全服務功能的實現效果。

（四）提升數據中心安全服務水平

在云計算環境背景下，數據中心一旦缺乏最基本的安全服務水平，勢必會為網絡病毒、網絡黑客、不法分子惡意攻擊和竊取數據中心提供可乘之機，所以，為了進一步提高數據中心的安全防御能力，技術人員要加強對“微隔離”技術的應用，加強對虛擬網絡設計流程的優化，使得用戶業務安全管控能力得以大幅度提高，從而提高數據中心的安全服務水平。為了實現以上目標，首先，技術人員要參照所設置好的虛擬化網絡安全架構，全面化檢測虛擬機的安全性能，從而進一步提高網絡安全服務功能實現效果。此外，采用網絡安全部署的方式，不斷地拓展和優化安全服務模塊，并定期全面地監測數據中心網絡安全性能。其次，在全面化檢測用戶行為期間，要利用安全服務板塊，結合虛擬機所實施的攻擊行為，利用微隔離技術，對虛擬機的攻擊行為進行遏制，以實現對安全控制點的精確化定位，并利用分布式安全架構，對非法訪問用戶進行隔離控制，避免數據中心被不法分子惡意攻擊和竊取。

四、結束語

綜上所述，在云計算環境背景下，數據中心網絡經常面臨著傳輸鏈路單一與保留措施缺失、邊界安全管控與防護缺失、云計算環境安全保護缺失等安全隱患問題，導致網絡安全風險防控過程變得越來越復雜，所以，技術人員要充分利用系統性防護理念，通過利用各種新型、先進的技術與手段，加強對網絡安全防御機制的構建，同時，還要結合網絡安全技術的應用特點，將入侵防御系統等網絡安全軟件安全、可靠地應用到數據中心中，在第一時間內發現和修復系統漏洞，提高數據中心的安全防范能力，使得網絡數據被入侵和竊取的風險降到最低，使得數據中心表現出較高的安全性和穩定性，從而幫助相關企業獲得更高的經濟效益。

作者單位：陳澤恩 惠州學院網絡與信息中心

參" 考" 文" 獻

[1]王汝成.云計算環境下數據中心的網絡安全風險控制研究[J].網絡安全技術與應用，2021（06）：71-73.

[2]孫浩.云計算環境下數據中心的網絡安全風險控制研究[J].科學與信息化，2021（11）：48.

[3]施永勝，施永貴.云計算環境下數據中心的網絡安全風險控制研究[J].數字技術與應用，2019，37（11）：165-166.

[4]趙佩詠.云計算環境下數據中心的網絡安全風險控制分析[J].It經理世界，2021（10）：107-108.

[5]依扎提布·艾則孜.云計算環境下數據中心網絡安全防護措施分析[J].科學與信息化，2020（30）：46.

[6]苑順周，姚曉冬，邢羽.基于超融合技術的數據中心網絡安全設計[J].網絡安全技術與應用，2021（02）：14-17.

[7]張軼.淺談數據中心的網絡安全建設[J].科學與信息化，2021（21）：45-46.

[8]孫利宏.高校云計算數據中心網絡安全問題與防護措施研究[J].科技視界，2019（05）：231-232.

[9]修宇，陳宇.新技術下影視數據中心網絡安全風險研究[J].電子世界，2021（17）：94-96.

[10]陳國京.云計算環境下數據中心的網絡安全問題分析及防護[J].網絡安全技術與應用，2021（06）：73-74.

陳澤恩 1976-10，男，漢族，碩士，高級實驗師，方向：計算機軟件技術，教育技術，實驗室管理。