基于云計算環(huán)境的數(shù)據(jù)中心網(wǎng)絡安全風險控制策略

摘要：為了確保云計算技術(shù)更好地應用到數(shù)據(jù)中，進一步提高數(shù)據(jù)平臺的安全性能，現(xiàn)提出一套行之有效的數(shù)據(jù)中心網(wǎng)絡安全風險控制方案。首先，針對數(shù)據(jù)中心面臨的主要網(wǎng)絡安全風險，全面地分析了基于云計算環(huán)境的數(shù)據(jù)中心網(wǎng)絡安全情況。其次，從靈活應用安全防御技術(shù)、優(yōu)化數(shù)據(jù)中心網(wǎng)絡安全設計、完善網(wǎng)絡安全虛擬化結(jié)構(gòu)、提升數(shù)據(jù)中心安全服務水平等方面入手，為實現(xiàn)對數(shù)據(jù)中心網(wǎng)絡安全風險的科學化控制提出具有建設性的建議。結(jié)果表明：本文所提出的網(wǎng)絡安全風險控制方案具有較高的可靠性和可行性，確保數(shù)據(jù)中心能夠正常、穩(wěn)定、安全的運行，完全符合實際應用需求。希望通過這次研究，為相關(guān)人員提供有效的借鑒和參考。

關(guān)鍵詞：云計算環(huán)境；數(shù)據(jù)中心；網(wǎng)絡安全；風險控制

在云計算環(huán)境下，數(shù)據(jù)中心迎來了前所未有的發(fā)展機遇，極大地提高了數(shù)據(jù)平臺的計算能力和數(shù)據(jù)信息處理能力，但是增加了數(shù)據(jù)中心的安全風險，嚴重危及了人們的人身安全和財產(chǎn)安全，為了避免以上不良現(xiàn)象的出現(xiàn)，提高數(shù)據(jù)中心網(wǎng)絡環(huán)境的安全性和可靠性，如何科學地控制數(shù)據(jù)中心網(wǎng)絡安全風險是技術(shù)人員在應用云計算技術(shù)期間必須思考和解決的問題。

一、云計算環(huán)境下數(shù)據(jù)中心面臨的主要網(wǎng)絡安全風險

（一）傳輸鏈路單一，保留措施缺失

對于數(shù)據(jù)中心而言，其網(wǎng)絡架構(gòu)設計得是否合理，直接影響了業(yè)務承載能力，數(shù)據(jù)中心通信設備通常會表現(xiàn)出一定的冗余性，其常見問題如下：網(wǎng)絡帶寬難以符合高峰數(shù)據(jù)交換相關(guān)標準和要求；網(wǎng)絡通信設備缺乏最基本的數(shù)據(jù)處理能力，難以滿足高峰期的業(yè)務處理需求；安全區(qū)域出現(xiàn)劃分不科學、不合理問題；在進行網(wǎng)絡通信傳輸期間，缺乏對數(shù)據(jù)加密和校驗安全技術(shù)的應用，導致網(wǎng)絡數(shù)據(jù)出現(xiàn)丟失、泄露等風險。

（二）邊界安全管控與防護缺失

對于網(wǎng)絡邊界而言，其安全管理與防護通常會涉及網(wǎng)絡安全邊界防護、入侵防護和訪問控制等環(huán)節(jié)。在進行網(wǎng)絡邊界檢查期間，要將邊界檢查設備部署在數(shù)據(jù)中心網(wǎng)絡上，采用規(guī)則檢查的方式，全面化地檢查網(wǎng)絡流量、網(wǎng)絡數(shù)據(jù)以及無線網(wǎng)絡的接入情況，目前，數(shù)據(jù)中心存在邊界安全管控與防護缺失現(xiàn)象，為網(wǎng)絡病毒攻擊和破壞數(shù)據(jù)中心網(wǎng)絡提供了可乘之機。

（三）云計算環(huán)境安全保護缺失

云計算環(huán)境安全主要是指在綜合考慮終端主機層、應用層等各個層次安全需求的基礎上，將訪問控制、惡意代碼防范、入侵防范等環(huán)節(jié)落實到位。現(xiàn)階段，數(shù)據(jù)中心缺乏惡意代碼防范能力，經(jīng)常面臨入侵防御保護缺失現(xiàn)象，無法及時、有效地發(fā)現(xiàn)和處理系統(tǒng)漏洞問題，導致其網(wǎng)絡性能大幅度下降，進而增加服務器崩潰風險，造成網(wǎng)絡通信出現(xiàn)大面積中斷現(xiàn)象以及重要網(wǎng)絡數(shù)據(jù)丟失、泄露風險，不利于后期正常業(yè)務的有序開展。

二、基于云計算環(huán)境的數(shù)據(jù)中心網(wǎng)絡安全分析

（一）網(wǎng)絡設備的性能要求

在服務器虛擬化部署規(guī)模的不斷增加下，數(shù)據(jù)中心網(wǎng)絡業(yè)務流呈現(xiàn)出急劇增長的趨勢，為此，我國對網(wǎng)絡設備的運行性能提出了更高的要求[1]。流量模型在實際運用中，要對縱向流量模式進行轉(zhuǎn)變，使其轉(zhuǎn)變?yōu)榛旌夏Ｊ剑瑸榱舜_保數(shù)據(jù)中心網(wǎng)絡的性能得以大幅度提高，需要將整個網(wǎng)絡設置為無收斂狀態(tài)，此時，數(shù)據(jù)中心網(wǎng)絡即便遇到了突發(fā)流量，也能表現(xiàn)出較高的承受能力。

（二）網(wǎng)絡流量控制

在虛擬機環(huán)境下，通過對物理服務器進行虛擬處理，使其被虛擬成若干臺VM，多臺VM在交換流量期間，通常需要利用服務器，對流量進行虛擬交換[2]，此外，通過利用交換機影像，可以全面地監(jiān)控虛擬機、物理服務器之外的流量，但是，多個虛擬機之間的流量不允許被監(jiān)控，此時，管理員既不能控制這部分流量，也無法看到這些流量。虛擬服務器流量圖如圖1所示。為了更好地滿足用戶需求，需要對多個不同的VM，進行劃分，使其被劃分為多個不同的安全域，便于后期訪問控制工作的有效開展。

（三）網(wǎng)絡安全策略控制

數(shù)據(jù)業(yè)務網(wǎng)通常用到了多種類型的業(yè)務系統(tǒng)，這些業(yè)務系統(tǒng)對服務器均起到了很好的保護作用，虛擬服務器之間安全策略遷移如圖2所示，從圖2中可以看出，VMware虛擬機遷移情況如下：當該虛擬機從上一臺服務器遷移到下一臺服務器時，網(wǎng)絡交換機端口策略設定會發(fā)生相應的變化，此時，如果采用人工操作方式，將會增加一定的工作量[3]。

（四）網(wǎng)絡管理和控制

在云計算環(huán)境下，如何借助數(shù)據(jù)中心網(wǎng)絡，對虛擬機進行管理和控制是當下不得不面臨的新問題。VMware虛擬機內(nèi)部主要用到了分布式交互機，為數(shù)據(jù)中心提供了網(wǎng)絡接入平臺支持，當虛擬機移動時[4]，各個端口上的策略均會出現(xiàn)相應的移動，但是，在對數(shù)據(jù)中心進行科學化、精細化管理期間，虛擬化平臺所內(nèi)置的交換機會出現(xiàn)很多問題，如網(wǎng)管人員所使用的應用平臺缺乏簡潔友好的管理界面；不同虛擬機流量在沒有使用服務器網(wǎng)卡時，很容易混合在一起；多個虛擬機流量在實際運用中，仍然要共存在同一個端口中。

三、基于云計算環(huán)境的數(shù)據(jù)中心網(wǎng)絡安全風險控制策略

（一）靈活應用安全防御技術(shù)

為了確保數(shù)據(jù)中心網(wǎng)絡安全風險降到最低，技術(shù)人員要重視對態(tài)勢感知技術(shù)和網(wǎng)絡安全威脅防御技術(shù)等安全防御技術(shù)的靈活化應用。①態(tài)勢感知技術(shù)應用。要利用態(tài)勢感知技術(shù)，加強對云數(shù)據(jù)中心系統(tǒng)的有效保護，避免其出現(xiàn)一系列的安全隱患問題，進一步提高數(shù)據(jù)中心的穩(wěn)定性和安全性[5]。態(tài)勢感知技術(shù)在實際運用中，主要結(jié)合網(wǎng)絡數(shù)據(jù)包的收集情況，對網(wǎng)絡動態(tài)化演變趨勢進行科學化分析，便于后期對數(shù)據(jù)中心網(wǎng)絡安全風險的全面化分析和判斷，該技術(shù)應用流程如圖3所示。通過將態(tài)勢感知技術(shù)與云數(shù)據(jù)中心進行充分結(jié)合，可以實現(xiàn)對網(wǎng)絡數(shù)據(jù)流的自動化監(jiān)控，判斷數(shù)據(jù)中心網(wǎng)絡內(nèi)是否出現(xiàn)異常數(shù)據(jù)包，一旦出現(xiàn)異常數(shù)據(jù)包，該技術(shù)會自動處理異常數(shù)據(jù)包，使得網(wǎng)絡安全問題出現(xiàn)的可能性降到最低，為確保網(wǎng)絡安全損害程度的科學化、有效化控制提供重要的技術(shù)支持。②網(wǎng)絡安全威脅預測技術(shù)。利用該技術(shù)處理數(shù)據(jù)中心網(wǎng)絡安全風險期間，要利用所構(gòu)建好的網(wǎng)絡風險通報機制，根據(jù)數(shù)據(jù)中心的運行需求，制定相應的預警體系[6]，確保管理人員在發(fā)現(xiàn)網(wǎng)絡病毒、網(wǎng)絡黑客惡意攻擊和竊取網(wǎng)絡數(shù)據(jù)后能夠在第一時間內(nèi)采集所需信息，便于后期數(shù)據(jù)中心安全風險處理工作的有效開展，在此基礎上，技術(shù)人員可以借助網(wǎng)絡架構(gòu)和免疫機制，將網(wǎng)絡病毒、網(wǎng)絡黑客隔離在云數(shù)據(jù)中心網(wǎng)絡外，從而實現(xiàn)對云數(shù)據(jù)中心的有效保護。

（二）優(yōu)化數(shù)據(jù)中心網(wǎng)絡安全設計

為了進一步提高云數(shù)據(jù)中心網(wǎng)絡的可靠性和安全性，技術(shù)人員要重視對數(shù)據(jù)中心網(wǎng)絡安全設計的優(yōu)化和完善，使得云數(shù)據(jù)中心表現(xiàn)出較高的網(wǎng)絡安全防御能力。首先，技術(shù)人員要結(jié)合數(shù)據(jù)中心的網(wǎng)絡布局情況，從網(wǎng)絡準入、身份驗證等環(huán)節(jié)入手，不斷地提高數(shù)據(jù)中心網(wǎng)絡區(qū)域的穩(wěn)定性和安全性，操作人員要根據(jù)數(shù)據(jù)中心網(wǎng)絡服務需求[7]，不斷地改革和創(chuàng)新傳統(tǒng)的網(wǎng)絡服務模式。其次，網(wǎng)絡病毒、網(wǎng)絡黑客、不法分子通過借助云計算環(huán)境，利用DOS攻擊方式、DDOS攻擊方式對數(shù)據(jù)中心網(wǎng)絡進行攻擊，為此，技術(shù)人員要有針對地布設相應的網(wǎng)絡安全裝置，從而及時、有效地抵抗網(wǎng)絡病毒、網(wǎng)絡黑客、不法分子的攻擊方式。最后，技術(shù)人員要利用網(wǎng)絡安全設備，加強對數(shù)據(jù)中心網(wǎng)絡內(nèi)部惡意代碼的防護，避免網(wǎng)絡病毒、網(wǎng)絡黑客、不法分子惡意攻擊和破壞數(shù)據(jù)中心。在對網(wǎng)絡安全裝置進行布設期間，要利用“SSHv2”協(xié)議，加強對安全防御終端機制的科學化構(gòu)建。同時，為了實現(xiàn)對數(shù)據(jù)中心網(wǎng)絡安全問題的科學化、有效化處理，技術(shù)人員要結(jié)合數(shù)據(jù)中心內(nèi)部網(wǎng)絡結(jié)構(gòu)，制定出一套行之有效的網(wǎng)絡安全訪問控制方案[8]，使得各個網(wǎng)絡裝置表現(xiàn)出較高的安全性和可靠性。為了確保惡意代碼處理的全面性和有效性，技術(shù)人員要將防護機制設置在數(shù)據(jù)中心網(wǎng)絡出口位置處，以達到抵御網(wǎng)絡病毒的目的，從而實現(xiàn)的數(shù)據(jù)中心網(wǎng)絡的有效化保護。

（三）完善網(wǎng)絡安全虛擬化結(jié)構(gòu)

為了確保云計算技術(shù)與數(shù)據(jù)中心進行充分結(jié)合，技術(shù)人員要重視對網(wǎng)絡安全虛擬化結(jié)構(gòu)的完善。首先，需要將安全虛擬化結(jié)構(gòu)部署到數(shù)據(jù)中心內(nèi)部，并做好對數(shù)據(jù)平面功能和云平臺功能的科學化分離，從而為用戶提供更加優(yōu)質(zhì)的服務，對于數(shù)據(jù)中心而言，其網(wǎng)絡安全虛擬化結(jié)構(gòu)主要用到了SDN技術(shù)，因此，技術(shù)人員可以利用SDN技術(shù)，向網(wǎng)絡引流層內(nèi)設置相應的虛擬機。其次，技術(shù)人員要結(jié)合分布式網(wǎng)絡安全架構(gòu)的特點，科學地部署和安裝網(wǎng)絡安全管理裝置，同時，還要向數(shù)據(jù)中心內(nèi)虛擬機系統(tǒng)中依次部署Hypervisor、

SDN控制器，從而實現(xiàn)對虛擬化網(wǎng)絡安全系統(tǒng)的搭建[9]。該系統(tǒng)主要是由SDN控制器組成，當用戶登錄和訪問該系統(tǒng)后，虛擬機和SDN控制器會自動進入到數(shù)據(jù)中心網(wǎng)絡中，此時，該系統(tǒng)會自動調(diào)用服務層、引流層，向用戶提供安全化服務體驗，并利用引流裝置，完成對安全服務控制層的搭建，便于用戶更加高效化、便捷化地采集和整理網(wǎng)絡數(shù)據(jù)。另外，技術(shù)人員要加強對多個虛擬化引流裝置的設置和應用，通過設置和應用這些裝置，可以為數(shù)據(jù)中心提供良好的業(yè)務編排服務功能，使得數(shù)據(jù)中心表現(xiàn)出較高的安全服務能力[10]，從而保證安全服務功能的實現(xiàn)效果。

（四）提升數(shù)據(jù)中心安全服務水平

在云計算環(huán)境背景下，數(shù)據(jù)中心一旦缺乏最基本的安全服務水平，勢必會為網(wǎng)絡病毒、網(wǎng)絡黑客、不法分子惡意攻擊和竊取數(shù)據(jù)中心提供可乘之機，所以，為了進一步提高數(shù)據(jù)中心的安全防御能力，技術(shù)人員要加強對“微隔離”技術(shù)的應用，加強對虛擬網(wǎng)絡設計流程的優(yōu)化，使得用戶業(yè)務安全管控能力得以大幅度提高，從而提高數(shù)據(jù)中心的安全服務水平。為了實現(xiàn)以上目標，首先，技術(shù)人員要參照所設置好的虛擬化網(wǎng)絡安全架構(gòu)，全面化檢測虛擬機的安全性能，從而進一步提高網(wǎng)絡安全服務功能實現(xiàn)效果。此外，采用網(wǎng)絡安全部署的方式，不斷地拓展和優(yōu)化安全服務模塊，并定期全面地監(jiān)測數(shù)據(jù)中心網(wǎng)絡安全性能。其次，在全面化檢測用戶行為期間，要利用安全服務板塊，結(jié)合虛擬機所實施的攻擊行為，利用微隔離技術(shù)，對虛擬機的攻擊行為進行遏制，以實現(xiàn)對安全控制點的精確化定位，并利用分布式安全架構(gòu)，對非法訪問用戶進行隔離控制，避免數(shù)據(jù)中心被不法分子惡意攻擊和竊取。

四、結(jié)束語

綜上所述，在云計算環(huán)境背景下，數(shù)據(jù)中心網(wǎng)絡經(jīng)常面臨著傳輸鏈路單一與保留措施缺失、邊界安全管控與防護缺失、云計算環(huán)境安全保護缺失等安全隱患問題，導致網(wǎng)絡安全風險防控過程變得越來越復雜，所以，技術(shù)人員要充分利用系統(tǒng)性防護理念，通過利用各種新型、先進的技術(shù)與手段，加強對網(wǎng)絡安全防御機制的構(gòu)建，同時，還要結(jié)合網(wǎng)絡安全技術(shù)的應用特點，將入侵防御系統(tǒng)等網(wǎng)絡安全軟件安全、可靠地應用到數(shù)據(jù)中心中，在第一時間內(nèi)發(fā)現(xiàn)和修復系統(tǒng)漏洞，提高數(shù)據(jù)中心的安全防范能力，使得網(wǎng)絡數(shù)據(jù)被入侵和竊取的風險降到最低，使得數(shù)據(jù)中心表現(xiàn)出較高的安全性和穩(wěn)定性，從而幫助相關(guān)企業(yè)獲得更高的經(jīng)濟效益。

作者單位：陳澤恩 惠州學院網(wǎng)絡與信息中心

參" 考" 文" 獻

[1]王汝成.云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡安全風險控制研究[J].網(wǎng)絡安全技術(shù)與應用，2021（06）：71-73.

[2]孫浩.云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡安全風險控制研究[J].科學與信息化，2021（11）：48.

[3]施永勝，施永貴.云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡安全風險控制研究[J].數(shù)字技術(shù)與應用，2019，37（11）：165-166.

[4]趙佩詠.云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡安全風險控制分析[J].It經(jīng)理世界，2021（10）：107-108.

[5]依扎提布·艾則孜.云計算環(huán)境下數(shù)據(jù)中心網(wǎng)絡安全防護措施分析[J].科學與信息化，2020（30）：46.

[6]苑順周，姚曉冬，邢羽.基于超融合技術(shù)的數(shù)據(jù)中心網(wǎng)絡安全設計[J].網(wǎng)絡安全技術(shù)與應用，2021（02）：14-17.

[7]張軼.淺談數(shù)據(jù)中心的網(wǎng)絡安全建設[J].科學與信息化，2021（21）：45-46.

[8]孫利宏.高校云計算數(shù)據(jù)中心網(wǎng)絡安全問題與防護措施研究[J].科技視界，2019（05）：231-232.

[9]修宇，陳宇.新技術(shù)下影視數(shù)據(jù)中心網(wǎng)絡安全風險研究[J].電子世界，2021（17）：94-96.

[10]陳國京.云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡安全問題分析及防護[J].網(wǎng)絡安全技術(shù)與應用，2021（06）：73-74.

陳澤恩 1976-10，男，漢族，碩士，高級實驗師，方向：計算機軟件技術(shù)，教育技術(shù)，實驗室管理。