云計算中心面臨七大威脅合理安全設計成關鍵

中國電信集團山西分公司 | 宋利

廣東省電信規劃設計院 | 宋飛 任敏

某些特定的安全規則。

在已有云計算技術架構基礎上，云計算數據中心面臨的安全威脅日益嚴重，需要從架構安全設計和運行安全設計等方面著手解決。

近年來，隨著云計算服務的大量涌現、個人計算和企業計算大量向云服務遷移，網絡安全威脅也的發展趨勢有了很大變化，分布式拒絕服務攻擊（DDoS）、蠕蟲病毒等大規模的流量型攻擊成為了云計算中心建成后存在的潛在威脅。

云中心安全架構設計為先

作為當前業界最活躍的云計算安全專業組織——云安全聯盟CSA發表了自己的研究成果：云計算的7大威脅，獲得了廣泛的引用和認可，相關分析如表。

由于當前云計算中心基礎支撐網絡建設的共同考慮到的因素特點是業務集中、數據集中、海量數據、管理復雜、高連續性要求，因此，其基礎支撐網絡的建設會類似于傳統大型數據中心（IDC架構安全設計就是要參照傳統IDC的安全保障思路，必須要在Internet的出入口）的設計思路。我們首先要考慮的云計進行安全監控和管理，同時結合云計算數據中心面向互聯網的業務特點來建設外圍邊界安全防護措施。

1、 安全架構設計服務

針對云計算平臺運營的業務特點，云廠家需要協助客戶從企業使命、業務運營和IT支撐的角度進行安全功能需求地分析，并且融合企業合規框架與安全行業實踐，進行一體化的安全架構設計，以威脅建模、受攻擊面分析的手段，實現對威脅的全面消除。

2、 網絡異常流量分析

通過在云計算中心出口鏈路部署流量檢測系統（旁路部署Netflow流量采樣檢測模塊），實現流量統計分析、路由分析、異常流量檢測。它既可以作為流量監控分析產品對網絡流量進行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如DDoS攻擊、網絡濫用誤用、P2P流量等異常流量。

3、 抗拒絕服務攻擊

云計算中心因其業務的特殊性，在可用性方面將會受到挑戰，針對云計算服務的拒絕服務攻擊需要云計算服務提供商認真調查、采取相應的專門保護措施。其次，云計算快速彈性的特征要求服務提供商自身必須具備非常強大的網絡和服務器資源來支撐，按需自服務的特征又對業務開通和服務變更等環節提出了靈活性的要求。這兩個特征結合在一起，使得云計算中心很容易成為濫用、惡意使用服務的溫床。雙向的分布式拒絕服務攻擊（DDoS）、蠕蟲病毒等大規模的流量型攻擊成為了大型云平臺的潛在威脅。

4、 DNS域名防護

DNS系統的安全防護應該是一個系統的、全方位的解決方案。從安全事件的角度來看，應分為事前評估加固、事中實時防御、事后分析取證三個階段。從系統防護的縱深度來看，應覆蓋物理層面、系統層面、數據應用層面等多個維度。下圖即為DNS安全防護體系。

5、 網絡入侵檢測

利用入侵檢測系統的攻擊結果判定功能重點關注攻擊成功的安全事件。針對某些特定的安全規則單獨設定安全策略，針對云計算中心業務特點過濾一些低風險或者不可能成功的攻擊行為，從而減少管理員關注日志告警的工作量，也使得重要攻擊行為能夠得到重點體現。同時，可以針對業務特點自定義

某些特定的安全規則。

表 云計算應用面臨的七大威脅

安全產品虛擬化成趨勢

云計算中心的網絡安全建設該如何解決針對同一物理計算機上的虛擬機之間的通信進行細粒度訪問控制的安全管理需求呢？答案就是安全產品虛擬化。安全產品的虛擬化將勢必成為一種趨勢，來為云服務提供商和云租戶提供靈活的、可擴展的安全防護。

針對云計算中心的特點，我們可提供虛擬化安全統一管理平臺，提供集中管理，實現統一的管理監控、策略配置、報警響應、日志分析等多種管理功能。管理平臺囊括虛擬化防火墻、虛擬化IPS/IDS、虛擬化內容過濾系統、虛擬化安全審計系統、虛擬化防病毒網關以及虛擬VPN，具有多產品的系統集中監控、策略統一配置和報表綜合管理等多種功能，極大的提高了用戶的安全管理工作效率。可以快速形成整套虛擬化網絡安全解決方案，極大滿足了大型云計算中心虛擬化環境部署要求。

綜上，云計算中心的網絡建設和發展是一個長期的任務，需要隨著技術的發展和業務的更新，及時地制定設計新的安全方案，調整已有的安全策略。而計算機技術和網絡技術具有的復雜性和多樣性，使得網絡安全越來越成為一種專門的技術和服務。本文在方案設計中針對現有云計算中心的主要安全風險考慮了網絡各個部分的安全措施，同時，也建議根據云計算中心的現狀進行全面的安全評估，提出更切合的安全方案和建設規劃。