云計算環境下數據中心的網絡安全風險控制研究

施永勝 施永貴

摘要：本文分析了云計算環境下數據中心主要存在的網絡安全風險，采用多種措施構建了云計算環境下基于等級保護2.0要求的數據中心網絡安全保障體系，為云計算數據中心的網絡安全防護能力建設提供了可以借鑒的方法。

關鍵詞：云計算;數據中心;網絡安全;等級保護2.0

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2019）11-0165-02

0 引言

云計算環境下數據中心提供云服務已經成為IT服務市場的主要模式，“棱鏡門”事件爆發以來，各級黨政部門對于云計算環境下數據中心安全提升到國家關鍵基礎設施安全的高度，加強云計算數據中心的安全防護能力建設是當前急需解決的重要問題。云計算環境下數據中心信息安全等級保護三級網絡安全保障系統建設涉及物理安全、網絡安全、計算環境等多個方面，本文僅研究云計算環境下數據中心的網絡安全風險控制問題。

1 云計算環境下數據中心面臨主要網絡安全風險

1.1 傳輸鏈路單一、保密措施缺失

數據中心傳輸系統的安全主要包括網絡架構設計合理、信息傳輸安全和可信驗證等方面。網絡架構合理與否直接影響業務承載，數據中心通信設備要求具備一定的冗余，信息傳輸安全要求傳輸鏈路具備一定的冗余，傳輸網絡設備支持可信驗證能力。常見主要問題有網絡帶寬無法滿足業務高峰時期數據交換需求;網絡通信設備的處理能力無法應對高峰期的業務需求;安全區域、子網網段和VLAN劃分不合理;網絡通信傳輸未采用加密或者校驗碼技術保證完整性和保密性。

1.2 邊界安全管控與防護缺失

網絡邊界安全管控與防護主要包括網絡安全邊界防護、訪問控制、入侵防護及邊界安全行為審計等。

網絡邊界檢查是基本的網絡安全邊界防護措施，首先在網絡上部署邊界檢查設備，對通過的網絡流量或數據進行規則檢查，包括無線網絡的接入，因此不僅需要對外部非授權設備或用戶非法鏈接內部網絡的行為檢查，還要檢查內部非授權設備或用戶非法違規鏈接外部網絡的行為，以確保網絡邊界的完整性與安全性。

通過強化網絡安全防護措施，可以主動阻斷信息系統的攻擊和網絡層、業務層的安全防護，確保核心設備和數據免受攻擊危害，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等。同時在網絡安全區域邊界建立審計機制，記錄與審計分析進出網絡邊界的各種行為，協同主機審計、應用審計及網絡審計，構建多層次的網絡安全審計體系，確保網絡邊界安全管控與防護。

1.3 云計算環境安全保護缺失

云計算環境安全主要考慮終端主機層、應用層的安全需求，主要包括訪問控制、身份鑒別、惡意代碼防范、入侵防范、安全審計、數據完整性與保密性、備份與恢復、可信驗證、個人信息保護等方面。

系統管理部門需要對系統登錄分配不同權限的用戶，主機操作系統登錄、應用系統登錄以及數據庫登陸要進行身份驗證，且用戶名和口令具有一定復雜度并定期更換，要提供兩種或兩種以上的鑒別技術對用戶身份進行鑒別，要考慮相應的失敗處理機制，避免被網絡竊聽，造成對非授權資源的非法訪問及越權操作等。

漏洞、病毒、蠕蟲等惡意代碼是云計算環境下最大的安全隱患。當前云計算環境的數據中心中，往往缺少入侵防御和病毒、惡意代碼防范等能力，無法主動發現現存系統的漏洞，無法主動預防病毒、蠕蟲等惡意代碼，造成網絡性能嚴重下降、服務器崩潰甚至網絡通信中斷，信息損壞或泄漏，嚴重影響正常業務開展。。因此，必須加強入侵防御、防病毒、防范惡意代碼等安全措施，并保持特征庫更新，提高網絡抗病毒、防入侵和惡意代碼攻擊等防御能力。

2 云計算環境下數據中心網絡安全防護措施

云計算數據中心云平臺通過對底層服務器硬件及存儲資源實現虛擬化聚合部署，配合云計算管理平臺，實現云計算中基礎架構即服務（IaaS），為PaaS，SaaS服務提供了良好的基礎平臺，且具有很高的自適應性和擴展空間。

云計算數據中心云平臺網絡設備采用雙路冗余設計;2臺核心交換機進行堆疊，即虛擬成一個邏輯的交換機，為active-active，采用4路10Gb SFP+線路來堆疊互聯;每臺服務器雙上聯至接入交換機并捆綁兩網卡為bond并啟用LACP。按照信息安全等級保護第三級要求，云平臺采用雙路防火墻形成邊界安全冗余備份，同時部署入侵防御系統，對外部網絡入侵行為進行防御、檢測;部署VPN設備，為內外網工作人員業務訪問提供VPN安全通道;web應用防火墻為云平臺系統web作出防護;終端服務器上部署終端安全軟件，加強計算環境安全能力;部署堡壘機與數據庫審計系統，為運維人員管理及數據庫操作提供安全審計能力（如圖1）。

2.1 防火墻

防火墻作為不同網絡或網絡安全域之問信息的唯一出入口，可根據嚴格的ACL策略和連接狀態檢測進行通信合法性保護，且能實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制，可限制網絡最大流量數及網絡連接數，并且其本身具備較強的抗攻擊能力。通過在數據中心網絡邊界及數據中心內部的安全資源區部署防火墻，以監測控制不同網絡之間的流量，保證內部網絡的安全。防火墻均采取雙機部署方式，通過HA模式避免單點故障，滿足高可用的要求。

2.2 入侵防御系統

入侵防御系統與防火墻互補，構建七層防御體系。通過設置檢測與阻斷策略對流經的每個報文進行深度檢測（協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等），識別事件的侵入、關聯、沖擊和方向，發現隱藏的網絡攻擊，根據該攻擊的威脅級別立即采取積極抵御措施（包括向管理中心告警、丟棄該報文、切斷此次應用會話、切斷此次TCP連接），同時向管理員通報攻擊信息，提供對網絡系統內部IT資源的安全保護。入侵防御可以監視端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等攻擊行為。

2.3 VPN

VPN遠程登錄是遠程辦公環境下通用的網關設備。通過在網絡出入口設備上掛接VPN，為遠程辦公提供可靠的通信通道。移動辦公用戶終端只需標準的Web瀏覽器，無需安裝客戶端軟件，即可實現對內網資源的安全訪問。兩個固定網絡間通信時，能夠在兩個網絡間建立IPSec安全隧道，實現總部與分部網絡安全穩定互連。

2.4 堡壘機

數據中心存儲著各種重要信息，由于系統數據分散、運維人員眾多，特別是很多系統的維護還需要借助廠家工程師、系統建設集成商等多種角色的技術人員參與系統管理與支持。因此，加強云計算中心數據安全，監管運維人員操作行為勢在必行。運維審計引擎邏輯上位于各設備與主機的前面，所有維護人員要訪問分散部署的設備與主機，通過網絡限制（防火墻策略或交換機訪問控制列表）必須先登錄到運維審計系統，由運維審計系統根據用戶的訪問權限，提供設備列表，用戶選擇要操作的設備;運維審計系統根據用戶在該設備上的權限，替用戶填寫設備賬號和密碼，完成后續的登陸過程;用戶可直接使用該網元設備，像往常一樣進行操作與維護，這樣的機制也減輕了維護人員記錄大量系統賬號與密碼的工作量，單點登錄，全網通行。

2.5 數據庫審計

通過數據庫操作審計，可實現對用戶登錄云平臺上的業務應用，所有的SQL查詢動作與訪問者的用戶名信息的關聯審計，實現“訪問時間、訪問源、查詢動作”在事后可追溯。數據庫審計系統部署在服務器區交換機上，通過設置端口鏡像，將內網數據庫的流量復制到“數據庫審計系統”，實現內部數據庫的操作審計。

2.6 Web應用防火墻

WEB安全防護專門保護Web應用通信流和所有相關的應用資源免受利用Web協議或應用程序漏洞發動的攻擊。Web應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊，主要用來保護Web應用免遭跨站腳本和SQL注入等常見攻擊。在數據中心核心交換機部署Web應用防火墻，通過核心交換機將Web服務器的流量策略到Web應用防火墻上進行分析處理，保護Web服務器，解決Web服務器面臨的注入攻擊、跨站腳本攻擊、惡意編碼（網頁木馬）、緩沖區溢出、信息泄露、應用層DOS/DDOS攻擊等各類安全問題。

2.7 終端軟件

通常部署在應用層之上，用于主機、終端層安全防護。

3 結語

云計算環境下數據中心的安全保障系統涉及物理安全、網絡安全、系統安全、應用安全、數據安全到安全管理、安全組織、安全運維等方面。其中，網絡安全系統是一個長期系統化的工程，各要素之間存在相互聯系、互相依賴。隨數據中心業務不斷的加載，網絡安全工作需要不斷檢查、改進和優化保障措施。本文僅研究云計算環境下數據中心主要存在的網絡安全風險，系統提出了多種網絡安全保障措施，為云計算時代數據中心的網絡安全防護能力建設提供了可以借鑒的思路。

參考文獻

[1] 謝盈.云計算數據中心安全防護技術研究[J].西南民族大學學報（自然科學版），2018，11：616-620.

[2] 蒲在毅，羅宇.云計算數據中心安全問題及防護策略簡析[J].電子世界，2018，12（48）：90-92.

[3] 賈艷梅.云計算環境下數據中心的網絡安全問題分析及防護[J].信息與電腦，2018（21）：194-195.

[4] 冒海波.云環境下數據安全防護體系的研究與應用[D].江蘇科技大學，2017.