云數據中心網絡安全服務架構及防范機制構建

徐佳曦

（上海郵電設計咨詢研究院有限公司，上海 200000）

近年來，隨著網絡安全和云計算迅猛發展，我國的云安全領域市場呈現出迅猛的增長態勢。相關資料表明，近三年，我國云安全市場的提升速度在40%以上，其中2021年，云安全在市場中創造出了接近118億元的份額。到了2022年，云安全的整體份額達到了173億元以上，增長近50%。云安全市場規模之所以擴大這么快，離不開相關政策的扶持[1]。網絡安全領域前進的基礎動力就是政策合規，伴隨國際局勢的風云變幻，網絡安全成為國家安全戰略的一部分，各國分別頒布了大量與網絡安全有關的法規與政策。2021年美國出臺了《關于優化國家網絡安全的政府指令》，中國推出了《數據安全法》以及《網絡安全法》等。

1 云數據中心網絡安全服務架構面臨的風險

1.1 物理網絡安全風險

在物理網絡中，最基本的安全問題之一是面臨DDoS攻擊。DDoS攻擊在網絡運行期間對其造成嚴重威脅。特別是在云計算環境中，出于應對DDoS攻擊的考慮，云服務器往往會受到一定的限制，導致云服務器在極短的時間內會接收到大量的DDoS請求。因此，服務器因為過載而導致系統崩潰，從而干擾到正常的訪問請求。不法分子專門利用DDoS攻擊手段，對網絡設備進行監聽，或者盜取與用戶相關的核心數據，該惡意行為極大地威脅著網絡安全，并且嚴重削弱了用戶數據的保護[2]。

1.2 虛擬網絡安全風險

為了提高網絡的安全性，云計算數據中心采用了最初的網絡安全措施，并設置了防火墻。然而，在虛擬網絡環境下，僅依賴有限的數據保護措施無法確保網絡數據的安全，更談不上構建強大的網絡安全體系。在云計算條件下，用戶可以根據自身需求向服務器發送訪問請求，以獲取相關資源。此外，使用單個物理主機即可同時運行多個虛擬服務設備，提供了靈活性和效率。然而，即使在網絡環境下，仍然存在許多無法監控到的潛在威脅，因此從安全性的角度來看，信息的保護程度遠遠不夠高效和合理，使得網絡在任何時刻都面臨著遭受攻擊和侵害的風險[3]。

1.3 虛擬交換層安全風險

在數據中心采用虛擬化技術進行配置后，網絡的邊緣區域呈現出動態性的變化，對于確保網絡的安全性提出了更高的要求，因此我們不得不完全依賴網絡安全系統。此外，在網絡安全策略和流量感知性能方面也會提出更高的要求。對于數據中心而言，引入虛擬交換技術會導致全新且獨特的網絡層次的形成。正如虛擬交換層的引入，網絡管理的邊界和功能在判斷上變得更加復雜，使得網絡系統更難以感知虛擬服務器的存在[4]。虛擬區域與數據中心之間的聯系變得不可分割。該點在網絡系統中尤為重要，因為虛擬化技術的應用使得網絡管理的挑戰更加復雜，但也提供了更高的靈活性和效率。

2 云數據中心網絡安全服務架構

2.1 安全服務控制模塊

安全服務控制平臺負責作為服務平臺的外部接口，向北提供服務，進行業務編排，進行整個生命周期的管理，并負責引流下發和決策，同時也負責安全策略的下發和配置。在數據中心的核心控制平臺中，業務編排設備能夠根據用戶的實際業務需求，通過使用安全服務控制平臺的北向接口（NBI）來進行安全服務的配置。生命周期控制模塊位于控制平臺中，通過調用數據中心控制平臺的API來控制服務構件的啟動和停止。此外，安全服務能夠從數據中心收集實時信息，包括用戶資產的配置信息，例如虛擬網絡和虛擬機。管理員通過安全控制界面來管理此類安全服務。操縱平面能夠在物理機或虛擬機上運行，并支持多機部署模式，以滿足容量擴展和高可用性的要求。

2.2 安全服務功能模塊

分散式服務構件構成了安全服務平面。根據用戶的具體需求，在單臺物理機上，能夠安裝一臺或多臺安全服務構件。此類安全服務構件有兩種實現方式，一種是虛擬機，另一種是虛擬化管理軟件。如果選擇虛擬機作為服務構件，那么可以在虛擬機中集成更復雜的性能，同時利用網絡層面擴展并集成更多的服務構件，從而創建一個龐大的服務鏈。此外，虛擬機還有一個顯著的特點，即選擇虛擬機模式后，不再需要特定的虛擬化管理軟件。同一種安全服務虛擬機可以在大多數數據中心和多數虛擬化管理軟件上運行，而且無需對虛擬機進行任何修改，虛擬機不僅豐富了其運行方式，還優化了運行流程。通常情況下，大多數虛擬機在運行時都包含擴展服務和安全服務。

2.3 引流技術模塊

針對在虛擬化監控程序中運行的安全服務組件來說，能夠直接通過虛擬化監控程序實現數據引流效果。而在虛擬機中的安全組件，則必須依賴外部的引流機制，才能實現用戶虛擬機到服務組件的數據引流效果。

（1）虛擬化監控程序API：如果虛擬化監控程序提供了直接從端口到端口的引流API，選擇API將確保效率最大化。然而，API必須與虛擬化監控程序綁定在一起，才能實現直接調用。

（2）中央用戶虛擬交換機API：從用戶虛擬機到安全服務的數據引流過程可以利用中央用戶虛擬交換機的基本設置來實現，而無需特殊支持虛擬化監控程序。因此，大多數數據中心采用該方法。

（3）軟件定義網絡API：在構建虛擬網絡時，如果選擇了軟件定義網絡（SDN），則數據引流需要通過調用SDN控制設備的API來實現。對于不同類型的SDN，只需要適配API即可實現相應功能。安全策略控制組件可以根據安全策略進行相關設置，并確定數據引流需求，還可以利用調用SDN控制設備的API來實現流量引導。在充分了解了以上三種數據引流方法后，如果以適用性為主要選擇依據，只有第一種方法無法高效地滿足需求，而后兩種方法則能夠更高效地滿足安全服務的配置需求。

2.4 安全保障模塊

該模塊的構建涉及到數據中樞內的虛擬網絡和虛擬機。從邏輯上看，此類部署必須與其他用戶資源明顯區分，以確保其他用戶不會對安全服務造成干擾。選擇使用加密通道來進行安全服務虛擬機之間的通信，以確保操縱和配置的保密性。自主恢復、錯誤自檢以及高可用性部署均確保了安全服務的高效性。允許多類別的數據中樞：可以在SDN或虛擬機上運行安全服務，以確保安全服務不會與任何虛擬化管理軟件或管理平臺綁定，從而實現在多種形態的數據中心進行部署。開放接口和綜合管理：操作平面為管理員提供了一個全面控制安全服務組件的接口。

3 云數據中心網絡安全服務架構的防范策略

3.1 拓展數據中心安全系統功能

為了增強數據中心的安全性，可以采用密鑰控管模式。為了防止數據中心被違規用戶登錄、瀏覽，甚至是竊取破壞，需要對數據中心配備密鑰。此措施與計算機防火墻技術相近，就是把非法訪問的用戶完全隔離在網絡之外，阻斷其登錄請求，同時在網絡平臺訪問設定上，也要完成相關身份鑒別，確保用戶在進入數據中心后，能夠在平臺的引導下訪問那些開放授權的數據，不能讓用戶無限制地瀏覽所有數據，因為其中包括很多與用戶沒有太大關聯，但卻非常重要的信息。而且當下的網絡環境非常開放，借助這種密鑰手段，能夠實現對訪問用戶的高效控制，極大地提升數據中心的安全性。密鑰技術最核心的手段就是密鑰控制，給每個用戶都配置一把專屬的密鑰，同時密鑰要具備充足的“長度”，以此來增加攻擊者的攻破難度，進而增加數據中心的風險防范能力。

3.2 完善身份認證管理體系

要想完善該體系，就需要用到網絡申請控制技術，即網絡權限技術。基于網絡安全防御系統，維護網絡運行安全的關鍵措施就是應用申請控制技術，把沒有訪問權限的全部用戶隔離在系統之外，確保這些“黑戶”不能訪問網絡平臺。此外，除了依賴用戶權限設置外，還需要借助互聯網申請限定技術，以實現對用戶登錄的高效合理控制。該技術作為最外層的控制機制，必須確保用戶只能夠訪問規定的網絡平臺，并對其瀏覽和下載相關信息資源的時間進行規范限制。不能允許用戶在平臺內無限制滯留，而是要確保每次上網都有特定的時長限制。

3.3 強化數據安全管理，深度加密

云網絡中最容易受到攻擊的便是云計算數據。數據中心存儲了大量非常有價值的信息，為了防止信息被攻擊，就必須提升網絡安全存儲技術，具體的措施是，對數據隔離區域以及數據存儲部位等都必須進行完善的配置，以防止數據遭受毀壞。為了完成對云計算數據的高效保障，需要選擇獨立隔離的模式。這就要求云計算數據控管平臺，在保證數據資源共享的前提下，還要優化數據加密技術，進而完成對訪問對象的合理把控。除此之外，還要加強對網絡安全保護的重視，以保證系統可以順暢運作。同時還要將關鍵的數據信息進行備份，完善安全存儲措施，進而確保所有數據信息都處于完整、安全的狀態。

3.4 優化云數據中心安全架構算法

確保云計算擁有安全的核心架構，才能確保云數據系統的安全。因此在架構中，必須合理應用這些技術。第一，虛擬化技術。其作用是通過虛擬化，把物理資源轉變為若干虛擬資源，進而完成資源的利用與共享。虛擬化技術能夠增加云數據中心的可拓張性與靈活性，還能夠增加系統整體的安全性。第二，授權與安全認證技術。其作用是依靠訪問授權與身份認證來確保云數據中心的安全。通過合理應用該技術，能夠在很大程度上攔截住非法訪問的用戶。第三，審計與安全監控技術。其能夠對云數據中心進行審計與實時性的監控，進而能夠在第一時間找出并解決安全問題。

3.5 以風險控制為導向優化云端安全節點

第一，封閉用戶使用不到的端口與服務。因為服務器系統在組裝期間會運行一些沒有用的服務，這會極大地增加了系統的安全隱患，同時也占用了系統的有效資源空間。因此，對于不需要的服務器，要進行全面封閉。第二，配置防火墻。當下有非常多的以軟件或是硬件為核心的防火墻，對云端安全節點來說，裝配防火墻能夠有效提升云端安全性，合理地規避可能出現的風險。不過配置防火墻后，還要對防火墻進行設定，要結合實際的網絡環境和用戶的相關需求，選擇最適當的參數或規范，如此一來，才能使防火墻發揮出應有的功效，并且也增強了云端節點抵御風險的能力。

4 結束語

為應對云數據中心網絡安全風險，提出了一個綜合的網絡安全服務架構，包括安全服務控制模塊、安全服務功能模塊、引流技術模塊和安全保障模塊。此外，還提出了一系列防范策略，如拓展數據中心安全系統功能、完善身份認證管理體系、強化數據安全管理與深度加密、優化云數據中心安全架構算法以及以風險控制為導向優化云端安全節點等。未來，云數據中心網絡安全仍然是一個充滿挑戰但充滿潛力的領域。隨著云計算技術的不斷發展和廣泛應用，網絡攻擊威脅也在不斷演化，因此需要持續改進和升級網絡安全服務架構和防范機制，進一步提高網絡安全的自動化和智能化水平，以及深入研究新興技術如人工智能和區塊鏈在云數據中心網絡安全中的應用。■