云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡(luò)安全風(fēng)險控制研究

施永勝 施永貴

摘要：本文分析了云計算環(huán)境下數(shù)據(jù)中心主要存在的網(wǎng)絡(luò)安全風(fēng)險，采用多種措施構(gòu)建了云計算環(huán)境下基于等級保護2.0要求的數(shù)據(jù)中心網(wǎng)絡(luò)安全保障體系，為云計算數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護能力建設(shè)提供了可以借鑒的方法。

關(guān)鍵詞：云計算;數(shù)據(jù)中心;網(wǎng)絡(luò)安全;等級保護2.0

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2019）11-0165-02

0 引言

云計算環(huán)境下數(shù)據(jù)中心提供云服務(wù)已經(jīng)成為IT服務(wù)市場的主要模式，“棱鏡門”事件爆發(fā)以來，各級黨政部門對于云計算環(huán)境下數(shù)據(jù)中心安全提升到國家關(guān)鍵基礎(chǔ)設(shè)施安全的高度，加強云計算數(shù)據(jù)中心的安全防護能力建設(shè)是當前急需解決的重要問題。云計算環(huán)境下數(shù)據(jù)中心信息安全等級保護三級網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)涉及物理安全、網(wǎng)絡(luò)安全、計算環(huán)境等多個方面，本文僅研究云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡(luò)安全風(fēng)險控制問題。

1 云計算環(huán)境下數(shù)據(jù)中心面臨主要網(wǎng)絡(luò)安全風(fēng)險

1.1 傳輸鏈路單一、保密措施缺失

數(shù)據(jù)中心傳輸系統(tǒng)的安全主要包括網(wǎng)絡(luò)架構(gòu)設(shè)計合理、信息傳輸安全和可信驗證等方面。網(wǎng)絡(luò)架構(gòu)合理與否直接影響業(yè)務(wù)承載，數(shù)據(jù)中心通信設(shè)備要求具備一定的冗余，信息傳輸安全要求傳輸鏈路具備一定的冗余，傳輸網(wǎng)絡(luò)設(shè)備支持可信驗證能力。常見主要問題有網(wǎng)絡(luò)帶寬無法滿足業(yè)務(wù)高峰時期數(shù)據(jù)交換需求;網(wǎng)絡(luò)通信設(shè)備的處理能力無法應(yīng)對高峰期的業(yè)務(wù)需求;安全區(qū)域、子網(wǎng)網(wǎng)段和VLAN劃分不合理;網(wǎng)絡(luò)通信傳輸未采用加密或者校驗碼技術(shù)保證完整性和保密性。

1.2 邊界安全管控與防護缺失

網(wǎng)絡(luò)邊界安全管控與防護主要包括網(wǎng)絡(luò)安全邊界防護、訪問控制、入侵防護及邊界安全行為審計等。

網(wǎng)絡(luò)邊界檢查是基本的網(wǎng)絡(luò)安全邊界防護措施，首先在網(wǎng)絡(luò)上部署邊界檢查設(shè)備，對通過的網(wǎng)絡(luò)流量或數(shù)據(jù)進行規(guī)則檢查，包括無線網(wǎng)絡(luò)的接入，因此不僅需要對外部非授權(quán)設(shè)備或用戶非法鏈接內(nèi)部網(wǎng)絡(luò)的行為檢查，還要檢查內(nèi)部非授權(quán)設(shè)備或用戶非法違規(guī)鏈接外部網(wǎng)絡(luò)的行為，以確保網(wǎng)絡(luò)邊界的完整性與安全性。

通過強化網(wǎng)絡(luò)安全防護措施，可以主動阻斷信息系統(tǒng)的攻擊和網(wǎng)絡(luò)層、業(yè)務(wù)層的安全防護，確保核心設(shè)備和數(shù)據(jù)免受攻擊危害，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等。同時在網(wǎng)絡(luò)安全區(qū)域邊界建立審計機制，記錄與審計分析進出網(wǎng)絡(luò)邊界的各種行為，協(xié)同主機審計、應(yīng)用審計及網(wǎng)絡(luò)審計，構(gòu)建多層次的網(wǎng)絡(luò)安全審計體系，確保網(wǎng)絡(luò)邊界安全管控與防護。

1.3 云計算環(huán)境安全保護缺失

云計算環(huán)境安全主要考慮終端主機層、應(yīng)用層的安全需求，主要包括訪問控制、身份鑒別、惡意代碼防范、入侵防范、安全審計、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、可信驗證、個人信息保護等方面。

系統(tǒng)管理部門需要對系統(tǒng)登錄分配不同權(quán)限的用戶，主機操作系統(tǒng)登錄、應(yīng)用系統(tǒng)登錄以及數(shù)據(jù)庫登陸要進行身份驗證，且用戶名和口令具有一定復(fù)雜度并定期更換，要提供兩種或兩種以上的鑒別技術(shù)對用戶身份進行鑒別，要考慮相應(yīng)的失敗處理機制，避免被網(wǎng)絡(luò)竊聽，造成對非授權(quán)資源的非法訪問及越權(quán)操作等。

漏洞、病毒、蠕蟲等惡意代碼是云計算環(huán)境下最大的安全隱患。當前云計算環(huán)境的數(shù)據(jù)中心中，往往缺少入侵防御和病毒、惡意代碼防范等能力，無法主動發(fā)現(xiàn)現(xiàn)存系統(tǒng)的漏洞，無法主動預(yù)防病毒、蠕蟲等惡意代碼，造成網(wǎng)絡(luò)性能嚴重下降、服務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏，嚴重影響正常業(yè)務(wù)開展。。因此，必須加強入侵防御、防病毒、防范惡意代碼等安全措施，并保持特征庫更新，提高網(wǎng)絡(luò)抗病毒、防入侵和惡意代碼攻擊等防御能力。

2 云計算環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全防護措施

云計算數(shù)據(jù)中心云平臺通過對底層服務(wù)器硬件及存儲資源實現(xiàn)虛擬化聚合部署，配合云計算管理平臺，實現(xiàn)云計算中基礎(chǔ)架構(gòu)即服務(wù)（IaaS），為PaaS，SaaS服務(wù)提供了良好的基礎(chǔ)平臺，且具有很高的自適應(yīng)性和擴展空間。

云計算數(shù)據(jù)中心云平臺網(wǎng)絡(luò)設(shè)備采用雙路冗余設(shè)計;2臺核心交換機進行堆疊，即虛擬成一個邏輯的交換機，為active-active，采用4路10Gb SFP+線路來堆疊互聯(lián);每臺服務(wù)器雙上聯(lián)至接入交換機并捆綁兩網(wǎng)卡為bond并啟用LACP。按照信息安全等級保護第三級要求，云平臺采用雙路防火墻形成邊界安全冗余備份，同時部署入侵防御系統(tǒng)，對外部網(wǎng)絡(luò)入侵行為進行防御、檢測;部署VPN設(shè)備，為內(nèi)外網(wǎng)工作人員業(yè)務(wù)訪問提供VPN安全通道;web應(yīng)用防火墻為云平臺系統(tǒng)web作出防護;終端服務(wù)器上部署終端安全軟件，加強計算環(huán)境安全能力;部署堡壘機與數(shù)據(jù)庫審計系統(tǒng)，為運維人員管理及數(shù)據(jù)庫操作提供安全審計能力（如圖1）。

2.1 防火墻

防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之問信息的唯一出入口，可根據(jù)嚴格的ACL策略和連接狀態(tài)檢測進行通信合法性保護，且能實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制，可限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，并且其本身具備較強的抗攻擊能力。通過在數(shù)據(jù)中心網(wǎng)絡(luò)邊界及數(shù)據(jù)中心內(nèi)部的安全資源區(qū)部署防火墻，以監(jiān)測控制不同網(wǎng)絡(luò)之間的流量，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻均采取雙機部署方式，通過HA模式避免單點故障，滿足高可用的要求。

2.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)與防火墻互補，構(gòu)建七層防御體系。通過設(shè)置檢測與阻斷策略對流經(jīng)的每個報文進行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等），識別事件的侵入、關(guān)聯(lián)、沖擊和方向，發(fā)現(xiàn)隱藏的網(wǎng)絡(luò)攻擊，根據(jù)該攻擊的威脅級別立即采取積極抵御措施（包括向管理中心告警、丟棄該報文、切斷此次應(yīng)用會話、切斷此次TCP連接），同時向管理員通報攻擊信息，提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護。入侵防御可以監(jiān)視端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為。

2.3 VPN

VPN遠程登錄是遠程辦公環(huán)境下通用的網(wǎng)關(guān)設(shè)備。通過在網(wǎng)絡(luò)出入口設(shè)備上掛接VPN，為遠程辦公提供可靠的通信通道。移動辦公用戶終端只需標準的Web瀏覽器，無需安裝客戶端軟件，即可實現(xiàn)對內(nèi)網(wǎng)資源的安全訪問。兩個固定網(wǎng)絡(luò)間通信時，能夠在兩個網(wǎng)絡(luò)間建立IPSec安全隧道，實現(xiàn)總部與分部網(wǎng)絡(luò)安全穩(wěn)定互連。

2.4 堡壘機

數(shù)據(jù)中心存儲著各種重要信息，由于系統(tǒng)數(shù)據(jù)分散、運維人員眾多，特別是很多系統(tǒng)的維護還需要借助廠家工程師、系統(tǒng)建設(shè)集成商等多種角色的技術(shù)人員參與系統(tǒng)管理與支持。因此，加強云計算中心數(shù)據(jù)安全，監(jiān)管運維人員操作行為勢在必行。運維審計引擎邏輯上位于各設(shè)備與主機的前面，所有維護人員要訪問分散部署的設(shè)備與主機，通過網(wǎng)絡(luò)限制（防火墻策略或交換機訪問控制列表）必須先登錄到運維審計系統(tǒng)，由運維審計系統(tǒng)根據(jù)用戶的訪問權(quán)限，提供設(shè)備列表，用戶選擇要操作的設(shè)備;運維審計系統(tǒng)根據(jù)用戶在該設(shè)備上的權(quán)限，替用戶填寫設(shè)備賬號和密碼，完成后續(xù)的登陸過程;用戶可直接使用該網(wǎng)元設(shè)備，像往常一樣進行操作與維護，這樣的機制也減輕了維護人員記錄大量系統(tǒng)賬號與密碼的工作量，單點登錄，全網(wǎng)通行。

2.5 數(shù)據(jù)庫審計

通過數(shù)據(jù)庫操作審計，可實現(xiàn)對用戶登錄云平臺上的業(yè)務(wù)應(yīng)用，所有的SQL查詢動作與訪問者的用戶名信息的關(guān)聯(lián)審計，實現(xiàn)“訪問時間、訪問源、查詢動作”在事后可追溯。數(shù)據(jù)庫審計系統(tǒng)部署在服務(wù)器區(qū)交換機上，通過設(shè)置端口鏡像，將內(nèi)網(wǎng)數(shù)據(jù)庫的流量復(fù)制到“數(shù)據(jù)庫審計系統(tǒng)”，實現(xiàn)內(nèi)部數(shù)據(jù)庫的操作審計。

2.6 Web應(yīng)用防火墻

WEB安全防護專門保護Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。Web應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，主要用來保護Web應(yīng)用免遭跨站腳本和SQL注入等常見攻擊。在數(shù)據(jù)中心核心交換機部署Web應(yīng)用防火墻，通過核心交換機將Web服務(wù)器的流量策略到Web應(yīng)用防火墻上進行分析處理，保護Web服務(wù)器，解決Web服務(wù)器面臨的注入攻擊、跨站腳本攻擊、惡意編碼（網(wǎng)頁木馬）、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等各類安全問題。

2.7 終端軟件

通常部署在應(yīng)用層之上，用于主機、終端層安全防護。

3 結(jié)語

云計算環(huán)境下數(shù)據(jù)中心的安全保障系統(tǒng)涉及物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全到安全管理、安全組織、安全運維等方面。其中，網(wǎng)絡(luò)安全系統(tǒng)是一個長期系統(tǒng)化的工程，各要素之間存在相互聯(lián)系、互相依賴。隨數(shù)據(jù)中心業(yè)務(wù)不斷的加載，網(wǎng)絡(luò)安全工作需要不斷檢查、改進和優(yōu)化保障措施。本文僅研究云計算環(huán)境下數(shù)據(jù)中心主要存在的網(wǎng)絡(luò)安全風(fēng)險，系統(tǒng)提出了多種網(wǎng)絡(luò)安全保障措施，為云計算時代數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護能力建設(shè)提供了可以借鑒的思路。

參考文獻

[1] 謝盈.云計算數(shù)據(jù)中心安全防護技術(shù)研究[J].西南民族大學(xué)學(xué)報（自然科學(xué)版），2018，11：616-620.

[2] 蒲在毅，羅宇.云計算數(shù)據(jù)中心安全問題及防護策略簡析[J].電子世界，2018，12（48）：90-92.

[3] 賈艷梅.云計算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡(luò)安全問題分析及防護[J].信息與電腦，2018（21）：194-195.

[4] 冒海波.云環(huán)境下數(shù)據(jù)安全防護體系的研究與應(yīng)用[D].江蘇科技大學(xué)，2017.