云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御探討

曹亞

摘要：近年來，云數(shù)據(jù)中心的運(yùn)行安全問題遇到了一定的挑戰(zhàn)。文章基于云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求，介紹分析了信息保障技術(shù)框架縱深防御，針對(duì)IATF縱深防御模型存在的不足，明確改進(jìn)思路，借鑒縱深防御模型提出了主動(dòng)型縱深防御模型的建設(shè)框架，并立足于網(wǎng)絡(luò)假設(shè)、網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)縱深防御架構(gòu)、網(wǎng)絡(luò)縱深防御技術(shù)架構(gòu)4個(gè)維度，制訂出網(wǎng)絡(luò)縱深防御架構(gòu)的設(shè)計(jì)方案，最后從合理性、實(shí)用性和先進(jìn)性3個(gè)方面做出總結(jié)，明確云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御具有實(shí)用價(jià)值，可以為云數(shù)據(jù)中心安全防護(hù)工作提供參考。

關(guān)鍵詞：云數(shù)據(jù)中心；網(wǎng)絡(luò)縱深防御；網(wǎng)絡(luò)安全服務(wù)；網(wǎng)絡(luò)威脅

中圖分類號(hào)：TN915文獻(xiàn)標(biāo)志碼：A

0 引言

現(xiàn)階段開展數(shù)據(jù)中心建設(shè)，最為常見的技術(shù)便是云計(jì)算，其在提高資源利用率、資源管理效率、優(yōu)化資源交付服務(wù)化體驗(yàn)等方面均具有明顯作用。在云計(jì)算基礎(chǔ)上搭建云數(shù)據(jù)中心，對(duì)于網(wǎng)絡(luò)接入、數(shù)據(jù)儲(chǔ)存等一系列服務(wù)的實(shí)現(xiàn)，不可避免地會(huì)面臨安全威脅，比如網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)滲透等。為了解決云數(shù)據(jù)中心面臨的安全威脅，近年來，行業(yè)領(lǐng)域?qū)ｉT針對(duì)網(wǎng)絡(luò)安全和虛擬化安全等提出了一些新的解決思路，如：構(gòu)建云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御架構(gòu)，采用經(jīng)典安全防御思想，最大限度地降低系統(tǒng)受到入侵、攻擊的可能性，保證網(wǎng)絡(luò)安全。

1 云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求研究

云數(shù)據(jù)中心彈性強(qiáng)，且具有敏捷性，可以滿足網(wǎng)絡(luò)安全要求。云數(shù)據(jù)中心安全服務(wù)需要在管理平臺(tái)上實(shí)現(xiàn)統(tǒng)一（見圖1）［1］。由此，云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)應(yīng)滿足如下需求。

1.1 滿足特性需求

安全服務(wù)需要在云數(shù)據(jù)中心管理平臺(tái)中實(shí)現(xiàn)統(tǒng)一，對(duì)其本身所具備的彈性、高效性以及敏捷性提出更高的要求。

（1）敏捷性方面，云數(shù)據(jù)中心中部署的安全服務(wù)需要保證靈活性，而且數(shù)據(jù)中心和各項(xiàng)業(yè)務(wù)也應(yīng)受到安全服務(wù)的管理。安全服務(wù)的啟停，不能影響云數(shù)據(jù)中心正常的業(yè)務(wù)運(yùn)轉(zhuǎn)。

（2）彈性方面，安全服務(wù)必須保證動(dòng)態(tài)調(diào)節(jié)性能，適應(yīng)業(yè)務(wù)變化的各種需求，而且動(dòng)態(tài)調(diào)節(jié)不能受到管理員限制，應(yīng)在服務(wù)規(guī)則基礎(chǔ)上展開。

（3）高效性方面，應(yīng)確保安全服務(wù)支持用戶共享，達(dá)到統(tǒng)一管理以及資源利用的目的。

1.2 滿足基礎(chǔ)需求

除上述特性需求外，云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)還包括一些基礎(chǔ)需求，需要在建設(shè)階段予以重視。

（1）業(yè)務(wù)跟隨需求。要確保安全服務(wù)能夠跟隨用戶虛擬機(jī)遷移進(jìn)行遷移，從而達(dá)到安全防護(hù)和業(yè)務(wù)流量全程跟隨的目的。

（2）服務(wù)拓展需求。安全服務(wù)和攻擊演變?nèi)诤?，進(jìn)行動(dòng)態(tài)拓展和調(diào)整，須達(dá)到在已有基礎(chǔ)上定期更新與拓展的要求。

（3）多種類數(shù)據(jù)中心支持需求。安全服務(wù)應(yīng)符合各類云數(shù)據(jù)中心運(yùn)行要求，需要從管理平臺(tái)中獨(dú)立，如有必要，還須放棄Hypervisor技術(shù)，以達(dá)到各類云數(shù)據(jù)的統(tǒng)一安全保障需求。

2 縱深防御模型的改進(jìn)

2.1 IATF縱深防御分析

構(gòu)建信息保障技術(shù)框架（Information Assurance Technical Framework，IATF），可以作為信息保障體系建設(shè)的技術(shù)性指導(dǎo)，以下具體闡釋IATF。

2.1.1 縱深防御模型描述

IATF縱深防御包括人、技術(shù)、操作3項(xiàng)要素（見圖2），其中，“人”在信息保障體系中非常關(guān)鍵，其利用技術(shù)實(shí)現(xiàn)具體操作；“信息系統(tǒng)”共包含4個(gè)關(guān)鍵區(qū)域，即網(wǎng)絡(luò)技術(shù)設(shè)施、計(jì)算環(huán)境、網(wǎng)絡(luò)邊界、支撐性基礎(chǔ)設(shè)施，從這4個(gè)區(qū)域中部署安全措施，可以實(shí)現(xiàn)多點(diǎn)防護(hù)的效果［2］。

2.1.2 IATF縱深防御模型優(yōu)劣分析及改進(jìn)思路

分析IATF縱深防御模型的優(yōu)缺點(diǎn)發(fā)現(xiàn)，最為明顯的優(yōu)勢為：IATF可有效化解原本較為復(fù)雜的信息系統(tǒng)環(huán)境安全保障性問題，經(jīng)過分層、分區(qū)、分級(jí)安全防護(hù)，既可以實(shí)現(xiàn)技術(shù)性、經(jīng)濟(jì)性雙重目標(biāo)，又可以為安全體系建設(shè)、執(zhí)行創(chuàng)造環(huán)境。

IATF縱深防御的戰(zhàn)略核心，是利用信息系統(tǒng)各個(gè)位置、層面完成防御措施的部署，達(dá)到反擊效果。IATF縱深防御還存在兩個(gè)主要方面的不足：（1）探知安全威脅欠缺主動(dòng)性；（2）不同區(qū)域的安全措施欠缺融合性與統(tǒng)一性。

基于對(duì)IATF縱深防御模型優(yōu)劣分析，提出對(duì)IATF縱深防御模型的改進(jìn)思路：（1）大力應(yīng)用安全態(tài)勢感知方法，主動(dòng)探知安全威脅；（2）采用集中性安全管控方法，加強(qiáng)安全措施管理統(tǒng)一性［3］。

2.2 改進(jìn)IATF，構(gòu)建主動(dòng)型縱深防御模型

依據(jù)上述改進(jìn)思路，構(gòu)建信息系統(tǒng)主動(dòng)型縱深防御模型。主動(dòng)型縱深防御模型包括基礎(chǔ)防御技術(shù)體系、人、高級(jí)防御技術(shù)體系。

（1）基礎(chǔ)防御技術(shù)體系包括物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施和物理計(jì)算環(huán)境等，主要負(fù)責(zé)搭建基礎(chǔ)縱深防御架構(gòu)。

（2）在IATF縱深防御體系中，“人”系統(tǒng)的重要元素之一，主要是利用技術(shù)實(shí)現(xiàn)具體操作。在改進(jìn)后的主動(dòng)型縱深防御模型中，無論是基礎(chǔ)防御還是高級(jí)防御，均需要采用人為處理與技術(shù)自動(dòng)處理結(jié)合的方法，避免出現(xiàn)誤報(bào)和漏報(bào)情況，使防御更加有效。

（3）高級(jí)防御技術(shù)體系涉及安全態(tài)勢感知、集中安全策略管理技術(shù)等，分別通過采集威脅情報(bào)信息、利用安全態(tài)勢對(duì)綜合態(tài)勢信息進(jìn)行感知，向基礎(chǔ)防御體系提供安全策略，達(dá)到主動(dòng)防護(hù)的效果。

3 網(wǎng)絡(luò)縱深防御架構(gòu)設(shè)計(jì)

上文基于 IATF縱深防御模型及其優(yōu)劣點(diǎn)，提出了主動(dòng)型縱深防御模型的架構(gòu)，以實(shí)現(xiàn)更高效的網(wǎng)絡(luò)防御。

3.1 網(wǎng)絡(luò)假設(shè)

按照云數(shù)據(jù)中心網(wǎng)絡(luò)防護(hù)架構(gòu)中主動(dòng)型縱深防御模型的實(shí)際運(yùn)用情況，對(duì)于假定網(wǎng)絡(luò)做出如下描述：假設(shè)云數(shù)據(jù)中心通過覆蓋網(wǎng)絡(luò)技術(shù)，達(dá)到傳輸網(wǎng)絡(luò)虛擬化的目的，同時(shí)具有虛擬私有云VPC服務(wù)的功能。虛擬網(wǎng)絡(luò)通過物理網(wǎng)絡(luò)完成信息傳輸，而物理網(wǎng)絡(luò)面對(duì)虛擬網(wǎng)絡(luò)的傳輸內(nèi)容，只是將其當(dāng)作具有統(tǒng)一性的物理網(wǎng)絡(luò)負(fù)載，無法感知傳輸內(nèi)容?；诖?，可以假設(shè)云數(shù)據(jù)中心網(wǎng)絡(luò)安全域的劃分情況：物理網(wǎng)絡(luò)可以在VLAN、防火墻技術(shù)基礎(chǔ)上，劃分若干物理子網(wǎng)，專門用于業(yè)務(wù)部署，各物理子網(wǎng)分別有對(duì)應(yīng)的安全域；虛擬網(wǎng)絡(luò)在VPC技術(shù)基礎(chǔ)上實(shí)施，各租戶與VPC虛擬網(wǎng)絡(luò)一一對(duì)應(yīng)，虛擬子網(wǎng)和安全域同樣一一對(duì)應(yīng)。

3.2 網(wǎng)絡(luò)威脅分析

云數(shù)據(jù)中心遭受網(wǎng)絡(luò)威脅，可以從以下幾個(gè)維度展開討論：按照網(wǎng)絡(luò)攻擊實(shí)際發(fā)生部位，云數(shù)據(jù)中心網(wǎng)絡(luò)威脅一般被劃分為物理網(wǎng)絡(luò)威脅和虛擬網(wǎng)絡(luò)威脅。按照網(wǎng)絡(luò)攻擊形成的威脅數(shù)據(jù)流動(dòng)方向，云數(shù)據(jù)中心網(wǎng)絡(luò)威脅流劃分成南北向攻擊流、東西向攻擊流。但無論上述哪種流向，發(fā)起攻擊的最終目的均是利用網(wǎng)絡(luò)到達(dá)相應(yīng)的服務(wù)器與虛擬機(jī)。

按照攻擊者實(shí)際位置，一般攻擊者可以利用外部網(wǎng)絡(luò)發(fā)動(dòng)攻擊，或者是在數(shù)據(jù)中心內(nèi)進(jìn)行攻擊。如果是后者，攻擊者、受害者很大概率會(huì)在相同的安全域內(nèi)部署，或者是在不同的安全域中，所以，云數(shù)據(jù)中心網(wǎng)絡(luò)防御架構(gòu)，務(wù)必要關(guān)注到物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)，同時(shí)防范內(nèi)外部攻擊。

3.3 網(wǎng)絡(luò)縱深防御架構(gòu)

基于上述云數(shù)據(jù)中心網(wǎng)絡(luò)假設(shè)以及網(wǎng)絡(luò)威脅，以主動(dòng)型縱深防御模型思想為基礎(chǔ)，搭建起云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御架構(gòu)。

（1）部署安全措施。主要體現(xiàn)在數(shù)據(jù)中心物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)各個(gè)區(qū)域部署防護(hù)措施、云安全中心部署安全態(tài)勢感知與集中性安全策略管理兩個(gè)方面，實(shí)現(xiàn)基礎(chǔ)防御與主動(dòng)防御。

（2）明確網(wǎng)絡(luò)縱深防御的基本原理。利用層次性與縱深式基礎(chǔ)防御技術(shù)，完善技術(shù)體系部署，同時(shí)抵御來自內(nèi)外部發(fā)起的攻擊。利用高級(jí)防御技術(shù)體系的部署，有助于加強(qiáng)防御體系主動(dòng)性能。外部傳輸網(wǎng)絡(luò)面對(duì)竊聽網(wǎng)絡(luò)內(nèi)容等發(fā)出的攻擊，可以對(duì)外部傳輸網(wǎng)絡(luò)進(jìn)行加密，或者是構(gòu)建VPN達(dá)到安全防護(hù)的目的。內(nèi)部傳輸網(wǎng)絡(luò)也可以采用相同的方法進(jìn)行安全防護(hù)。對(duì)于物理網(wǎng)絡(luò)，南北向攻擊流按照外部傳輸網(wǎng)絡(luò)、物理網(wǎng)絡(luò)邊界的順序部署相應(yīng)的安全措施，而東西向攻擊流量則是按照服務(wù)器系統(tǒng)和物理子網(wǎng)邊界的順序，部署安全策略。虛擬網(wǎng)絡(luò)方面，南北向攻擊流量和東西向攻擊流量，與物理網(wǎng)絡(luò)安全策略部署方式相同。

（3）對(duì)于主動(dòng)防御，則是利用安全態(tài)勢感知技術(shù)，采集物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)包含的所有安全措施威脅情報(bào)信息，并且采取態(tài)勢分析方法，了解當(dāng)前面臨的安全態(tài)勢，為安全人員應(yīng)對(duì)風(fēng)險(xiǎn)、科學(xué)利用集中性安全管理技術(shù)提供幫助，發(fā)揮主動(dòng)防御優(yōu)勢，加強(qiáng)安全防護(hù)水平。

3.4 網(wǎng)絡(luò)縱深防御技術(shù)架構(gòu)

為了能夠全面發(fā)掘縱深防御架構(gòu)的優(yōu)勢，針對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御架構(gòu)，需要配備相應(yīng)的技術(shù)架構(gòu)。此技術(shù)架構(gòu)包括基礎(chǔ)防御體系與高級(jí)防御體系，具體如下：

3.4.1 基礎(chǔ)防御技術(shù)體系

基礎(chǔ)防御技術(shù)體系主要包括網(wǎng)絡(luò)、基礎(chǔ)設(shè)置安全、網(wǎng)絡(luò)邊界安全等。

3.4.2 高級(jí)防御技術(shù)體系

高級(jí)防御技術(shù)體系則包括集中安全策略管理技術(shù)、安全態(tài)勢感知技術(shù)。具體分析如下：

（1）網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全，主要涉及云數(shù)據(jù)中心外部與內(nèi)部傳輸網(wǎng)絡(luò)安全，其中，外部傳輸安全主要是在傳輸數(shù)據(jù)的安全性、私密性、完整性等方面發(fā)揮作用，內(nèi)部傳輸網(wǎng)絡(luò)安全則是在數(shù)據(jù)中心以內(nèi)的各個(gè)安全域進(jìn)行數(shù)據(jù)傳輸過程發(fā)揮作用，保證傳輸數(shù)據(jù)安全性與私密性。常用的措施包括VPN和通信加密。

（2）網(wǎng)絡(luò)邊界安全包括物理網(wǎng)絡(luò)邊界和物理子邊界等，共有四種類型的邊界安全防護(hù)措施，保證邊界授權(quán)訪問和進(jìn)出安全邊界流量能夠?qū)崟r(shí)受到監(jiān)控。

（3）計(jì)算環(huán)境安全重點(diǎn)關(guān)注的是物理服務(wù)器和虛擬機(jī)的安全性，常用身份認(rèn)證、入侵檢測等方法進(jìn)行防護(hù)。

（4）高級(jí)防御技術(shù)體系包含安全態(tài)勢感知與集中安全策略管理兩項(xiàng)技術(shù)，安全人員利用這兩項(xiàng)技術(shù)可以及時(shí)發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)與攻擊威脅，及時(shí)采取防范措施，保證云數(shù)據(jù)中心的安全，還有利于加強(qiáng)數(shù)據(jù)中心主動(dòng)防御與整體防御實(shí)力。

4 網(wǎng)絡(luò)縱深防御架構(gòu)分析

4.1 合理性

主動(dòng)型網(wǎng)絡(luò)縱深防御架構(gòu)，一方面對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)包含的物理網(wǎng)絡(luò)安全防護(hù)進(jìn)行了重視，另一方面也滿足了虛擬網(wǎng)絡(luò)在縱深層面的要求。

4.2 實(shí)用性

主動(dòng)網(wǎng)絡(luò)防御技術(shù)在行業(yè)范圍內(nèi)，也是比較經(jīng)典的防護(hù)措施之一，在現(xiàn)有技術(shù)措施部署的基礎(chǔ)上，無須再投入更多的成本。

4.3 先進(jìn)性

網(wǎng)絡(luò)防御架構(gòu)，基于以往應(yīng)用的縱深防御思想，還融入了安全態(tài)勢感知、集中安全策略管理兩種技術(shù)。其中，安全態(tài)勢感知采集各個(gè)區(qū)域與層級(jí)產(chǎn)生的安全情報(bào)，并且感知數(shù)據(jù)中心總體安全狀態(tài)。根據(jù)最終得到的態(tài)勢感知信息，可以為安全人員提供幫助，主動(dòng)對(duì)潛在的未知威脅進(jìn)行探測，利用集中安全策略管理，提高安全防護(hù)策略配置效率，并且實(shí)現(xiàn)縱深防御體系所具備防御性能的提升。

5 結(jié)語

綜上所述，通過對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御的討論，明確制訂設(shè)計(jì)網(wǎng)絡(luò)縱深防御的方案，充分發(fā)揮其在云數(shù)據(jù)中心安全防護(hù)方面的優(yōu)勢，保證云數(shù)據(jù)中心各項(xiàng)數(shù)據(jù)安全性，為數(shù)據(jù)傳輸提供隱私保障。另外，今后對(duì)于網(wǎng)絡(luò)縱深防御的優(yōu)化，還需要在已有網(wǎng)絡(luò)縱深防御架構(gòu)基礎(chǔ)上進(jìn)行，采用先進(jìn)技術(shù)，在了解云數(shù)據(jù)中心基本需求之后制訂優(yōu)化設(shè)計(jì)方案，從而保證云數(shù)據(jù)中心安全性和數(shù)據(jù)完整性，也可以切實(shí)提高云數(shù)據(jù)中心網(wǎng)絡(luò)縱深防御水平。

參考文獻(xiàn)

［1］盧洪明，劉先鋒，周舟，等.機(jī)器學(xué)習(xí)方法的云數(shù)據(jù)中心能耗模型研究［J］.小型微型計(jì)算機(jī)系統(tǒng)，2022（8）：1-10.

［2］簡靖韡，董林鳳.數(shù)據(jù)中心對(duì)區(qū)域經(jīng)濟(jì)數(shù)字化升級(jí)的探索與思考——以贛西云數(shù)據(jù)中心為例［J］.互聯(lián)網(wǎng)周刊，2022（11）：35-37.

［3］胡小寧.基于GRU循環(huán)神經(jīng)網(wǎng)絡(luò)的云數(shù)據(jù)中心應(yīng)用故障預(yù)測方法［J］.鐵路計(jì)算機(jī)應(yīng)用，2022（2）：7-11.

（編輯 傅金睿）