文/薛峰 张庆福 张剑

随着云计算技术在数据中心建设的应用，数据存储在哪里？谁可以访问？数据安全吗？作者从云计算环境下的数据中心安全风险分析着手，提出了四点安全建设思路，并根据云计算数据中心防护新需求，提出了一个可参考的安全防护部署基本模式。

伴随云计算服务应用的快速推广，人们曾乐观的认为，今后计算机无须大容量硬盘。因为所有的应用和个人数据都将被存储在远程服务器中，用户只要很少的投入就可以得到按需分配的存储资源。但是，随着亚马逊、Google和微软等云计算服务安全事件的发生，加深了人们对云计算安全的担忧。那么，构筑以云计算技术为核心的新一代数据中心，在大量计算资源以动态、按需的服务方式供应和部署的同时，如何进行安全防护，使得存储的海量数据和个人信息得以安全控制，是网络建设者值得去思考和研究的。

风险分析

从“云计算”的概念提出以来，关于其数据安全性的质疑就一直不曾平息。这里的安全性主要包括两个方面：一是用户的信息不会被泄露，避免造成不必要的损失；二是在需要的时候能够保证用户准确无误地获取这些信息。总结起来，建立在云计算环境下的数据中心安全风险存在于三个方面。

1. 数据传输安全风险

通常，数据中心保存有大量的重要数据，这些数据往往是核心和私密的，如用户、财务和关键业务等信息。在云计算环境下，将数据通过网络传递到云计算服务进行处理时，面临着几个方面的问题：一是如何确保数据在网络传递过程中严格加密不被窃取；二是如何保证数据不被泄露出去；三是如何保证用户经过严格的权限认证且合法访问数据，并保证任何时候都能安全访问自身数据。

2. 数据存储安全风险

数据中心的数据存储是非常重要的环节，包括数据的存储位置、相互隔离和灾难恢复等。在云计算环境下，云计算服务提供者在高度整合的大容量存储空间上，开辟出一部分存储空间提供给用户使用，但用户并不清楚自己的数据被放置在哪台服务器上，甚至根本不了解这台服务器放置的位置，云计算服务提供者在存储资源所在位置是否会存在信息安全等问题，能否确保用户数据不被泄露。同时，在这种数据存储资源共享的环境下，即使采用加密方式，云计算服务提供者是否能保证数据之间的有效隔离。另外，即使用户了解数据存放服务器的准确位置，也必须要求云计算服务提供者作出承诺，对所托管数据进行备份，以防止出现重大事故时数据无法得到恢复。

3. 数据审计安全风险

用户进行数据管理时，为了保证数据的准确性，往往会引入第三方的认证机构进行审计或认证。但在云计算环境下，云计算提供者如何确保不给其用户数据计算带来风险的同时，又能提供必要的信息支持，以便协助第三方机构对数据的产生进行安全性和准确性审计，实现用户的合规性要求。另外，用户在对云计算服务提供者的可持续性发展进行认证的过程中，如何确保云计算服务提供者既能提供有效的数据，又不损害其他已有用户的利益，使得本身能够选择一家可以长期存在的、有技术实力的云计算服务商进行业务交付，也是安全方面的潜在风险。

防护思路

现实中的云计算服务具有不同的安全风险特征与安全控制职责和范围。因此，需要从安全控制的角度建立云计算的参考模型，描述不同属性组合的云服务架构,并实现云服务架构到安全架构之间的映射,为风险识别、安全控制和决策提供依据。云计算环境下的数据中心安全防护必须针对不同的云安全模式，考虑具体解决方案，但应该遵循以下四个方面的建设思路。

图1 以虚拟化为基数支撑的安全防护体系

1. 应该建设高性能，高可靠的网络安全一体化防护体系

为应对云计算环境下的流量模型变化，新一代数据中心安全防护部署需要朝着高性能的方向调整。在云计算技术应用的数据中心建设过程中，多条高速链路汇聚成的大流量已经比较普遍，在这种情况下，安全设备必然要具备对高密度的10GE，甚至100GE接口的处理能力。无论是独立的机架式安全设备，还是配合数据中心高端交换机的各种安全业务引擎，都可以根据用户的云规模和建设思路进行合理配置。同时，考虑到云计算环境的业务永续性，设备的部署必须考虑到高可靠的支持。如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合和硬件BYPASS等特性，真正实现大流量汇聚情况下的基础安全防护。

2. 应该建设以虚拟化为技术支撑的安全防护体系

目前，虚拟化已经成为云计算服务的关键技术手段，包括基础网络架构、存储资源、计算资源及应用资源都已经在支持虚拟化方面向前迈进了一大步。只有基于这种虚拟化技术，才可能根据不同用户的需求，提供个性化的存储计算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离，实现不同用户之间的数据安全。安全无论是作为基础的网络架构，还是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。典型的如图1所示。

从网络基础架构的角度（如状态防火墙的安全隔离和访问控制）看，需要考虑支持虚拟化的防火墙，不同用户可以基于VLAN AN等映射到不同的虚拟化实例中，每个虚拟化实例具备独立的安全控制策略及独立的管理职能。从安全服务的角度，云计算服务提供者联合内容安全提供者，提供类似防病毒和反垃圾邮件等服务，同时也必须考虑配合VMware等中间件实现操作系统层面的虚拟化实例。同一服务器运行多个相互独立的操作系统及应用软件，每个用户的保密数据在运行防病毒和反垃圾邮件检查的时候，数据不被其他虚拟化系统引擎所访问，只有这样才能保证用户数据的安全。

3. 应该以集中的安全服务中心应对无边界的安全防护

和传统的数据中心安全防护建设强调边界防护不同，存储计算等资源的高度整合，使得不同的用户在申请云计算服务时，只能实现基于逻辑的划分隔离，不在物理上的安全边界。在这种情况下，已经不可能基于每个或每个类型用户进行流量的汇聚并部署独立的安全系统。因此安全服务部署应该从原来的基于各子系统的安全防护，转移到基于整个云计算网络的安全防护，建设集中的安全服务中心，以适应这种逻辑隔离的物理模型。如图2集中云安全服务中心部署示意图所示，云管理员可以将需要进行安全服务的用户流量，通过合理的技术手段引入安全服务中心，完成安全服务后再返回到原有的转发路径。这种集中的安全服务中心，既可以实现用户安全服务的单独配置提供，又能有效地节约建设投资，考虑在一定收敛比的基础上提供安全服务能力。

4. 应该充分利用云安全模式加强云端和客户端的关联耦合

在安全建设中，充分利用云端的超强计算能力实现云模式的安全检测和防护，是后续的一个重要方向。与传统的安全防护模型相比，新的云安全模型除了要求挂在云端的海量本地用户端具备基础的威胁检测和防护功能外，更强调其对未知安全威胁或可疑安全威胁的传感检测能力。任何一个用户端对于本地不能识别的可疑流量都要第一时间送到后台的云检测中心。利用云端的检测计算能力快速定位解析安全威胁，并将安全威胁的协议特征推送到全部用户端或安全网关，从而使得整个云中的客户端和安全网关都具备对这种未知威胁的检测能力，用户端和云端的耦合进一步得到加强。基于该模式建立的安全防护体系将真正实现PDRP（防护Protection，检测Dtection，响应Reaction，还原Restore）的安全闭环，这也是云检测模式的精髓所在。

防护部署基本模式

1. 防护需求

云计算环境下的数据中心，其最大需求是实现计算、存储等IT资源灵活调度，让资源得到最充分利用。而实现这一需求的基础，是以数据中心的虚拟机作为主要的计算资源为客户提供服务。在这种模式下，数据中心安全防护部署建设必须满足三个防护新需求：

图2 集中的云安全服务中心部署示意图

图3 云计算环境下数据中心的业务部署模型

第一是高性能的需求。较传统方式而言，云计算环境下从外部到内部的纵向流量加大，内部虚拟机之间的横向流量加大，整个云计算数据中心必须具有高的吞吐能力和处理能力，在数据转发和控制的各个节点上不能存在阻塞。同时具备突发流量的承受能力。因此，安全设备接入数据中心，必须以万兆级接入、万兆级性能处理为基础，并且要具备根据业务需求灵活扩展的能力。同时，考虑云计算环境下的网络流量无序突发冲击性较大，安全设备必须具备突发流量时的处理能力。

第二是虚拟化要求。虚拟化是云计算数据中心发展的重要趋势，对应的云计算数据中心的防火墙、负载均衡等安全控制设备也必须支持虚拟化能力，像计算和存储、网络一样能按需提供服务。

第三是VM之间安全防护要求。虚拟机环境下，同台物理服务器虚拟成多台VM以后，VM之间的流量交换基于服务器内部的虚拟交换，对于该部分流量既不可控也不可见。但实际上根据需要，可将不同的VM划分到不同的安全域进行隔离和访问控制。可通过EVB协议(如VEPA协议)将虚拟机内部不同VM之间的网络流量全部交由与服务器相连的物理交换机进行处理。

云计算环境下数据中心安全防护部署，仅仅是云基础架构中基本的建设环节，要保证云计算中心的安全，还要考虑数据加密、备份，信息的认证授权访问，以及法律、法规合规性要求。只有全面地进行规划，才能建立全面、完善的云数据中心安全综合防御体系。

2. 基本模式

传统安全防护很重要的一个原则就是基于边界的安全隔离和访问控制，并且强调针对不同的安全区域设置有差异化的安全防护策略，这在很大程度上依赖各区域之间明显清晰的区域边界。较传统数据中心而言，云计算环境下数据中心安全防护建设无明显差别，同样需要分区标准化、模块化部署。业务部署基本模式如图3所示。

在这种模式下，云计算环境下数据中心安防设备一般采用旁挂核心或者汇聚交换机的部署方式。通过虚拟化实现核心、汇聚、安防设备和业务云分区、分级防护，充分利用交换机和防火墙上的功能，通过虚拟防护墙、云计算数据中心内服务器/虚拟机的网关等设置，实现虚拟设备的管理权限，最终满足业务分级防护和用户访问需求防护。同时，通过将安全服务引入集中云安全服务中心，进而全方位避免数据中心传输、存储和审计的安全风险存在。

另外，从数据中心的网络安全和业务访问应用的角度分析，实际部署时可将业务分为高级别、中级别和低级别，然后将服务器的网关设在不同的设备上。从业务访问的模式来看，可分为纵向访问和横向访问，其中纵向访问是指同一种应用在不同区的访问（如同一种低级别应用的Web-AP-DB访问），横向访问是指同一级别中不同应用之间的访问（如低级别1访问低级别2）。一般，不同级别之间不允许访问。具体做法如下：

低级别应用服务器：网关设置在汇聚交换机上，纵向和横向访问通过交换机ACL来控制；

中级别应用服务器：网关设置在汇聚交换机上，纵向访问通过防火墙控制，横向访问通过交换机ACL控制；

高级别应用服务器：网关设置在汇聚交换机上，纵向和横向访问均需要通过防火墙控制。

尽管基于云计算环境下数据中心安全建设思路和模式还需要继续实践和探索，但是将安全内嵌到云计算环境下数据中心的虚拟基础网络架构中，并通过安全服务的方式进行交互，不仅可以增强云计算中心的安全防护能力和安全服务的可视化，还可以根据风险预警进行实时的策略控制，这将使得云计算环境下的数据中心的服务更加安全可靠。