私有云数据中心网络及安全设计策略浅析
2017-03-10◆姜海
◆姜 海
(山西广播电视台 山西 030001)
私有云数据中心网络及安全设计策略浅析
◆姜 海
(山西广播电视台 山西 030001)
随着信息技术的发展,我们已经进入到一个大数据时代。企业的数据储备已经逐渐成为企业实力的象征,企业所拥有的先进技术也均以数据的形式体现。然而越来越庞大的数据信息不可能由企业自身进行存储,因此,可以存储海量数据的云端数据中心逐渐受到各大企业的关注。
私有云;数据中心;安全设计;海量数据
0 前言
私有云数据中心网络的出现,成功解决了企业海量数据难以存储的问题。然而传统的私有云数据中心结构框架繁琐、传输速度不高、安全性可靠性差、数据损坏、数据丢失的情况时有发生,为解决以上问题笔者建议私有云数据中心网络采用弹性结构,降低网络复杂程度,提高数据传输速率,并针对目前存在的安全问题采用信息安全技术体系。本文介绍了私有云数据中心网络的结构,并对其安全性设计进行了探讨。
1 私有云数据中心网络设计
1.1 网络弹性架构
随着私有云数据中心网络技术的发展,目前阿里巴巴、京东、苏宁易购等著名企业在搭建其云数据中心网络时均采用网络弹性架构。传统的私有云数据中心网络设计均采用基于 SDH的多业务传送平台加上虚拟路由器冗余协议的组织架构,在数据的传输过程中,接入交换机和汇聚交换机之间需要运行 SDH的多业务传送平台协议,处理过程复杂,传输速率缓慢。
而采用弹性架构的私有云中心网络运用了虚拟交换机网络,接入交换机和汇聚交换机处于同一虚拟机网络中,数据可实时交互。在数据的传输过程中无需运行SDH的多业务传送平台协议,简化了框架结构,大大提高了传输速率。提高了企业海量数据云端存储的工作效率,使超大容量数据短时传输成为可能。
1.2 网络“扁平化”
传统的私有云数据中心网络的架构具有三层,第一层位核心层,第二层为汇聚层,最低层为接入层。采用弹性架构的私有云网络中心将网络架构进行了“扁平化”设计,汇聚层和接入层通过虚拟化技术捆绑连接为一层,由核心层直接连接。这种结构可以更迅速得接入私有云数据中心网络服务器,同时也更容易实现虚拟局域网的二层网络支撑。
1.3 大二层网络
自虚拟化技术的出现,私有云数据中心网络服务器的虚拟化受到了广泛应用。而虚拟化技术的应用必然将会面对虚拟机迁移的问题,就目前的虚拟技术来讲,想要实现虚拟机迁移必须得到虚拟局域网的二层网络支撑,随着数据库的不断膨胀,大二层网络为实现虚拟机迁移也需不断扩大。
而采用弹性架构的私有云中心网络的“扁平化”设计通过虚拟机技术将多个设备虚拟成一台逻辑交换机,同时核心层和接入层的直接连接简化了大二层网络的结构,避免了大二层网络中的“生成树”协议。同时,多个交换机通过虚拟化技术统一配置管理,降低了运行维护成本。
1.4 虚拟交换机网络
采用虚拟化技术将服务器进行虚拟化以后,私有云数据中心网络将以虚拟机为核心进行云计算,为实现虚拟机之间的相数据传输,虚拟局域网内还需要引入虚拟交换机。虚拟交换机的作用是对接虚拟服务器,实现虚拟服务器与外部网络的互联。
2 信息安全技术体系
上文提到,私有云数据中心网络在给企业带来便捷的同时,也有可能使企业承受巨大的损失。在企业将数据存储到私有云网络服务器中以后,服务器可能遭受黑客的恶意攻击,非法窃取企业的机密数据,甚至恶意损坏、篡改企业的重要数据。众所周知,企业的竞争力主要体现着企业的高端技术上,而技术均以数据的形式存在,因此,将数据保存在私有云网络服务器上的风险可想而知。为解决私有云数据的安全问题,我们在私有云数据中心网络中加入了信息安全技术体系,其中包括身份认证技术、访问控制技术、内容安全技术、监控审计技术和备份恢复技术,下文将对各个技术进行详细说明。
2.1 身份认证技术
身份认证技术是信息安全体系对私有云数据中心网络的第一项保护措施,所谓身份认证就是对访问数据库人员进行身份信息核查。只有企业内部人员才能得到授权从而进入对私有云数据中心网络,如果发现访问人员身份信息非法,系统将对管理人员进行报警,同时记录其 IP地址。一旦经证实是黑客非法倾入想要窃取企业机密数据,将第一时间移交网警。为防止外部人员窃取企业内部人员账号密码冒充企业内部人员访问企业私有云数据中心网络,身份认证技术可采用高科技身份识别,如指纹识别、面部识别、虹膜识别等。
2.2 访问控制技术
身份认证技术是针对企业外部人员的防护措施,防止企业外部人员冒充企业内部成员访问企业私有云数据中心网络。而访问控制技术作为第二道防护措施针对的是企业内部成员。为防止企业内部员工被竞争对手收买而监守自盗,访问控制技术针对企业不同级别的员工设置不同的访问权限,绝不允许越级访问。访问控制技术在不影响员工工作中使用私有云数据中心网络的前提下,为企业私有云数据中心网络设置了第二道保障。因此,在信息安全技术体系中,访问控制技术是很有必要的。
2.3 内容安全技术
内容安全技术是信息安全体系保护私有云数据中心网络的第三道防线,实际上也是最后一道防线,内容安全技术主要针对的是私有云数据中心网络遭到非法侵入后对数据的保护。因为系统遭受入侵后带来的破坏可能是多样性的,因此内容安全系统集合了多种安全防御技术,从而全方位应对非法入侵者在入侵成功后的各种可能性的破坏。企业可以采用页面锁定技术防止非法入侵者对访问页面进行篡改,从而影响企业内部员工对私有云数据中心网络的正常访问;使用入侵防御、流量清洗等技术来防止非法入侵者对服务器进行恶意攻击,影响网络数据的安全传输;使用文件加密技术来保护终端数据。
2.4 监控审计技术
上述三项技术均为针对非法入侵的防御性技术,而监控审计技术除了防止非法入侵外还是信息安全体系自我检测、自我完善的技术。监控审计技术可以为私有云数据中心网络的信息数据、访问情况和安全状态进行实时的监控分析。通过对访问记录的数据分析,可以得到访问者访问私有云数据中心网络的起始点、访问路径、访问方式以及具体的访问数据,从而分析访问过程中是否存在非法操作或隐藏的安全风险。通过监控审计技术我们不仅可以对私有云数据中心网络的安全进行实时监督,还可以不断发现自身存在的隐患漏洞,从而不断对系统信息安全技术体系进行完善升级。
2.5 备份恢复技术
备份恢复技术是信息安全体系对私有云数据中心网络的第最后一项保护措施,他分为备份和恢复两个部分。企业需要定期对私有云数据中心的数据进行备份,并记录备份的时间节点,一旦数据因非法入侵者恶意攻击、员工操作失误或硬件等原因发生损坏立即将其恢复为对应时间节点备份的数据。
3 结语
私有云数据中心网络的弹性架构和“扁平化”设计,简化了私有云数据中心网络的结构,提高了系统的传输速率。信息安全技术体系通过身份认证技术、访问控制技术、内容安全技术、监控审计技术和备份恢复技术的五重保护贯穿了系统的终端层、应用层、系统层、网络层、物理层,从而全方位的保证了私有云数据中心的安全性和可靠性。全新的私有云数据中心网络将为企业解决海量数据存储的问题,为企业发展提供助力。
[1]张钰.基于私有云架构的广播电台融合媒体平台设计[J].电声技术,2017.
[2]万俊伟,陈洪雁,赵静.云计算技术在实时航天试验任务领域的应用验证[J].信息网络安全,2017.
[3]方沩.基于资源统一标识的国家农作物种质资源平台信息系统研究[D].中国农业科学院,2015.
[4]赵华龙.云环境下基于数字水印技术的数据隐私保护方法研究[D].西安建筑科技大学,2014.
