基于云计算的数据中心安全建设浅析
2019-12-24陈萱华
◆陈萱华
基于云计算的数据中心安全建设浅析
◆陈萱华
(武警海警学院电子技术系 浙江 315000)
数据中心建设的安全直接关系到业务运行的连续性,本文通过分析数据中心建设中存在的安全问题,从技术角度提出了一种数据中心安全的建设思路,从分区规划和分层部署、安全交换平台和网络隔离等方面进行阐述,为云计算数据中心建设提供安全支持。
云计算数据中心;虚拟化技术;安全交换
随着人工智能和大数据的飞速发展,个人和企业的数据越来越多地放在云端,云端可以自建也可以托管,托管有其便利性、不需专人维护等优点,但也存在信息泄露、强依赖性等隐患。特别是对于数据中心建设已有一定积累、拥有一支稳定的运维队伍、或是对数据保密性有一定要求的机构,充分利用已有的设施,采用云计算技术扩展和补充数据中心仍然不失为一种好的选择。处于大数据时代的今天,数据中心的重要性愈发凸显,数据中心建设的安全性直接关系到机构业务运行的连续性。
1 数据中心存在的安全隐患
传统数据中心采用头痛医头、脚痛医脚的做法不断扩充应用系统和数据,使应用系统产生大量漏洞,一旦出现安全问题又难以快速完成资源配置和有效部署,主要原因有四。一是系统异构,数据交换不畅。由于缺乏顶层设计,各业务系统独享服务器资源,设备投入大,但非高峰的大部分时间内,设备基本处于空闲状态,资源没有得到充分利用,虚拟机的部署规模受到限制,造成网络隔离能力受限,一旦爆发网络病毒,容易出现全网瘫痪。二是能耗高。不断增加的设备造成中心机房拥挤不堪,能耗成本更是居高不下,供电系统设计没法及时调整,虚拟机迁移受限,设备安全隐患难以避免。三是管理成本高,运维压力大[1]。机房设备越来越多,运维复杂度不断增加;数据访问量大增,管理工作量和难度也大幅提升,管理人员的操作失误概率大增。四是机构重视内外数据流量和云上边界的安全防护,忽视了从内部发起的、更隐蔽的攻击。这四个方面的问题都给数据中心带来了极大的安全隐患。
2 基于云计算的数据中心安全建设
基于云计算的数据中心安全要进行顶层设计,考虑用户实际需求、云计算的特性和云计算生命周期的安全机制[2]确定系统的整体部署。它包括软硬件的配置和各类人员的安全操作,涉及许多不断发展的技术。这里主要从分区规划和分层管理、安全交换平台和网络隔离三方面进行介绍。
2.1 分区规划、分层部署[3-4]
(1)分区规划
分区规划,就是通过细分,面向不同的需求实现安全保护。由于网络中的业务单元在功能、重要性、用户对象、访问量、受攻击程度等方面存在差异,因此,制定安全策略的依据主要在业务需求、数据流、应用的逻辑功能、业务系统安全等级等方面,在构建数据中心时将网络划分为不同区域,便于实现差异性维护管理,提高运维效率,实现安全隔离和访问控制。
一般情况下,可以划分为以下区域:外联区、业务区、服务器区、核心汇聚区、终端接入区、数据存储区、容灾备份区、数据中心统一运维区。可以根据不同的机构、不同的业务模式,分区可以适当增删或合并。设计数据中心安全方案整体规划,不同的分区承担不同的职责,针对不同区域制定不同的方案,共同实现数据中心的整体安全防护体系。
(2)分层部署
数据中心是机构网络的核心汇聚区,前面划分的区域边界处的安全直接对数据中心产生安全威胁,边界处的威胁主要有软硬件漏洞攻击、网络病毒、木马植入、黑客入侵、信息泄露等,较有效的抵御方法是在有效分区基础上分层部署。依据整体安全防护部署要求,在不同的区域边界处进行相应的安全需求部署,综合应用异构多重防火墙、VPN、入侵检测以及负载均衡等技术,共同实现网络安全融合。
2.2 构建安全的交换平台
(1)数据交换平台
由于传统数据中心里部署的业务系统大都分批分散建设,相互之间的技术架构和开发平台差异较大,数据异构,处理方式各异,形成各应用系统相对独立的“孤岛”,造成数据的不一致性。随着业务系统的增加和边界接入网络的扩大,内外网数据面临着各种攻击,出现诸多风险,同时也面临运管维护等安全管理问题。
数据交换平台通过数据的抽取、集中、加载、转换、展现,可以将分散建设的业务系统进行整合,构造统一的数据处理和交换平台,保证分布异构系统之间互联互通[5]。具体可以采用以下方式:构建统一身份认证平台,统一标识体系,对不同业务系统登录数据进行采集、转换,建立云环境下的跨域单点登录系统[6]、真实源地址验证的安全可信网络,统一登录、身份认证、解决跨系统信息交换的身份识别问题,并通过角色和权限的关联实现数据共享融合和安全交互。
(2)设备间的统一交换
传统的数据中心网络架构不一,可能还存在多个独立运行的网络,加之设备的功能独立性,连接、配置处理需要大量的线缆,使得数据中心的综合布线量大、复杂,造成高能耗、高运维成本、高安全隐患。在设计时,应从兼容性和扩展性方面考虑网络安全融合方案,配置多协议的网络交换机、将独立设备组网简化为网络安全的集成业务,大大简化设计和优化管理,通过多种机制来保证数据传输的高效和可靠,真正实现数据中心数据的统一交换。
2.3 网络隔离
虚拟化技术是云计算数据中心的关键技术。它实现了物理资源的逻辑抽象和统一表示,提高了资源利用率,方便了大规模部署。但这种服务模式打破了传统网络边界的划分方式,被隐藏的底层访问细节、用户与底层物理环境细节脱离的虚拟化结构,造成访问控制复杂,安全边界模糊,角色权限关系复杂,对使用者的身份、权限的鉴别、控制与审计变得更加困难,给传统的安全边界带来了巨大的安全风险[7]。
在虚拟化网络中需要更细粒度的隔离,做到每一个虚拟机和外部网络或内部其他虚拟机之间通信的精细监控,可以借助VPN为远程用户访问提供有效的数据隔离,而VLAN也是云计算中常用的措施,用于实现安全域的网络隔离。
虚拟化环境中按照业务功能、用户权限、内外网南北东西数据流量、安全防护等级等不同数据需要隔离,可以结合前面介绍的分区分层配置虚拟防火墙,按照业务将防火墙划分成多个安全域。比如在服务器区域通过旁路部署将需要进行安全检测的流量引导到防火墙上进行处理,再根据应用的隔离互访要求,实现域间安全控制。在虚拟管理器内部,通过相同物理网络通信引起数据的汇合,由此造成的安全隐患,可以采用不同交换机实现隔离。同时应保证不同交换机之间严格避免通过虚拟机或者其他措施进行桥接。
VPN则将单位地处不同位置的设备实现安全通信,它在公共网络中通过防火墙构建一个安全稳定的专用虚拟逻辑网络,支持单位移动用户的远程访问,结合用户身份认证与访问控制技术,采用角色和权限关联,对用户和权限进行分类和隔离,为用户提供有效的数据隔离。
安全域的网络隔离常用的措施是VLAN隔离。VLAN隔离在云计算中也被大量采用,可以结合虚拟防火墙、虚拟交换机实现虚拟交换隔离[8]。防火墙和交换机可以采用静、动态路由相结合的方式,为不同区域提供细粒度的安全策略和针对性的物理隔离,主动监控网络行为,阻断各类攻击性的网络异常流量。同时将多台交换机虚拟成一台交换机,简化网络拓扑结构,减少故障结点,有利于展开更具有针对性的安全保护部署。反之,也可以将一台安全设备虚拟成多台安全设备,分配给不同应用系统使用,进行自主化管理,策略按需设置,实现应用系统之间的安全隔离。
3 结束语
数据中心安全的建设伴随着应用和技术的发展而发展,它是一个综合化的整体系统,需要兼顾已有的设施,全局的统筹部署,各组件的协同工作,多种技术的统合应用。本文分析了其中的安全隐患,从技术角度,包括分区规划和分层部署、安全交换平台和网络隔离三个方面,提出了一些建设思路。在安全问题上,除了要密切关注技术发展外,更重要的是需要主动积极应对,加强管理,密切关注数据生命周期的用户行为,切实打造高效安全的数据中心。
[1]王瑛杰.安全可靠的大二层数据中心设计[J].内江师范学院学报,2017.
[2]陈萱华,林淑玲.基于生命周期的云计算安全机制探讨[J].公安海警学院学报,2015.
[3]毛睿,车永茂,谢世春.苏北人民医院信息安全等级保护之数据中心安全规划设计[J].电脑知识与技术,2017.
[4]刘晓军.云环境下数据中心网络安全部署[J].中国管理信息化,2016.
[5]温斌,周艽,陈怀楚,等.安全可信的医院数据交换平台的设计与实现[J].中国数字医学,2015.
[6]陈萱华,林淑玲,杨玲.云环境下跨域单点登录解决方案[J].现代电子技术,2015.
[7]严文涛,王玮,苏琦,等.云计算数据中心虚拟化安全技术研究与分析[J].电子技术应用,2016
[8]朱双华.基于虚拟化的大规模试验环境构建技术研究[D].南京:东南大学,2015.