周鲁?王鹏

摘要：随着虚拟化软件技术的发展，云数据的敏捷性、可扩展性和高效性等优势逐渐凸显。但云数据对安全服务也提出了更高的要求。物理网络的安全无法直接应用于虚拟数据中心，因此需要建立分布式的虚拟数据中心网络安全架构。本文将从云数据中心的安全服务需求出发，分析云数据中心网络安全服务的架构思路，并探讨系统架构可提供的服务。

关键词：云数据中心；网络安全；服务架构；虚拟化安全设备

计算机虚拟化、存储虚拟化、网络虚拟化等技术将数据中心的资源抽象化，而管理平台则提供相应的资源管理、服务管理、运营管理等功能。云数据中心通过这些技术和管理手段，实现了用户为中心的自动化计算，并提供具有增强敏捷性和高效性的服务。然而，在传统的物理网络存储数据转移到虚拟化的数据中心的过程中，用户常常对安全性和可靠性存在较大的质疑。传统的物理网络存储数据使用的设备与现代化的发展存在较大的差异，难以为虚拟化数据中心提供高质量的安全服务。因此，在进行虚拟化过程时，应该严格遵循数据中心虚拟化的思路，将虚拟化技术与其他相关技术有效地结合起来，以为数据中心提供更全面的服务。

一、云数据中心的安全服务需求

云数据中心具备弹性大、敏锐性强、高效运行的优势，也正是其具备的这些得天独厚的优势，使大众对网络安全服务的质量要求逐渐提高。然而，云数据中心的安全管理是一项相对复杂的工作，而分散和分布式的管理方式往往难以达到理想的效果。因此，应该将安全管理统一到一个集中的管理平台上，并从以下几个方面着手。

（一）特性需求

第一，敏捷性。安全服务在云数据中心中的部署必须具备灵活性，以确保安全措施能够全面覆盖数据中心的各項业务。在安全保障体系的建设过程中，需要将所有业务纳入考虑范围，以确保整个数据中心得到全面的保护。此外，安全服务必须加强自身的建设，以保证其在数据中心中的有效运行。它应该设计得不会对数据中心的正常运转产生影响，且绝对禁止对数据中心造成任何不利的影响。在设计和实施安全服务时，敏捷性是至关重要的要素之一。它使安全团队能够快速应对和适应不断变化的安全威胁，及时采取相应的措施，确保数据中心的安全性。因此，高度重视敏捷性对于建立强大的安全保障体系至关重要。

第二，弹性大。安全服务应该具备动态调整的能力，以满足不断变化的业务需求。动态调整意味着安全服务有能力根据业务变化进行相应调整，以确保业务的正常开展和安全保障。在动态调整的过程中，安全服务需要超越管理员的限制，根据提供的具体服务来灵活开展业务。这意味着安全服务不能仅仅依赖于管理员的手动干预，而是应该具备自动化和智能化的能力，能够根据业务需求自主调整和应对安全威胁。通过充分保证业务开展的针对性，安全服务能够更好地满足不同业务的安全需求，并提供高效可靠的安全保障[1]。

第三，高效性。安全服务作为基础性的服务应该部署在数据中心，并为所有用户业务共享。通过在数据中心中集中部署安全服务，可以实现高效统一的管理，确保所有用户的业务都能得到相应的安全保护。

（二）具体需求

第一，业务跟随。业务跟随是指网络安全服务能够随着用户虚拟机的迁移而无缝迁移，以实现对用户全方位、全过程的跟随保护，确保业务的连贯性和安全性。在虚拟化环境中，安全服务持续监控用户的网络行为，并在用户虚拟机迁移时快速响应，为用户的网络行为提供保护。这种方式可以使用户在虚拟机切换时仍然受到安全服务的保护，同时降低因迁移所带来的业务中断和安全漏洞的风险。通过业务跟随，网络安全服务能够紧密跟随用户需求，确保其业务的稳定进行。

第二，服务拓展。安全防范与其他种类的数据中心业务存在较大差别。安全服务需要在不断拓展中对现有的业务进行更新和延伸，以适应不断变化的安全威胁与攻击方式[2]。相比于其他业务，安全服务需要更具敏捷性和灵活性，能够及时识别新型威胁并采取相应防御措施。

第三，支持多类型数据中心。确保安全服务能够适应多样化的数据中心环境非常重要。安全服务应该是独立于管理平台的，这意味着它不依赖于特定的管理平台或Hypervisor技术。这样可以确保安全服务能够在不同平台上进行部署，并在必要时灵活地放弃或切换Hypervisor技术。

二、云数据中心网络安全服务架构思路

（一）云数据中心总体架构

物理基础架构是支撑数据中心对外运行的基础硬件设备，包括计算资源、网络资源和存储资源等。这些资源由虚拟化的资源管理平台进行统一管理，通过资源池化和合理分配，实现对上层业务的弹性拓展。云数据中心相较于传统的数据中心解决方案具有明显的优势。首先，云数据中心可以提供差异化的云计算业务，主要包括云主机和相关的增值服务。云主机可以根据用户需求灵活配置，提供弹性资源，满足不同业务的需求。同时，增值业务如云存储、云数据库等进一步拓展了云计算的功能。此外，云数据中心采用资源池化的管理模式，能够更加高效地利用硬件资源。资源池化可以将各种资源整合在一起，并根据需求进行有效分配，避免资源的浪费和低效使用。这种灵活的资源分配模式使得云数据中心具备了弹性拓展的能力，能够根据业务需求快速增加或减少资源，提高了系统的可伸缩性和适应性。

（二）网络总体架构设计

数据中心通常具有网络分层和功能分区的特征。根据不同层次和功能，可以将其划分为核心层和接入层，并按照外联区、网络服务区和业务服务区等进行功能划分。为了更好地支持云计算在数据中心的运行和管理，网络架构通常会划分为管理、存储和业务三个不同的网络平面。网络分层设计旨在提供强大的性能、高度可靠性和较低的延迟，以支持数据中心的融合和虚拟化技术的应用。核心层采用扁平化的网络架构管理，并使用CSS虚拟集群技术，将多个虚拟机合成一台设备，并通过设备的背板实现共享和交换功能。而接入层则采用堆叠技术，将多个交换机虚拟化成一台设备，以提高交换能力[3]。另一方面，网络平面设计旨在更好地支持云计算平台。内部的网络平面划分为业务、管理和存储三个不同的层面，用于承载用户端的数据流量以及数据中心内部虚拟机之间的流量。

（三）网络核心层的设计

在网络核心层的设计中，常采用配置两台核心交换机的方式。这两台核心交换机设备通过虚拟化合并成一台交换机设备，具备超大的容量，用于处理数据中心的核心流量。这种设计方案可以提高网络的可靠性和冗余性，确保网络的稳定运行。在接入层的交换机设计上，常采用堆叠技术，将两台交换机虚拟堆叠成一台设备。通过堆叠，可以实现设备背板的共享，并最大限度地提高交换机的运行能力和性能。对于核心交换机和接入交换机之间的连接，通常采用链路连接的方式。这种连接方式确保了网络运行的安全性和可靠性，实现了高速且稳定的数据传输。采用扁平化的架构方式能够有效降低网络的复杂程度，从而提高网络性能和管理效率。这种设计策略简化了网络拓扑，减少了传输路径，提高了数据中心的可扩展性和性能[4]。

（四）网络功能区的设计

外联区是云数据中心面向互联网的门户，用于连接多家互联网运营商，提供数据中心对外的高速网络出口。由于涉及与外部互联网的通信，外联区的网络架构对安全性和可靠性要求较高。其主要的服务包括互联网接入、移动包公用户、出口防火墙。另外，网络服务区是数据中心的关键区域，需要部署防火墙、负载均衡器、VPN网关等设备，以提供稳定可靠的防火墙和接入服务。

三、数据中心网络安全服务

（一）现有网络安全服务的实现

虚拟化网络安全设备的确具有一些优势，能够满足数据中心网络安全服务的多样化需求，具有敏捷性和弹性等优点，因此在数据中心中扮演着重要的角色。然而，虚拟化网络安全设备也存在一定的局限性。其中，一个主要的局限性是在业务跟随方面的不足。虚拟化安全设备通常部署在虚拟网络边界，并且其服务范围相对较小，支持的服务种类也相對有限。对于一些具有动态发展特征的用户来说，这可能导致资源配置不足的问题。尤其是当用户需要迁移位置时，之前使用的安全设备无法简单地转移到新设备上，这可能导致原有安全设备所提供的服务和虚拟机中的信息转移困难，甚至可能引发业务中断。此外，虚拟安全设备本身的封闭性和缺乏转移、拓展功能也是其最大的缺陷。由于其封闭性，虚拟安全设备无法方便地进行转移和拓展，这限制了其在动态环境中的灵活应用。这可能会对数据中心的可伸缩性和可扩展性造成一定的影响。

（二）分布式网络安全虚拟化架构

安全服务设计的内容可以分为三部分，即控制平面和数据平面分离、实施虚拟化的架构、提供具有自适应能力的服务。首先，控制平面和数据平面分离是安全服务设计的重要组成部分。控制平面负责安全策略的制定和控制，数据平面则负责实际的数据处理和转发。通过将控制平面与数据平面分离，可以实现更灵活的安全策略管理和数据处理能力。其次，实施虚拟化的架构也是安全服务设计的关键。数据中心的基本架构包括数据中心管理平台、Hypervisor（虚拟化软件）以及虚拟网络。在使用软件定义网络（SDN）时，控制器也成为数据中心管理的重要组成部分。用户虚拟机运行在Hypervisor之上，并连接到虚拟网络。为了实现有效的网络安全服务，必须在数据中心部署安全服务的控制平面、服务平面和引流平面。控制平面和数据中心管理平台可以进行信息的交互和共享，并提供配置服务平台的功能。安全服务的功能分散在各个物理机上，模块之间通过通信实现协同工作。最后，安全服务设计需要提供具有自适应能力的服务。由于数据中心环境的复杂性和动态变化性，安全服务需要具备自适应能力，能够根据实际情况进行安全策略的调整和优化。这可以通过监控和分析网络流量、实时威胁情报和自动化响应等手段来实现[6]。

四、系统架构可提供的服务

（一）流量可视化

网络中用户虚拟机的流量相关数据可以有效反映在安全服务的虚拟机上，从而实现对虚拟机上流量的控制。通过控制平面，管理员可以了解流量的具体情况，并采用分布式的安全虚拟架构。这种架构方式有两个优势。首先，分布式安全虚拟架构可以对数据进行细粒度的控制，确保流量的精细保护。通过网络安全模块，可以检测虚拟机上任意一个端口上的用户流量。流量监控系统能够全面反映和监测虚拟环境中的所有业务数据，实现对流量的详细监控。其次，分布式安全虚拟架构具有全局统一性。通过控制平面，可以监测到每个虚拟机模块的局部流量，实现数据中心安全的全局控制。这为数据中心的可靠运行提供了支持，并为管理员的安全维护提供了有效的数据支持。

（二）微隔离功能

微隔离功能可以在虚拟网络中对特定用户实现针对性的安全监测。当安全管理员在同一个虚拟网络中的任何虚拟机上发现攻击时，可以立即采用微隔离技术将受到攻击的部分进行隔离，并对其进行安全监测，有效遏制对内部的深入攻击。这种隔离方式避免了对整个虚拟网络的隔离，降低了控制成本，提高了检测效率，从而实现了安全控制的目标。分布式的网络安全架构能够对虚拟网络中的任何用户虚拟机实施网络安全监测，对任意一个端口都可以实现微隔离控制，确保虚拟网络的安全控制达到标准要求。微隔离控制的粒度可以从虚拟机端口扩散到所有用户虚拟机，通过充分发挥控制平面的安全控制策略功能，可以实现对任意端口的网络用户行为监测，也可以针对个别用户的业务行为进行安全配置，有效提升整个虚拟网络的安全性[7]。

（三）业务迁移

在数据安全控制中，可以利用安全控制平面对虚拟网络中的任何事件进行迁移，实现安全定位和针对性的迁移操作。通过迁移，可以将虚拟机的安全状态转移至其他目标，以实现安全状态的转移和保护。在完成虚拟机迁移后，安全状态也会相应完成迁移，而用户的虚拟机业务不会中断，保障其正常运行。

（四）全网行为分析

全网行为分析是将各个模块监测到的流量数据、业务相关数据以及攻击事件出现频次等进行汇总和分析的过程。通过将数据汇集到一个控制点，可以对特定虚拟机进行有效的数据分析。这可以是对单个虚拟机的分析，也可以是对整个集群的分析，甚至可以进行对某一端口、网络或用户行为的全面分析。过全网行为分析，站在数据中心的全面、系统的角度，可以对虚拟网络业务进行有效的分析。这种分析可以识别潜在的安全威胁，包括异常流量、异常访问、攻击行为等，并采取相应的安全措施进行防御和保护。全网行为分析能够发现网络中的异常行为模式，并及时响应和处理，以确保整个网络系统的安全。

五、云数据中心网络安全服务架构应用实例

（一）VMware数据中心

在VMware数据中心的网络安全服务架构中，实现了Vcenter和安全服务控制平面之间的统一协调管理，同时涵盖了Vcenter、安全服务控制平面、服务器集群等组件。这些组件共同构成了整个架构的应用范畴。网络安全服务架构支持ESXi Hypervisor，并以虚拟交换机引流为基础，提供从第二层到第七层的安全服务。

（二）OpenStack数据中心

对于该架构，主要的构成包括安全服务控制平面、安全服务平面和OpenStack。其中，OpenStack具有捕捉和获取用户网络信息的功能，并能够进行科学有效的管理。在实际应用中，通过利用OpenSwitch实现引流动作，可以有效地实现多租户场景的支持和在线部署。

（三）自主开发云平台

自主开发云平台包括管理平台、安全服务控制平台、SDN控制器、物理服务器集群和安全服务平面等组件。这些部分通过API的支持相互协作，进行用户信息的收集、整理、分析和管理，并监督整个过程。在这个架构中，通过API的支持，各组件可以协同工作，实现对用户信息和平台运行状态的全面监督和管理。收集的信息可以进行分析，及时发现潜在的安全威胁或异常行为。此外，利用控制器的功能，可以实现镜像引流的目标，把攻击流量引导到安全设施进行分析和隔离，从而降低安全风险。当虚拟机的攻击行为被检测到时，平台能够迅速采取隔离措施，以提高平台运行的安全可靠性。

六、结束语

随着计算机技术的不断发展与成熟，云计算为广大用户带来了极大的便利。然而，网络信息安全问题一直备受关注。正是基于这一点，云数据中心网络安全具有很大的推广潜力，并逐渐成为网络信息安全管理的重要途径。它不仅能够加强对网络信息的安全保护，还能推动信息的动态迁移，促进我国云数据相关技术的蓬勃发展。

作者单位：周鲁 王鹏 数字丝路新疆产业投资集团有限公司

参  考  文  獻

[1]张晔，尚进，蒋东毅.云数据中心网络安全服务架构的研究与实践[J].信息网络安全， 2016（9）：98-103.

[2]蒋飘蓬，于德海，王红丽. 基于云计算的数据中心服务架构研究与实践[J].电脑知识与技术：学术版， 2017，13（8）：96-97.

[3]许鹏，张桂玉，马季春，等.云化时代运营商数据中心业务及网络演进研究[J].邮电设计技术， 2021（6）：52-58.

[4]方祥毅，张永嘉.大数据背景下软件定义安全的服务架构研究与分析[J].数码世界， 2018（11）：108-109.

[5]陈鹏州.对云数据中心网络安全服务架构的研究[J].网络安全技术与应用， 2018（8）：64，74.

[6]冼学辉，熊伟.基于超融合技术的高校数据中心设计与实现[J].中国教育信息化， 2020（15）：80-82.

[7]耿延军，王俊，周红亮.云数据中心网络纵深防御研究[J].信息安全与通信保密， 2019（7）：22-29.