徐佳曦

（上海邮电设计咨询研究院有限公司，上海 200000）

近年来，随着网络安全和云计算迅猛发展，我国的云安全领域市场呈现出迅猛的增长态势。相关资料表明，近三年，我国云安全市场的提升速度在40%以上，其中2021年，云安全在市场中创造出了接近118亿元的份额。到了2022年，云安全的整体份额达到了173亿元以上，增长近50%。云安全市场规模之所以扩大这么快，离不开相关政策的扶持[1]。网络安全领域前进的基础动力就是政策合规，伴随国际局势的风云变幻，网络安全成为国家安全战略的一部分，各国分别颁布了大量与网络安全有关的法规与政策。2021年美国出台了《关于优化国家网络安全的政府指令》，中国推出了《数据安全法》以及《网络安全法》等。

1 云数据中心网络安全服务架构面临的风险

1.1 物理网络安全风险

在物理网络中，最基本的安全问题之一是面临DDoS攻击。DDoS攻击在网络运行期间对其造成严重威胁。特别是在云计算环境中，出于应对DDoS攻击的考虑，云服务器往往会受到一定的限制，导致云服务器在极短的时间内会接收到大量的DDoS请求。因此，服务器因为过载而导致系统崩溃，从而干扰到正常的访问请求。不法分子专门利用DDoS攻击手段，对网络设备进行监听，或者盗取与用户相关的核心数据，该恶意行为极大地威胁着网络安全，并且严重削弱了用户数据的保护[2]。

1.2 虚拟网络安全风险

为了提高网络的安全性，云计算数据中心采用了最初的网络安全措施，并设置了防火墙。然而，在虚拟网络环境下，仅依赖有限的数据保护措施无法确保网络数据的安全，更谈不上构建强大的网络安全体系。在云计算条件下，用户可以根据自身需求向服务器发送访问请求，以获取相关资源。此外，使用单个物理主机即可同时运行多个虚拟服务设备，提供了灵活性和效率。然而，即使在网络环境下，仍然存在许多无法监控到的潜在威胁，因此从安全性的角度来看，信息的保护程度远远不够高效和合理，使得网络在任何时刻都面临着遭受攻击和侵害的风险[3]。

1.3 虚拟交换层安全风险

在数据中心采用虚拟化技术进行配置后，网络的边缘区域呈现出动态性的变化，对于确保网络的安全性提出了更高的要求，因此我们不得不完全依赖网络安全系统。此外，在网络安全策略和流量感知性能方面也会提出更高的要求。对于数据中心而言，引入虚拟交换技术会导致全新且独特的网络层次的形成。正如虚拟交换层的引入，网络管理的边界和功能在判断上变得更加复杂，使得网络系统更难以感知虚拟服务器的存在[4]。虚拟区域与数据中心之间的联系变得不可分割。该点在网络系统中尤为重要，因为虚拟化技术的应用使得网络管理的挑战更加复杂，但也提供了更高的灵活性和效率。

2 云数据中心网络安全服务架构

2.1 安全服务控制模块

安全服务控制平台负责作为服务平台的外部接口，向北提供服务，进行业务编排，进行整个生命周期的管理，并负责引流下发和决策，同时也负责安全策略的下发和配置。在数据中心的核心控制平台中，业务编排设备能够根据用户的实际业务需求，通过使用安全服务控制平台的北向接口（NBI）来进行安全服务的配置。生命周期控制模块位于控制平台中，通过调用数据中心控制平台的API来控制服务构件的启动和停止。此外，安全服务能够从数据中心收集实时信息，包括用户资产的配置信息，例如虚拟网络和虚拟机。管理员通过安全控制界面来管理此类安全服务。操纵平面能够在物理机或虚拟机上运行，并支持多机部署模式，以满足容量扩展和高可用性的要求。

2.2 安全服务功能模块

分散式服务构件构成了安全服务平面。根据用户的具体需求，在单台物理机上，能够安装一台或多台安全服务构件。此类安全服务构件有两种实现方式，一种是虚拟机，另一种是虚拟化管理软件。如果选择虚拟机作为服务构件，那么可以在虚拟机中集成更复杂的性能，同时利用网络层面扩展并集成更多的服务构件，从而创建一个庞大的服务链。此外，虚拟机还有一个显著的特点，即选择虚拟机模式后，不再需要特定的虚拟化管理软件。同一种安全服务虚拟机可以在大多数数据中心和多数虚拟化管理软件上运行，而且无需对虚拟机进行任何修改，虚拟机不仅丰富了其运行方式，还优化了运行流程。通常情况下，大多数虚拟机在运行时都包含扩展服务和安全服务。

2.3 引流技术模块

针对在虚拟化监控程序中运行的安全服务组件来说，能够直接通过虚拟化监控程序实现数据引流效果。而在虚拟机中的安全组件，则必须依赖外部的引流机制，才能实现用户虚拟机到服务组件的数据引流效果。

（1）虚拟化监控程序API：如果虚拟化监控程序提供了直接从端口到端口的引流API，选择API将确保效率最大化。然而，API必须与虚拟化监控程序绑定在一起，才能实现直接调用。

（2）中央用户虚拟交换机API：从用户虚拟机到安全服务的数据引流过程可以利用中央用户虚拟交换机的基本设置来实现，而无需特殊支持虚拟化监控程序。因此，大多数数据中心采用该方法。

（3）软件定义网络API：在构建虚拟网络时，如果选择了软件定义网络（SDN），则数据引流需要通过调用SDN控制设备的API来实现。对于不同类型的SDN，只需要适配API即可实现相应功能。安全策略控制组件可以根据安全策略进行相关设置，并确定数据引流需求，还可以利用调用SDN控制设备的API来实现流量引导。在充分了解了以上三种数据引流方法后，如果以适用性为主要选择依据，只有第一种方法无法高效地满足需求，而后两种方法则能够更高效地满足安全服务的配置需求。

2.4 安全保障模块

该模块的构建涉及到数据中枢内的虚拟网络和虚拟机。从逻辑上看，此类部署必须与其他用户资源明显区分，以确保其他用户不会对安全服务造成干扰。选择使用加密通道来进行安全服务虚拟机之间的通信，以确保操纵和配置的保密性。自主恢复、错误自检以及高可用性部署均确保了安全服务的高效性。允许多类别的数据中枢：可以在SDN或虚拟机上运行安全服务，以确保安全服务不会与任何虚拟化管理软件或管理平台绑定，从而实现在多种形态的数据中心进行部署。开放接口和综合管理：操作平面为管理员提供了一个全面控制安全服务组件的接口。

3 云数据中心网络安全服务架构的防范策略

3.1 拓展数据中心安全系统功能

为了增强数据中心的安全性，可以采用密钥控管模式。为了防止数据中心被违规用户登录、浏览，甚至是窃取破坏，需要对数据中心配备密钥。此措施与计算机防火墙技术相近，就是把非法访问的用户完全隔离在网络之外，阻断其登录请求，同时在网络平台访问设定上，也要完成相关身份鉴别，确保用户在进入数据中心后，能够在平台的引导下访问那些开放授权的数据，不能让用户无限制地浏览所有数据，因为其中包括很多与用户没有太大关联，但却非常重要的信息。而且当下的网络环境非常开放，借助这种密钥手段，能够实现对访问用户的高效控制，极大地提升数据中心的安全性。密钥技术最核心的手段就是密钥控制，给每个用户都配置一把专属的密钥，同时密钥要具备充足的“长度”，以此来增加攻击者的攻破难度，进而增加数据中心的风险防范能力。

3.2 完善身份认证管理体系

要想完善该体系，就需要用到网络申请控制技术，即网络权限技术。基于网络安全防御系统，维护网络运行安全的关键措施就是应用申请控制技术，把没有访问权限的全部用户隔离在系统之外，确保这些“黑户”不能访问网络平台。此外，除了依赖用户权限设置外，还需要借助互联网申请限定技术，以实现对用户登录的高效合理控制。该技术作为最外层的控制机制，必须确保用户只能够访问规定的网络平台，并对其浏览和下载相关信息资源的时间进行规范限制。不能允许用户在平台内无限制滞留，而是要确保每次上网都有特定的时长限制。

3.3 强化数据安全管理，深度加密

云网络中最容易受到攻击的便是云计算数据。数据中心存储了大量非常有价值的信息，为了防止信息被攻击，就必须提升网络安全存储技术，具体的措施是，对数据隔离区域以及数据存储部位等都必须进行完善的配置，以防止数据遭受毁坏。为了完成对云计算数据的高效保障，需要选择独立隔离的模式。这就要求云计算数据控管平台，在保证数据资源共享的前提下，还要优化数据加密技术，进而完成对访问对象的合理把控。除此之外，还要加强对网络安全保护的重视，以保证系统可以顺畅运作。同时还要将关键的数据信息进行备份，完善安全存储措施，进而确保所有数据信息都处于完整、安全的状态。

3.4 优化云数据中心安全架构算法

确保云计算拥有安全的核心架构，才能确保云数据系统的安全。因此在架构中，必须合理应用这些技术。第一，虚拟化技术。其作用是通过虚拟化，把物理资源转变为若干虚拟资源，进而完成资源的利用与共享。虚拟化技术能够增加云数据中心的可拓张性与灵活性，还能够增加系统整体的安全性。第二，授权与安全认证技术。其作用是依靠访问授权与身份认证来确保云数据中心的安全。通过合理应用该技术，能够在很大程度上拦截住非法访问的用户。第三，审计与安全监控技术。其能够对云数据中心进行审计与实时性的监控，进而能够在第一时间找出并解决安全问题。

3.5 以风险控制为导向优化云端安全节点

第一，封闭用户使用不到的端口与服务。因为服务器系统在组装期间会运行一些没有用的服务，这会极大地增加了系统的安全隐患，同时也占用了系统的有效资源空间。因此，对于不需要的服务器，要进行全面封闭。第二，配置防火墙。当下有非常多的以软件或是硬件为核心的防火墙，对云端安全节点来说，装配防火墙能够有效提升云端安全性，合理地规避可能出现的风险。不过配置防火墙后，还要对防火墙进行设定，要结合实际的网络环境和用户的相关需求，选择最适当的参数或规范，如此一来，才能使防火墙发挥出应有的功效，并且也增强了云端节点抵御风险的能力。

4 结束语

为应对云数据中心网络安全风险，提出了一个综合的网络安全服务架构，包括安全服务控制模块、安全服务功能模块、引流技术模块和安全保障模块。此外，还提出了一系列防范策略，如拓展数据中心安全系统功能、完善身份认证管理体系、强化数据安全管理与深度加密、优化云数据中心安全架构算法以及以风险控制为导向优化云端安全节点等。未来，云数据中心网络安全仍然是一个充满挑战但充满潜力的领域。随着云计算技术的不断发展和广泛应用，网络攻击威胁也在不断演化，因此需要持续改进和升级网络安全服务架构和防范机制，进一步提高网络安全的自动化和智能化水平，以及深入研究新兴技术如人工智能和区块链在云数据中心网络安全中的应用。■