電信運(yùn)營商云計(jì)算數(shù)據(jù)中心安全防護(hù)體系構(gòu)建

電信運(yùn)營商云計(jì)算數(shù)據(jù)中心安全防護(hù)體系構(gòu)建摘要：盡管近年來云計(jì)算技術(shù)始終處于高速發(fā)展?fàn)顟B(tài)，且已被廣大用戶所接受，但云安全問題始終是各大云商、電信運(yùn)營商以及網(wǎng)民們重點(diǎn)關(guān)注、急于解決的問題。本文面向電信運(yùn)營商高云計(jì)算數(shù)據(jù)中心，從事安全防護(hù)體系構(gòu)建研究，一方面分析電信運(yùn)營商云計(jì)算數(shù)據(jù)中心面臨的安全風(fēng)險(xiǎn)，另一方面則圍繞抗DDos攻擊、虛擬安全域隔離、虛擬機(jī)安全防護(hù)從事安全防護(hù)體系構(gòu)建的研究。僅以本文促進(jìn)電信運(yùn)營商云計(jì)算數(shù)據(jù)中心安全防護(hù)水平的提升，有效保障電信運(yùn)營商與云用戶的數(shù)據(jù)安全。關(guān)鍵詞：云計(jì)算；數(shù)據(jù)中心；安全風(fēng)險(xiǎn)；安全防護(hù)體系；虛擬機(jī)安全云計(jì)算技術(shù)的發(fā)展，引發(fā)了互聯(lián)網(wǎng)產(chǎn)業(yè)的技術(shù)革命，大量云商以及云用戶，基于云計(jì)算技術(shù)提高了企業(yè)數(shù)據(jù)管理效率、服務(wù)效率。然而，電信運(yùn)營商在構(gòu)建云計(jì)算數(shù)據(jù)中心，面向用戶提供云計(jì)算服務(wù)階段，需要面臨諸多風(fēng)險(xiǎn)，如黑客攻擊、隱私保護(hù)被盜等。因此，從事電信運(yùn)營商云計(jì)算數(shù)據(jù)中心安全防護(hù)體系的構(gòu)建研究，對于促進(jìn)我國云計(jì)算技術(shù)安全水平將有著顯著的推動價(jià)值。一、電信運(yùn)營商云計(jì)算數(shù)據(jù)中心面臨的安全風(fēng)險(xiǎn)（一）黑客攻擊所謂黑客攻擊，指網(wǎng)絡(luò)黑客在利益驅(qū)使下，基于非法途徑進(jìn)入到因計(jì)算技術(shù)系統(tǒng)值周，為云計(jì)算技術(shù)安全性帶來巨大損害。通常，黑客攻擊云數(shù)據(jù)的難以顯著體現(xiàn)于運(yùn)行情況中，且求造成的損害無法實(shí)現(xiàn)有效預(yù)測與分析，并且黑客入侵技術(shù)的發(fā)展速度多數(shù)情況下高于云計(jì)算數(shù)據(jù)中心安全防護(hù)體系的升級以及技術(shù)的發(fā)展。（二） 隱私保護(hù)被盜互聯(lián)網(wǎng)的發(fā)展改變了人們的生活、工作習(xí)慣，越來越多人喜好基于互聯(lián)網(wǎng)實(shí)現(xiàn)購物、交易，而大量網(wǎng)絡(luò)行為，均發(fā)生于云計(jì)算虛擬設(shè)備支持背景之下。在買家、買家網(wǎng)絡(luò)交易期間，犯罪分子可基于云計(jì)算技術(shù)，對互聯(lián)網(wǎng)客戶以及企業(yè)隱私保護(hù)內(nèi)容進(jìn)行竊取，并基于對隱私保護(hù)信息的分析獲取利益。（三） 云計(jì)算病原體云計(jì)算技術(shù)領(lǐng)域下，大量用戶會將數(shù)據(jù)存儲在云端。一旦云計(jì)算數(shù)據(jù)中心基于各種途徑被穿入病原體，就會導(dǎo)致計(jì)算機(jī)無法正常運(yùn)作。同時(shí)，多類病原體會被不法分子基于各種手段進(jìn)行傳播、復(fù)制，以云計(jì)算技術(shù)為中介快速向互聯(lián)網(wǎng)其他區(qū)域傳播，繼而對互聯(lián)網(wǎng)進(jìn)行大面積物理攻擊[1]（四） 存儲資源被模擬云計(jì)算所處的自然環(huán)境為虛擬環(huán)境，用戶利用云計(jì)算技術(shù)開展網(wǎng)絡(luò)交易階段，只有確保交易雙方信息足夠安全才可開展交易。但云計(jì)算環(huán)境之下，一些不法分子，會基于云技術(shù)數(shù)據(jù)中心竊取的數(shù)據(jù)，假冒云技術(shù)，模擬企業(yè)業(yè)務(wù)面向網(wǎng)民實(shí)施詐騙，導(dǎo)致網(wǎng)民受到嚴(yán)重經(jīng)濟(jì)損失。二、電信運(yùn)營商云計(jì)算數(shù)據(jù)中心安全防護(hù)體系構(gòu)建研究（―）抗DDos攻擊安全防護(hù)模塊CAS組織——云安全聯(lián)盟層在2010年列舉云計(jì)算技術(shù)的七大威脅，排名第一威脅為對云計(jì)算的濫用、拒絕服務(wù)攻擊以及惡用，而上述所提出的云計(jì)算數(shù)據(jù)中心安全風(fēng)險(xiǎn)，任何一項(xiàng)均可導(dǎo)致云計(jì)算被濫用、惡用、拒絕服務(wù)攻擊。對于該問題，為有效形成抗DDop攻擊安全防護(hù)模塊，首先，國內(nèi)各大電信運(yùn)營商技術(shù)部門，應(yīng)在云計(jì)算數(shù)據(jù)中心的用戶接入層，安裝專業(yè)抗DDos攻擊設(shè)備，提升數(shù)據(jù)中心對抗拒絕服務(wù)攻擊的能力，針對SYN、YDPFIood、Flood等傳統(tǒng)網(wǎng)絡(luò)層流量攻擊以及應(yīng)用層DNSqueryFlood、HttpgetFlood攻擊進(jìn)行全方位防范。其次，加強(qiáng)云計(jì)算數(shù)據(jù)中心業(yè)務(wù)設(shè)計(jì)階段的安全考量，針對一切可能帶來安全威脅的場景均設(shè)計(jì)專門服務(wù)。最后，加強(qiáng)公共黑名單的監(jiān)控，并時(shí)刻查看網(wǎng)絡(luò)是否被列入到惡意軟件來源亦或是垃圾郵件來源而被阻止服務(wù)。（二）虛擬安全域隔離防護(hù)模塊實(shí)現(xiàn)抗DDos攻擊安全防護(hù)模塊構(gòu)建后，電信運(yùn)營商技術(shù)部門，用合不斷提升的數(shù)據(jù)中心虛擬安全域需求，改變過去基于物理服務(wù)器開展安全域防護(hù)的手段，建立現(xiàn)象虛擬安全域的隔離與防護(hù)機(jī)制?！矫?，對于虛擬安全域隔離防護(hù)需求，電信運(yùn)營商可使用虛擬防火墻技術(shù)。虛擬防火墻，即部署于物理防火墻基礎(chǔ)上的邏輯防火墻，各防火墻會配置獨(dú)立管理員，且以數(shù)據(jù)中心需要進(jìn)行不同安全策略配置。虛擬防火墻，支持VLan與VPN實(shí)例綁定，面向數(shù)據(jù)中心提供相互安全格里服務(wù)，其ACL規(guī)則組、NAT地址池與死有余，可實(shí)現(xiàn)不同虛擬防火墻下數(shù)據(jù)安全隔離且彼此不會互相干擾。當(dāng)黑客面向某一虛擬防火墻消耗大量資源進(jìn)行攻擊，其他虛擬系統(tǒng)資源將不受到任何影響。此外，應(yīng)用虛擬防火墻，不僅部署靈活，可有效簡化網(wǎng)絡(luò)結(jié)構(gòu)，且可大幅度節(jié)約云計(jì)算數(shù)據(jù)中心安全管理的成本，管理員日?？蓪?shí)現(xiàn)不同虛擬防火墻的管理，對于添加、撤銷防火墻無需對網(wǎng)絡(luò)拓?fù)溥M(jìn)行修改，而管理員也可將多臺防火墻縮減為一臺防火墻，可有效減輕后期維護(hù)、管理工作量，并最大化減少防火墻故障點(diǎn)。另一方面，電信運(yùn)營公司應(yīng)建立融合身份認(rèn)證、深度流量監(jiān)測、域間訪問行為的實(shí)時(shí)監(jiān)控。第一，于云計(jì)算數(shù)據(jù)庫安全域布置用戶認(rèn)證技術(shù)，在不同用戶相互方位申請下，計(jì)算機(jī)首先對用戶進(jìn)行身份認(rèn)證，確認(rèn)訪問者真實(shí)身份后，方可讓訪問者按照安全策略面向其他虛擬安全域進(jìn)行訪問。第二，企業(yè)安全網(wǎng)關(guān)整合了病毒過濾、入侵防御以及抗攻擊，電信運(yùn)營公司可將安全網(wǎng)關(guān)在不同安全域部署，實(shí)時(shí)監(jiān)控域間訪問的流量并進(jìn)行統(tǒng)計(jì)，以報(bào)表形式呈現(xiàn)給安全管理人員。第三，基于企業(yè)安全網(wǎng)關(guān)，對各虛擬安全域之間的訪問行為進(jìn)行記錄，結(jié)合用戶認(rèn)證技術(shù)面向不同用戶訪問行為進(jìn)行審計(jì)，確保有效提升審計(jì)記錄可追溯性。（三）虛擬機(jī)安全防護(hù)模塊作為虛擬環(huán)境下最小粒度的網(wǎng)元，虛擬機(jī)缺少對VM間通信流量的可見性，始終是較大的安全隱患。在相同硬件之上，VM之間的通信流量不會經(jīng)過安全網(wǎng)關(guān)、防火墻，傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測技術(shù)，對于VM之間的攻擊數(shù)據(jù)亦或是攻擊之后用于數(shù)據(jù)竊取、傳輸?shù)碾[蔽信道均無法應(yīng)對，如此便為不乏分子帶來盜取隱私保護(hù)信息、復(fù)制與傳播病原體等操作帶來操作空間。針對這一現(xiàn)象，電信運(yùn)營商可面向云計(jì)算數(shù)據(jù)中心設(shè)置虛擬機(jī)防護(hù)墻結(jié)合虛擬化IDS。圖1為常規(guī)虛擬化IDS部署方式：應(yīng)用虛擬化IDS，能夠?qū)崿F(xiàn)面向虛擬機(jī)物理節(jié)點(diǎn)的各種流量進(jìn)行監(jiān)控，包括出入于各個(gè)物理節(jié)點(diǎn)與VM的以及各個(gè)VM之間的流量。同時(shí)，其他類型如IPS產(chǎn)品、虛擬機(jī)防火墻均可以上述形式部署于電信運(yùn)營商云計(jì)算數(shù)據(jù)中心，以有效提升云計(jì)算數(shù)據(jù)中心的安全風(fēng)險(xiǎn)防范水平[2]結(jié)束語云計(jì)算數(shù)據(jù)中心作為電信