张旭辉

【摘要】 随着云计算和虚拟化技术快速发展，云数据中心面临更高的安全挑战。本文首先分析云数据中心内部网络和外部网络面临的网络安全问题，然后提出了云数据中心网络安全体系架构，并给出了云数据中心外部网络安全防护的具体办法和内部网络安全与隔离技术。为后续云数据中心网络安全服务体系建设提供参考。

【关键词】 云计算 虚拟化 云数据中心 隔离

一、引言

数据中心的本质是为了传递、处理和存储信息，所以数据中心必须可靠、安全并能够根据需要扩容和重新配置。随着云计算技术的产生及应用，云数据中心已经成为企业信息化的核心，云数据中心将计算和存储资源从底层基础设施中抽象出来，极大增强了资源的共享性和灵活性。但同时云数据中心下的网络安全问题变得更加突出，除了传统的主机安全、网络安全外，虚拟化技术引入对网络安全建设带来了更高的挑战。

网络是云数据中心的基础，云数据中心面临的网络安全威胁包括针对VM（虚拟主机）和Hypervisor的攻击、侵入攻击、拒绝服务攻击、DDoS攻击（分布式拒绝服务攻击）、蠕虫、病毒等。本文分别从网络安全架构和安全设备部署方面介绍云数据中心的网络安全技术。

二、云数据中心网络安全挑战

云数据中心与传统数据中心最主要的区别就是通过虚拟化技术建立统一的资源池，提高资源使用率、简化资源配置和管理、发挥云计算的灵活性和弹性。目前云数据中心面临的安全问题包括：

出口流量安全：云数据中心出口面临各种侵入攻击、DoS、DDoS、worm、botnet等攻击，主要防止网外人员对云数据中心进行攻击。

内部流量安全：虚拟机作为云数据中心的最小网元、传统的安全设备如防火墙、IPS/IDS等无法监控到虚拟机之间的流量，针对VM（虚拟主机）和Hypervisor的攻击每天都在发生。

高性能要求：较传统网络，云数据中心的出口流量和内部虚拟机之间的流量加大，安全防护系统不能成为性能瓶颈。同时云计算数据中心是弹性扩容的，安全系统也要支持灵活扩展。

三、云数据中心网络安全体系架构

基于云数据中心安全现状分析，云数据中心安全防护需要统筹考虑网路出口、虚拟化层等，从内到外进行全力位考虑，同时考虑采用高性能、高扩展性的安全设备。云数据中心网络安全体系架构图如图l。

云数据中心出口核心设备侧挂防火墙、负载均衡、IPS/IDS、防病毒网关、DDoS流量清洗设备、WEB应用防护等安全设备。同时要保障用户访问数据中心过程中的传输通道安全，防止信息在传输过程中被截取。

对于虚拟化层内部安全问题，现在较为成熟的方法是通过虚拟防火墙隔离技术进行内部数据隔离。通过在虚拟化层部署虚拟防火墙、虚拟负载均衡软件、IPS/IDS深度包检测软件、防病毒软件等进行安全防护。

运维层面部署虚拟堡垒主机对运维操作进行安全审计和管理。

四、云数据中心外部网络安全防护方法

云数据中心外部网络安全防护主要是云数据中心出口核心交换机上侧挂安全防护设备，对云数据中心内部数据进行安全防护。

防火墙：通过部署单独的防火墙设备，可以实现边界安全，包括过滤外界流量、扩展协议支持以及VPN访问等功能。通过防火墙可以划分Trust、Untrust、DMZ和Local四个安全区域，在云数据中心出口核心交换机部署防火墙进行网络层防御，保证业务平台免受外部网络攻击。

DDoS流量清洗设备：在云数据中心出口核心交换机侧挂DDoS设备，对大流量DDoS攻击进行清洗。DDoS设备由流量检测和流量清洗两部分组成，通过在云数据中心出口链路部署流量检测系统，检测系统检测到流量攻击后上报流量清洗系统，由流量清洗系统对攻击流量进行清洗。

IPS/IDS：在云数据中心出口核心交换机侧挂IPS/IDS设备，阻止蠕虫、病毒、木马、DoS攻击、间谍软件、VOIP攻击以及点到点应用滥用。

ISP信息安全管理系统：根据工信部要求，运营商云数据中心必须具备信息安全管理系统，在云数据中心出口链路部署ISP信息安全监控系统，如浩瀚科技的ISP信息安全监控系统，可以有效保护云数据中心的信息安全。

五、云数据中心内部网络安全与隔离

云数据中心内部，不同业务之间的网络必须是相互隔离的。与传统的安全防护不同，云数据中心在虚拟化环境下，物流服务器被虚成多个虚拟机，虚拟机之间发流量交换基于服务器内部的虚拟交换，该部分流量不可控。不同的虚拟机之间需要划分到不同的安全域，进行隔离和访问控制。

对于云数据中心内部网络的安全和隔离有内部流量引出技术和隔离技术两种办法。

5.1 内部流量引出技术

流量外部化技术是对云数据中心内部虚拟机之间的流量通过相应技术引出，对引出的流量进行安全控制。可通过EVB协议（如VEPA协议）将虚拟机内部不同虚拟机之间的网络流量全部交由与服务器相连的交换机处理，交由外部安全控制模块进行安全控制。该方法较为简单，但是将虚拟机内部流量引出会增加额外流量，造成端口浪费。

5.2 隔离技术

目前运营商云数据中心网络安全模型引入了垂直分层、水平分区的概念。垂直分层是在同一套业务系统内部分为核心层、应用层、隔离层、接入层，各层之间应部署安全控制机制。水平分区是不同业务系统之间的应用隔离机制，避免业务系统相互影响。

隔离技术主要是实现各层之间防护，不同业务系统之间隔离。使用虚拟防火墙技术可以实现云数据中心内部数据分层隔离。

虚拟防火墙技术是指软件定义的防火墙，对虚拟机之间的流量进行安全访问控制。通过虚拟防火墙技术主要实现内部安全，包括内部网络VIAN数据隔离、过滤和基于VLAN的策略执行。如V shield APP是VMware安全套件中的虚拟防火墙，通过部署VMware V shield APP可以实现虚机之间的隔离和访问控制。V shield end是VMware安全套件中的虚拟机内部安全模块，通过部署V shield end可以实现虚拟机内部的安全防护。虚拟防火墙的优势是可以在虚拟主机环境下访问控制，通过虚拟机上运行软件防火墙，不会改变VLAN和拓扑的访问控制，提高网络的可靠性。在虚拟机下部署虚拟防火墙使数据中心内部安全防护变的相对简单。而且使用该方法，虚拟机之间的流量管控和安全控制在内部完成，不会增加额外流量，消耗的系统资源少。

六、结束语

云计算时代的到来，云数据中心的网络和信息安全面临更大的挑战，网络犯罪不再去攻击用户的电脑，而是直接攻击云数据中心。本文提出了云数据中心内部和外部网络安全隔离的方法。除了在云数据中心进行基础的网络安全部署，还需要考虑数据加密、备份、认证授权等技术手段以及政策上的立法和监管。无论是政府还是云服务运营商，只有通过不断提升网络安全意识和技术，才能实现云数据中心网络安全防护的目标。