庞金香, 隋萌萌

(中国石油大学(华东) 1. 网络及教育技术中心; 2. 计算机与通讯工程学院， 青岛 266580)



高校云计算数据中心安全的设计与实现

庞金香1, 隋萌萌2

(中国石油大学(华东) 1. 网络及教育技术中心; 2. 计算机与通讯工程学院， 青岛 266580)

高校可以利用云计算中心整合现有的数据中心，实现对IT资源的充分利用，提高信息系统的效率和性能，缩短投产使用的周期。由于云计算也可以看做信息系统的一种，因而它也有着一些与其它信息系统相似的安全问题。从传统意义上的数据中心建设出发，结合云计算数据中心建设和安全的建议原则，探讨数据中心的安全。

云计算； 数据中心； 安全； 灾备中心

0 引言

云计算通过以太网连接的方式将大量计算资源进行统一调度和管理，从而构成一个可以按需服务的计算资源池。为了更好地提供高效、高性能、可管理的云服务，可搭建以EMC、Cisco和VMware等为平台的云计算数据中心并提供各种服务。但是，云数据中心也会面临新的安全威胁，特别是高校云数据中心的安全问题尤为重要。

1 高校云计算数据中心安全建设

高校云计算数据中心安全建设主要从以下几点着手：

1.1 服务可用性

云计算数据中心的可用性对于高校而言是至关重要的。硬件或软件故障都会影响系统高可用性。由于云计算需要为应用提供高质量和高效的服务，这就要求云计算必须具备容错和容灾能力。

网络方面：采取双链路接入，避免单点故障的发生。在一台网络设备或者某条链路出现故障的情况下，通过网络高可用性技术，虚拟网关可以迁移到另一台并行网络设备。

服务器方面：针对承载虚拟计算资源的服务器，可以在专网云和外网云均配置集群系统，为两台并机做高可用性集群。使用虚拟化软件的HA功能，在单台虚拟机或物理机出现故障的情况下，虚拟机可以无缝迁移至集群中的其他物理机器上。

存储方面：采用RAID技术保证硬盘层面的数据安全，同时采用双控制器以及存储自身的硬件模块冗余技术，在单一模块出现故障的情况下，能够保证业务系统无中断。对主机的连接采用多通道技术，保证链路安全。

容灾机制方面：在单一的机房环境中，受到电力设施、制冷设施以及其他不可抗拒因素(例如火灾，地震等)的制约，会发生整个数据中心瘫痪的情况。可以考虑在灾备中心构建灾备机房，即可有效防止一般灾难情况的发生。在主数据中心发生故障的情况下，可以启动灾备中心的备用计算资源，保证服务的持续性以及数据的高可用性。

软件方面：将业务系统迁移至云计算数据中心后，可以很方便地对操作系统执行快照并对存储数据进行备份。在线备份不会影响业务的正常运行。部署详细的规划来对云计算数据中心的数据进行备份。在出现系统紊乱瘫痪的情况下，通过备份还原机制，能够很快恢复到某个时间点上。对重要的系统应用(例如数据库)制定合理的数据库备份策略。

1.2 隐私保护

隐私保护是云计算另外一个重要的问题。要确保高校用户的身份信息、访问历史、访问方式受到保护，并且数据的存储处理也要能保护用户的个人隐私；要能防止数据挖掘获得隐私，阻挡通过各种攻击来获取别人的隐私[1]。

1.3 数据和服务安全隔离

云计算是设备和数据池共有化的模式，所有的数据、服务都在云内进行。各单位的数据需要同其他单位的数据执行隔离。为达到这一目的，可以部署虚拟化安全加固产品，在云计算基础架构上划分不同的资源组，针对不同的逻辑资源组定制访问策略，对不允许互相访问的对象可以制定严格的访问策略，还可以针对源地址和目的地址，或根据资源组、文件夹划分安全组。

对外部的业务用户来说，只能访问到虚拟机层面。虚拟软件的底层在网络上是不可达的或者不可访问的。

1.4 访问控制和审计

云计算管理中心使用独立的网段，外部无法通过网络访问云计算数据中心的设备。各个物理服务器的管理端口通过单独的物理网卡连接到管理VLAN或物理独立的网络，这样可以有效地避免外部非授权用户通过业务网络对云计算平台的底层架构进行破坏。

此外，在业务接入层，我们采用传统的访问控制措施，通过鉴定权限、证书身份认证、网络准入等对外来用户访问的合法性进行鉴定，并授予其应有的权限角色，确保外来用户对云计算平台中的资源进行安全访问。

在云计算管理中心，我们可以在管理平台上为不同的管理账号授予不同的控制权限。可以限制某个用户只有针对某个资源组、某台虚拟机或某个网络端口组的控制权限，并对登录者的操作执行日志记录。除云系统管理员外，一般管理员是无法删除该记录的。历史日志记录可以导出并归档保存。在管理平台上，我们也可以同AD集成，使用域中的账号，并为账号赋予不同的权限。

在VCD资源分配平台中，也可以根据用户身份的不同或使用业务特点的不同制定不同的访问控制策略，为其分配不同性能的资源池，对重要的业务分配可用性强的资源，对次要的业务可以分配可用性差一些的资源。

1.5 恶意代码与防护，入侵检测与应急响应

1.6 基于云计算的安全保障体系建设

云计算管理中心采用分权分级管理。可以采取分级控制和流程化管理的方法来防止出现“偷窥”各部门程序和数据的情况。例如：可以将管理人员的权限划分为两个层面，第一个权限层面为普通的运维人员，只负责普通的日常维护工作，无法接触到核心数据和业务；第二个权限层面为核心管理人员，虽然可以接触到核心数据和业务，但是受到一系列的流程限制。

云计算改变了传统的服务方式，但并没有改变传统的安全模式。云计算环境中所不同的地方是其安全设备和措施的部署在不同的位置，因而安全责任的主体也发生了变化。原来各接入云的二级单位要自己保证自身服务的安全，而现在由数据中心保证服务提供的安全性。

2 高校云计算数据中心安全设计

2.1 安全域的划分

安全域的划分需要建立在对云上应用业务的分析基础之上。因而与前述的虚拟服务区的划分原则一致，每一个虚拟服务区应当对应唯一的虚拟防火墙，即对应唯一的一个安全域。具体原则如下：

1) 同一业务一定要在同一个安全域内，同一个业务系统应在同一个安全域内；

2) 有必要进行安全审计和访问控制的区域必须使用安全域划分；

再如，以叙事起句。如黄公度“薄宦各东西，往事随风雨。”这首词是黄公度寄给其弟黄童之作。全篇起句“薄宦”“东西”“随风雨”，写出了诗人这辈子的羁旅漂泊生涯，以家书的形式寄予了深厚的“后会知何处”之情。又如曹冠《梦仙》中“午枕”交代了时间，“游仙”交代了事件，“蓬莱境”交代了“游仙”之地。再如黄机的作品，首句以一个“忆”字点出女主人公所处时间点是现在时。紧接着“数到郎归日”，又以一个时间段的形式从侧面突出了女主人公对男子的深切思念。再一句“及至郎归郎又行”，诗人先让我们跳跃到男子归来时的那天，又再把我们拉回男子再次出行的这天。三句，看似平常无奇，实则情景切换，时间跳跃，有极强的蒙太奇效果。

3) 需要进行虚拟机迁移的虚拟主机要在同一个安全域内。

2.2 防火墙部署设计

各个安全区域的网络流量既需要互相访问、又要经过严格的访问控制和区域隔离。如果按照传统的网络设计，需要在每个网络应用以及交换平台之间的边缘部署防火墙设备来进行安全保护，这样需要大量的防火墙，性能也受限于外部连接接口的带宽，还增加了网络管理的复杂度，未来也难以扩展。因此我们应当使用内置于交换机的高性能防火墙模块，不必考虑复杂的连线从而可以方便地进行安全域划分，易于扩展和管理，提高整体性能。

每个安全域都分配有防火墙，所以每一个安全域只需要考虑自己的一套出入策略即可。安全域复杂的相互关系变成了每个安全域各自的一出一进的关系，这样整个防火墙的策略就变得模块化、清晰化和简单化。在诊断策略的问题时，只要到相关的安全域去看其专用的虚拟防火墙所配置的策略，就容易找到问题所在。

防火墙设计中将充分使用虚拟防火墙技术。每个虚拟防火墙可以独立执行策略配置、策略执行、策略显示等等，所有操作就像在一个单独的防火墙上那样。而且虚拟防火墙还应当具有独立的可由管理员分配的资源，比如连接数、内存数、策略数、带宽等等，防止一个虚拟防火墙由于病毒或其它原因而过多占用资源。仅仅用VLAN一类的技术划分防火墙无法起到策略独立性和资源独立性的目的，不属于这里所指的虚拟防火墙。

虚拟防火墙还应当配合虚拟三层交换机来使用。每一个安全域内部可能存在多个IP子网，它们之间需要有三层交换机进行路由。但不同安全域之间这样的路由不应当被混同在一个路由表中，而应当是每个安全域有自己的路由表，可以配置自己的静态和动态路由协议，就好像有自己独立使用的一个路由器一样。不同安全域相互之间仅通过虚拟防火墙互相连接，因此各个安全域的互连逻辑结构如图1所示：

图1 各个安全域的互连逻辑结构图

最终应当达到虚拟化数据交换中心的使用效果，即交换机的任何物理端口或VLAN端口都能够充当防火墙端口，同时每个安全域可以有自己独立虚拟路由器、独立的路由表和独立的动态路由协议。每个安全域对应有一个自己专用的虚拟防火墙，每个虚拟防火墙拥有独立的管理员权限定义安全策略和所用资源。不同安全域的管理员只负责本区域虚拟防火墙的策略控制管理，而不用关心其它虚拟防火墙的配置工作，避免了单一区域安全策略配置错误对其它区域可能造成的影响，从根本上简化大型数据中心管理维护的难度。

2.3 防火墙策略设计

由于采用虚拟化设计，不同安全区域之间的访问控制策略只需考虑各个安全区域内的出方向策略和入方向策略即可。初始策略依据如下原则设定，然后根据业务需求不断调整：

出方向上不进行策略限制，全部打开。

入方向上按“最小授权原则”打开必要的服务。

允许发自内部地址的双方向的ICMP，但对ICMP进行应用检查(Inspect)。

允许发自内部地址的Trace Route，便于网络诊断。

关闭双方向的TCP Seq Randomization，在数据中心内的防火墙可以去除该功能以提高转发效率。

减少或者不进行NAT，保证数据中心内的地址透明性，便于提供服务

关闭nat-control(此为默认)，关闭xlate记录，以保证并发连接数。

对每个虚拟防火墙的如下资源进行最大限定：总连接数，策略数，吞吐量。

基于每个虚拟防火墙设定最大未完成连接数(Embryonic Connection)，将来升级到定义每个客户端的最大未完成连接数。

2.4 虚拟化的安全

数据中心可划分为不同的层面，包括网络接入层、汇聚层、核心层、业务接入层和运维管理层[2]。因此需要在不同层面考虑数据中心的安全。每个层面都有不同的安全问题，所以采用的安全策略也不同，如表1所示。

表1 虚拟化不同层面的安全保护

对于接入层而言，主要的威胁是来自互联网的DDoS和SYN攻击。此类攻击是将带宽耗尽，使得服务器无法响应，难以对外提供服务。解决该问题的办法就是对数据中心的流量进行清洗，并过滤掉这些攻击。

对于业务接入层而言，主要是对主机进行防护。一方面通过安装杀毒软件，对系统定期查杀病毒和木马；另一方面定期进行扫描，做出适当的安全评估，有针对性地实施防护手段，从而对主机本身进行安全防护。

对于汇聚层及核心层而言，一是进行访问控制，将网络分为可信区域和不可信区域，并进行有效的隔离防护；另一方面加强网络的入侵防护，对网络设备也要进行严格的访问控制，明确哪些人员可以管理，哪些人员不可以管理。

对于用户终端接入而言，要对终端进行准入控制，对接入的用户进行审计。

对于数据中心的保护，不仅仅要考虑环境安全和技术安全，还要考虑管理安全。对于管理人员而言，主要分为两个方面。一方面是对远程接入管理的安全防护，要严格控制远程接入管理人员的管理权限，可以允许其通过VPN等方式接入；另一个方面是针对本地运维人员的安全防护，明确哪些人员可以进入机房，严格落实机房管理制度。

2.4.1 专网私有云安全

一般高校数据中心内会有多套不同的应用系统，分属不同的业务部门管理。将系统迁移到私有云中以后，借助本安全解决方案系列中支持虚拟化的虚拟数据中心和云计算环境保护解决方案，能够在整个组织范围内加强应用程序和数据的安全性，了解、控制并加快IT遵从性工作的发展进程。

1) 由于在私有云中，无法确定不同的业务部门运行在哪台物理主机上，因此所需的解决方案应当能够增强对虚拟机之间网络通信的控制，能够针对应用分域，并且可以创建基于业务的安全策略。

2) 对私有云，针对不同的二级单位，需要针对不同资源池、虚拟机等划分组，并可以针对该逻辑分组制定防护策略。

3) 在虚拟机迁移时提供动态保护。

4) 连接控制可以基于网络、应用程序端口、协议类型(TCP/UDP)和应用程序类型进行。

5) 通过分析虚拟机与虚拟机间产生的流量，来优化或重新制定防火墙策略，防止僵尸网络的产生，并通过详细报告应用程序流量(应用程序、会话、字节数)来保护业务流程的安全。

6) 采用基于IP的有状态防火墙和应用程序层网关，可支持包括Oracle、Sun远程过程调用(RPC)、Microsoft RPC、LDAP和SMTP在内的众多协议。

7) 有日志审核与记录功能。

2.4.2 外网私有云安全

对外网私有云，除了在数据中心内满足专网私有云安全的要求之外，还需要在网络边界部署安全设备，实现针对虚拟数据中心的全方位外围网络安全保护。网络边缘的安全设备应该具备如下功能：

1) 带状态检测防护。

能够基于以下内容的规则进行入站和出站连接控制：

IP地址——源/目标IP地址

端口——源/目标端口

协议——按类型(TCP或UDP)

2) 具有NAT功能，能够针对不受信任的地址伪装云数据中心的IP地址。

3) 能够保护虚拟数据中心之间的通信。

4) 支持站点间VPN。

5) 针对所有流量的入站负载均衡。

6) 端口组隔离。

7) 边缘流量统计信息。

3 总结

云计算数据中心安全部署是云基础架构中的重要建设环节。安全的云计算数据中心需要考虑环境安全、技术安全和管理安全；使用防火墙、入侵检测等设备来提供静态的保护能力；通过备份和容灾等方式，防止故障并降低损害；同时需要具备主动防御的能力，能够及时发现攻击，并能够从破坏中恢复。通过种种策略部署，从而建立一个完备的、多层面的体系来对云计算数据中心进行防护。随着云计算技术的发展，只有全面规划，才能建立健全完备的云数据中心防御体系。

[1] 张艾斌. 云计算模式与云安全问题研究[J]. 科协论坛, 2010(6): 58-59.

[2] 高忠新, 战也非. 浅谈高校校园网建设[J]. 牡丹江师范学院学报(自然科学版), 2007，(3): 8-9.

[3] 吴吉义, 沈千里, 章剑林, 等. 云计算：从云安全到可信云[C]∥2010年第16届全国信息存储技术大会(IST2010)论文集, 2010: 229-233.

[4] 吴旭东. 云计算数据安全研究[C]∥第26次全国计算机安全学术交流会论文集, 2011: 38-40.

[5] 万利平, 陈燕. 云计算在教育信息化中的应用探究[J]. 中国教育信息化, 2009(9): 74-77.

Design and Implementation of Cloud Computing Data Center Security at Colleges and Universities

Pang Jinxiang1, Sui Mengmeng2

(1. Internet and Education Technology Center; 2. College of Computer & Communication Engineering, China University of Petroleum (East China), Qingdao 266580, China)

Colleges and Universities can integrate the existing data center by using the cloud computing center in order to take full advantage of available IT resources, so that the efficiency and performance of the information system can be improved, and the cycle of the applications being put into practice can be shortened. As the cloud platform can also be viewed as a kind of information system, it has some security problems like those of other information systems. Based on the traditional construction of data center, this paper discusses data center security combined with recommended principles of construction and security of cloud computing data center.

Cloud computing; Data center; Security; Disaster recovery center

2015 年赛尔网络下一代互联网技术创新项目(项目编号：NGII20150115)

庞金香(1978-)，女，工程师，研究方向：网络信息管理、一卡通。 隋萌萌(1992-)，女，硕士研究生，研究方向：软件定义网络(SDN)、计算机网络及应用。

1007-757X(2017)07-0023-03

TP393

A

2017.02.17)