中國電信集團(tuán)山西分公司 | 宋利

廣東省電信規(guī)劃設(shè)計院 | 宋飛 任敏

某些特定的安全規(guī)則。

在已有云計算技術(shù)架構(gòu)基礎(chǔ)上，云計算數(shù)據(jù)中心面臨的安全威脅日益嚴(yán)重，需要從架構(gòu)安全設(shè)計和運(yùn)行安全設(shè)計等方面著手解決。

近年來，隨著云計算服務(wù)的大量涌現(xiàn)、個人計算和企業(yè)計算大量向云服務(wù)遷移，網(wǎng)絡(luò)安全威脅也的發(fā)展趨勢有了很大變化，分布式拒絕服務(wù)攻擊（DDoS）、蠕蟲病毒等大規(guī)模的流量型攻擊成為了云計算中心建成后存在的潛在威脅。

云中心安全架構(gòu)設(shè)計為先

作為當(dāng)前業(yè)界最活躍的云計算安全專業(yè)組織——云安全聯(lián)盟CSA發(fā)表了自己的研究成果：云計算的7大威脅，獲得了廣泛的引用和認(rèn)可，相關(guān)分析如表。

由于當(dāng)前云計算中心基礎(chǔ)支撐網(wǎng)絡(luò)建設(shè)的共同考慮到的因素特點是業(yè)務(wù)集中、數(shù)據(jù)集中、海量數(shù)據(jù)、管理復(fù)雜、高連續(xù)性要求，因此，其基礎(chǔ)支撐網(wǎng)絡(luò)的建設(shè)會類似于傳統(tǒng)大型數(shù)據(jù)中心（IDC架構(gòu)安全設(shè)計就是要參照傳統(tǒng)IDC的安全保障思路，必須要在Internet的出入口）的設(shè)計思路。我們首先要考慮的云計進(jìn)行安全監(jiān)控和管理，同時結(jié)合云計算數(shù)據(jù)中心面向互聯(lián)網(wǎng)的業(yè)務(wù)特點來建設(shè)外圍邊界安全防護(hù)措施。

1、 安全架構(gòu)設(shè)計服務(wù)

針對云計算平臺運(yùn)營的業(yè)務(wù)特點，云廠家需要協(xié)助客戶從企業(yè)使命、業(yè)務(wù)運(yùn)營和IT支撐的角度進(jìn)行安全功能需求地分析，并且融合企業(yè)合規(guī)框架與安全行業(yè)實踐，進(jìn)行一體化的安全架構(gòu)設(shè)計，以威脅建模、受攻擊面分析的手段，實現(xiàn)對威脅的全面消除。

2、 網(wǎng)絡(luò)異常流量分析

通過在云計算中心出口鏈路部署流量檢測系統(tǒng)（旁路部署Netflow流量采樣檢測模塊），實現(xiàn)流量統(tǒng)計分析、路由分析、異常流量檢測。它既可以作為流量監(jiān)控分析產(chǎn)品對網(wǎng)絡(luò)流量進(jìn)行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如DDoS攻擊、網(wǎng)絡(luò)濫用誤用、P2P流量等異常流量。

3、 抗拒絕服務(wù)攻擊

云計算中心因其業(yè)務(wù)的特殊性，在可用性方面將會受到挑戰(zhàn)，針對云計算服務(wù)的拒絕服務(wù)攻擊需要云計算服務(wù)提供商認(rèn)真調(diào)查、采取相應(yīng)的專門保護(hù)措施。其次，云計算快速彈性的特征要求服務(wù)提供商自身必須具備非常強(qiáng)大的網(wǎng)絡(luò)和服務(wù)器資源來支撐，按需自服務(wù)的特征又對業(yè)務(wù)開通和服務(wù)變更等環(huán)節(jié)提出了靈活性的要求。這兩個特征結(jié)合在一起，使得云計算中心很容易成為濫用、惡意使用服務(wù)的溫床。雙向的分布式拒絕服務(wù)攻擊（DDoS）、蠕蟲病毒等大規(guī)模的流量型攻擊成為了大型云平臺的潛在威脅。

4、 DNS域名防護(hù)

DNS系統(tǒng)的安全防護(hù)應(yīng)該是一個系統(tǒng)的、全方位的解決方案。從安全事件的角度來看，應(yīng)分為事前評估加固、事中實時防御、事后分析取證三個階段。從系統(tǒng)防護(hù)的縱深度來看，應(yīng)覆蓋物理層面、系統(tǒng)層面、數(shù)據(jù)應(yīng)用層面等多個維度。下圖即為DNS安全防護(hù)體系。

5、 網(wǎng)絡(luò)入侵檢測

利用入侵檢測系統(tǒng)的攻擊結(jié)果判定功能重點關(guān)注攻擊成功的安全事件。針對某些特定的安全規(guī)則單獨(dú)設(shè)定安全策略，針對云計算中心業(yè)務(wù)特點過濾一些低風(fēng)險或者不可能成功的攻擊行為，從而減少管理員關(guān)注日志告警的工作量，也使得重要攻擊行為能夠得到重點體現(xiàn)。同時，可以針對業(yè)務(wù)特點自定義

某些特定的安全規(guī)則。

表 云計算應(yīng)用面臨的七大威脅

安全產(chǎn)品虛擬化成趨勢

云計算中心的網(wǎng)絡(luò)安全建設(shè)該如何解決針對同一物理計算機(jī)上的虛擬機(jī)之間的通信進(jìn)行細(xì)粒度訪問控制的安全管理需求呢？答案就是安全產(chǎn)品虛擬化。安全產(chǎn)品的虛擬化將勢必成為一種趨勢，來為云服務(wù)提供商和云租戶提供靈活的、可擴(kuò)展的安全防護(hù)。

針對云計算中心的特點，我們可提供虛擬化安全統(tǒng)一管理平臺，提供集中管理，實現(xiàn)統(tǒng)一的管理監(jiān)控、策略配置、報警響應(yīng)、日志分析等多種管理功能。管理平臺囊括虛擬化防火墻、虛擬化IPS/IDS、虛擬化內(nèi)容過濾系統(tǒng)、虛擬化安全審計系統(tǒng)、虛擬化防病毒網(wǎng)關(guān)以及虛擬VPN，具有多產(chǎn)品的系統(tǒng)集中監(jiān)控、策略統(tǒng)一配置和報表綜合管理等多種功能，極大的提高了用戶的安全管理工作效率?？梢钥焖傩纬烧滋摂M化網(wǎng)絡(luò)安全解決方案，極大滿足了大型云計算中心虛擬化環(huán)境部署要求。

綜上，云計算中心的網(wǎng)絡(luò)建設(shè)和發(fā)展是一個長期的任務(wù)，需要隨著技術(shù)的發(fā)展和業(yè)務(wù)的更新，及時地制定設(shè)計新的安全方案，調(diào)整已有的安全策略。而計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全越來越成為一種專門的技術(shù)和服務(wù)。本文在方案設(shè)計中針對現(xiàn)有云計算中心的主要安全風(fēng)險考慮了網(wǎng)絡(luò)各個部分的安全措施，同時，也建議根據(jù)云計算中心的現(xiàn)狀進(jìn)行全面的安全評估，提出更切合的安全方案和建設(shè)規(guī)劃。