关于云数据中心网络安全服务架构的探讨
来源:用户上传
作者:
摘要:云计算技术在计算机网络中得到了广泛的应用,云数据中心网络的信息安全服务也为人们带来了极大的挑战,虚拟网络安全技术能够有效地解决网络安全问题,通过对云数据中心的安全需求进行分析,探究了分布式云数据中心安全服务的需求,提出了分布式虚拟网络的安全架构,并虚拟网络的安全服务性能与要求等进行全面的研究。
关键词:云数据;中心网络;安全服务
文章编号:1009-3044(2020)20-0055-02
云数据技术实现了以用户为中心的自动化计算、网络管理、服务管理与白动存储技术,云技术的计算虚拟化以及存储虚拟化、网络虚拟化的功能,能够数据中心的物理数据资源进行抽象化处理、资源池化处理,使得用户获得数据更加高效、便捷弹性,也方便用户将关键的数据处理业务从传统的数据处理中心向虚拟化的数据中心转移。但是,在数据虚拟化转移的过程中,网络信息的安全成为人们关注的重点,如何云数据平台提供安全中心服务,是目前迫切需要解决的问题。
1数据中心的安全需求
云数据安全处理中,需要将安全服务进行虚拟化处理,要求必须遵循数据中心的虚拟要求与软件定义的基本思路,才能有机将其他安全技术结合在一起,为数据安全提供服务。
1.1数据中心特性
由于云数据中心的安全服务管理,必须统一到云数据中心管理平台上,要求在数据具有弹性、敏捷性与高效性,才能实现数据安全的统一需求,具有如下的特性:
(1)敏捷性。云数据的安全服务一般都需要部署在云平台管理中心,保障整个云数据中心都处在安全服务保障体系中,并且要求安全保障服务自动地启动与停止不会影响云数据的使用,能够满足数据安全保护的敏捷性要求;
(2)弹性。云数据的安全保护能够实现动态的管理,及时调整安全策略,以满足数据使用以及业务变化的能力,动态调整的过程需要自动进行,基于一定的规则开展安全检测,要求安全服务的弹性非常好,才能满足要求;
(3)高效性。能够实现多种用户同时共享云数据资源,采用同一资源能够反复利用的方式,实现云数据中的物理资源反复利用,就需要保障安全服务能够为多个用户分分享,实现资源统一管理与利用。
1.2数据中心的网络安全需求
在传统的数据中心网络中,网络的物理安全设备结构比较固定,无法对高度动态的用户资源提供安全防护。云数据中心采用了动态处理的技术,要求网络实现安全服务资源化、资源池化,保证在数据处理的过程中,实现数据传输的敏捷性、弹性与高效型,以与计算、存储和网络资源的利用以相同的方式提供安全支持服务。
2分布式云数据中心网络安全服务性能
云计算技术经历计算虚拟化、存储虚拟化、网络传输虚拟化等一系列的技术,以及在数据中心的软件自定义,在技术演进的中,不管是单一的技术还是采用软件定义,在数据中心需要采用统一的平台进行管理,才能有效为用户提供安全的网络服务。
2.1数据中心对网络安全服务的需求
(1)业务跟随。在云数据中心需要随时保障用户数据的安全,在安全服务要跟随虚拟机中迁移而迁移,以实现数据的安全防护以及用户业务流量的全过程跟随,保证数据流量不中断,安全服务不中断。
(2)服务扩展。云数据中心的安全服务要能根据服务的演变而不断地调整策略,以防止恶意的攻击,实现在现有的基础上进行服务更新、拓展,否则会影响云数据中心的安全服务的发挥,实现数据安全服务不断地拓展。
(3)支持多类型数据中心。云数据安全中心要能够满足不同云数据服务的需求,要求安全控制中心能够独立于系统管理平台。为保障安全,在必要时可以舍弃Hypervisor技术支持,支持不同跨技术平台的数据安全控制,以保障不同云平台数据安全中心的数据安全。
2.2网络安全服务的实现
云数据网络安全分为虚拟化安全与软件定义安全两种方式,在SDN技术中,虚拟化安全是常用的技术,它有两种网络部署方式,一种是采用虚拟网络边界的方式进行部署,它的组网方式与物理网络组网的方式相同,虚拟安全网络设备对网络的保护采用控制网络边界的流量实现的,每个用户对虚拟化安全设备进行单独管理,这种安全控制方式,在本质上是将一台物理安全设备虚拟化处理,实现网络的安全控制,实现对数据中心的系统服务敏捷性、弹性以及多用户支持服务的要求。软件定义的部署方式是在需要安全服务的所有物理设备上安装虚拟化安全设备,并安装多设备的管理系统,实现多个网络虚拟设备安全转发策略,这种技术的本质上是将多台物理网络设备以及多设备管理服务器进行虚拟化处理,以提高网络安全服务的迁移功能。
2.3分布式网络安全虚拟化架构
在云数据中心采用虚拟化部署与软件定义部署的方式,实现云平台的控制平面与数据平面分离,实现云数据安全中心的虚拟化,能够为用户提供弹性、灵活、自适应等能力的安全服务。在具体的设计中,一般采用基于SDN技术的方式来实现分布式网络安全虚拟化架构,在系统的引流层采用虚拟机的方式实现网络安全架构部署,结合分布式网络的特征,构建了如图1所示的系统架構,其中虚线部分为虚拟化的网络安全管理部分。
该数据中心的具体架构包括云数据中心管理平台、Hyper-visor和虚拟网络三部分,SDN控制器也是云数据中的重要组成部分,用户的虚拟机接入虚拟网络需要通过Hypervisor,云数据的安全服务通过控制平面部署,与数据中心进行交互,经过引流平面与服务平面进行提供安全服务,并配置二者的安全功能,在系统中,采用虚拟网络单元对网络中的虚拟交换机API或SDN APl对网络的数据进行动态化的引流配置,在多个物理机上配置了安全服务平面,为控制平面在控制与服务部署提供通道。安全控制平面主要部署在多个虚拟的物理设备上,控制数据中心的业务数编排、引流决策以及安全策略配置,数据中心管理平台上的业务编排器根据用户的业务需求控制数据中心的安全,并通过控制平面的NBI来配置数据中心的安全服务,管理员可以通过安全控制管理界面,设置控制平台的服务功能。系统的安全服务平面采用分布式的方式部署,根据数据中心T作的需求,可以在物理机上部署多个安全服务模块,它对网络安全的控制主要是通过连接虚拟机或者Hypervisor实现的。 3系统架构可提供的安全服务
3.1流量可视化
经过控制平面,网络中的用户虚拟机数据流量可以镜像到或穿过安全服务虚拟机,使得控制平面能够达到对虚拟机上的流量进行控制,管理员通过控制平面就可以了解用户虚拟机的流量,采用分布式安全虚拟架构具有两个优势,第一是数据的细粒度控制,可以有效地保证数据流量的细粒度,利用网络的安全模块,可以在虚拟机的任意一个端口上对用户的流量进行检测,而系统的流量监控可以精确地监测到任意一个虚拟机的任何业务;二是全局性,在系统的控制平面,都可以监测到每一个虚拟机模块局部流量,为系统的数据中心安全提供给全局控制景象,细粒度与全局视角为数据安全中心的管理员运维提供了日常安全维护的依据。
3.2微隔离功能
采用微隔离功能可以实现对虚拟网络中的部分用户行为进行安全检测,如果安全服务发现在同一个虚拟网络中的某一个虚拟机上出现被攻击行为时,可以采用微隔离技术将虚拟机受到攻击的部分进行分割隔离,并对其进行检测并遏制源于内部的攻击,就不用对整个虚拟网络进行隔离,而达到安全控制点目标。采用分布式安全架构可以对虚拟网络中任何用户虚拟机的任一端口实施微隔离控制,提高虚拟网络的安全控制。微隔离控制的粒度可以从虚拟机端口到整个用户虚拟网络,利用在控制平面配置安全控制策略,可以通过某个端口的部分对某一个虚拟网络中的网络用户行为进行检测,还可以针对用户的单一业务行为或者某一组爷爷的虚拟机安全防护进行配置,从而能够扩大整个系统的安全性。
3.3提供安全服务
微隔离是为虚拟网络提供安全服务的基础,也是对用户业务安全保护的重要措施,采用分布式安全架构的方式,可以在安全部署在所有的虚拟机上,从而能够为所有的虚拟机提供安全检测服务,利用安全服务模块可以针对网络传输数据的某一个报文、单一数据或者用户行为进行检测,例如防火墙的运行、系统的攻击防护、用户的安全识别、IPS、AV和URL过滤等。同时还可以对多网络、非实时性的网络安全,采用扩展模块的方式,对系统进行安全检测。
3.4支持业务迁移
在数据安全控制中,利用安全控制平面可以对虚拟网络中任何一个虚拟机的事件迁移、安全进行定位,如图2所示服务虚拟机1和目标安全服务虚拟机2之间的业务迁移,安全控制技术实时监控网络的安全,在用户业务迁移完成后,网络的安全状态也发生迁移,保障整个网络的安全监控功能不会中断。
3.5网络全网行为分析
分布式虚拟网络架构的控制平面可以将整个虚拟网络中的每一个虚拟机端的安全信息、局部流量、业务信息、攻击行为等进行汇总,定期对网络的安全行为事件进行分析,在数据的汇聚点能够控制某一个虚拟机,对其数据进行分析,在系统的分析层面,可以对单台虚拟机或者一个集群进行分析,还可以对某一个端口、网络、用户行为等全局信息进行汇总分析,从而能够在整个数据中心视角下对虚拟网络的数据业务全面分析,从而能实时对网络安全进行保护。
4结束语
随着计算机网络技术的不断发展,采用云计算技术能够为网络用户提供了极大的便利,但是网络的信息安全问题也给人们带来了极大的困扰,构建云数据中心的安全服务控制系统,成为网络信息安全管理的重要手段。分布式虚拟网络架构系统,能够满足数据中心对虚拟服务运行控制的需求,在强调网络安全控制的前提下,采用Hypervisor和数据中心的轻藕合方式,对虚拟网络中的任一虚拟机进行安全控制,并采用虚拟交换机与SDN技术进行引流分析与微隔离控制,并具有动态迁移与安全控制分析的功能。
参考文献:
[1]程思嘉,张昌宏,潘帅卿.基于CP-ABE算法的云存储数据访问控制方案设计[J].信息网络安全,2016(2):1-6.
[2]裘晓峰,赵粮,高腾.VSA和SDS:两种SDN网络安全架构的研究[J].小型微型计算机系统,2013,34(10):2298-2303.
[3]王刚.一种基于SDN技术的多区域安全云计算架构研究[J].信息网络安全,2015(9):20-24.
[4]刘文懋.软件定义的企业级数据中心网络安全研究[J].电信科学,2014,30(11):140-144.
[5]刘文懋,裘晓峰,陈鹏程,等.面向SDN环境的软件定义安全架构[J].计算机科学与探索,2015,9(1):63-70.
【通聯编辑:唐一东】
转载注明来源:https://www.xzbu.com/8/view-15299922.htm
