數據中心安全及應對策略

雲數據中心是利用雲計算技術，自動化地按需提供各種雲計算服務的新一代數據中心。做爲雲業務的載體，雲數據中心的業務特性與傳統數據中心差別巨大，主要表如今：其業務模式從以託管和固定計費爲主轉爲以租賃和按適用計費爲主，其業務開通從線下轉向以線上爲主，其主要資源類型從專用物理資源轉變爲雲化、可遷移、可按需調整的虛擬資源，其業務規模和用戶數提升了一個量級，其業務流量從以南北向爲主轉而出現大量東西向流量，業務種類多樣，控制流量更爲複雜。

雲數據中心網絡面臨安全挑戰

鑑於雲數據中心的上述業務特性，以及SDN、NFV等新技術的迅猛發展和規模應用，雲數據中心網絡相較於傳統數據中心網絡而言，主要面臨如下安全挑戰。

虛擬化技術的發展使得安全邊界難以界定，邏輯網絡拓撲根據業務的需求隨時可變，傳統的基於物理邊界防禦的安全架構沒法對其進行有效的安全防禦。

業務場景更爲複雜，對網絡和信息安全的個性化需求更爲強烈。而傳統安全硬件設備將軟件與硬件綁定，對外提供固定安全功能，管理員只能經過手工操做界面對其進行簡單配置，沒法根據業務應用場景進行靈活的功能調整和定製，不能知足業務的彈性、按需的安全需求。

在虛擬化網絡軟件耦合的環境下，安全事件的定位與排查更爲困難。

虛擬資源的彈性擴展和虛擬網絡安全邊界動態變化要求安全設備具有敏捷與協同防禦特性，而現有安全設備和系統各自爲政，缺少有效協同及聯動的手段與機制。

SDN、NFV等引入新的安全風險。SDN控制器成爲關鍵節點，一旦控制器被***，***將可能得到控制器所覆蓋的整個網絡的控制權；控制器運行異常，也可能會形成下層網絡設備的流控制不一致，致使網絡故障甚至癱瘓。另外，上層應用的資源開放及SDN可編程的特色，將可能引入惡意應用及插件、資源越權訪問等安全風險，致使安全威脅倍增；不一樣應用間的控制策略相互影響，也可能帶來安全策略相互違背的安全隱患。NFV設備引入 MANO、虛擬化技術，並經過標準API接口開放電信網絡能力，不只大大增長了安全管理的複雜度，並且增長了安全***面，帶來了NFV可信性、可用性等新的安全風險。

雲數據中心安全策略

爲了應對這些安全挑戰，雲數據中心應採起以下安全策略：

1.重構網絡安全架構，實現按需彈性安全防禦。

傳統盒子思想的安全產品架構沒法知足雲數據中心的安全運營需求，必須對安全架構進行重構。軟件定義安全（Software Defined Security，SDS）是網絡安全架構重構的一個可行方向。其將安全設備的功能、接入模式、部署方式進行解耦，底層抽象爲安全資源池中的資源，頂層統一經過軟件編程方式進行智能化、自動化的編排和管理，實現業務和應用驅動，以適應複雜網絡的安全防禦。

對於雲數據中心來講，可借鑑軟件定義思想，創建一個集中安全的控制管理架構，經過將安全能力等從底層異構的硬件中抽象出來，成爲可由軟件定義的資源，使原來獨立、難以互通的控制組件構成統一的控制平面，即利用通用芯片上的虛擬化技術，實現標準的安全處理流程，將安全策略管理從硬件設備中解耦出來，並經過頂層統一軟件編程方式實現業務和應用驅動，實現基於策略的、自動化的集中管理和控制。因爲安全控制面與數據面分離，能夠在控制面上根據承載業務的不一樣安全需求按需配備安全資源，並藉助全局視野靈活調整策略，實現安全資源的動態協同防禦和智能精細控制。同時藉助SDN網絡控制器，以業務鏈的方式調度流量，用邏輯拓撲取代物理拓撲，流量可靈活地按特定次序調配由服務功能處理，實現安全資源的按需訪問，從而適應雲計算中心動態按需調整的網絡環境。

2.實施微隔離，實現雲數據中心東西流量安全管控。

網絡隔離是基礎防禦手段，傳統數據中心的網絡隔離主要是基於設置安全分段、建立子網和虛擬LAN，經過手動配置和維護的ACL 或防火牆規則來進行安全域的隔離。該模式須要將安全策略鎖定至工做負載所處的物理位置，通常是基於IP子網與應用間的映射，可是，僅僅基於子網的策略定義是不夠的，不少時候須要面向IP地址進行更精細的策略定義，策略條目會爆炸性增加。在雲數據中心動態化的網絡環境下，隔離策略的配置、調整及過期策略的回收等工做量將呈指數增長，安全運維人員將不堪重負。

爲了解決這個問題，雲數據中心應組建分佈式防火牆資源池，同時基於軟件定義安全的集中安全管理架構，集中實施靈活的基於安全組的安全策略控制。經過與SDN控制器的協同，安全運維人員可靈活實現虛擬機間流量的流轉控制，即便物理IP地址變化，也能夠保證其安全策略自動隨工做負載移動。在這種微分段模式下，雲數據中心能夠真正實現「零信任」的網絡安全控制，經過藉助SDN網絡流量的可視性，實施最小限度的訪問權限，並隨時根據安全情況，調整訪問控制策略，從而控制安全風險在數據中心內部的橫向擴展。

3.提高控制面安全性，應對SDN/NFV技術引入的安全風險。

經過數據平面與控制平面解耦，SDN引入了新的***面及安全風險，SDN控制器面臨的安全風險將遠大於傳統網管系統。SDN的安全防禦應在實施傳統安全防禦手段並適當提高安全防禦等級的基礎上，重點提高SDN控制器自身的安全機制，提升控制平面自身安全健壯性以及南北向的安全控制，主要包括對流規則的合法性和一致性檢測、應用程序的權限控制、抗DDoS***等。NFV的安全防禦策略與SDN相似，應採用嚴格認證受權、安全隔離以及策略一致性安全檢測機制，並重點保障VNF的可信性，包括VNF的生命週期安全管理、VNF安全啓動檢查等。

整體而言，雲數據中心安全防禦應結合SDN/NFV等新技術的發展需求，健全安全體系，增強虛擬化安全、控制面加強安全機制等關鍵技術的實用化和落地部署。同時，充分借鑑軟件定義安全理念，並結合技術成熟度，開展相關安全系統的雲化改造，提高安全系統的資源利用效率及總體安全防禦協同能力，並探索集中安全控制體系，與雲計算管理平臺以及SDN控制器進行協同，實現按需安全防禦以及智能精細控制。

轉自：九奧科技