数据中心安全及应对策略

云数据中心是利用云计算技术，自动化地按需提供各种云计算服务的新一代数据中心。做为云业务的载体，云数据中心的业务特性与传统数据中心差别巨大，主要表如今：其业务模式从以托管和固定计费为主转为以租赁和按适用计费为主，其业务开通从线下转向以线上为主，其主要资源类型从专用物理资源转变为云化、可迁移、可按需调整的虚拟资源，其业务规模和用户数提升了一个量级，其业务流量从以南北向为主转而出现大量东西向流量，业务种类多样，控制流量更为复杂。

云数据中心网络面临安全挑战

鉴于云数据中心的上述业务特性，以及SDN、NFV等新技术的迅猛发展和规模应用，云数据中心网络相较于传统数据中心网络而言，主要面临如下安全挑战。

虚拟化技术的发展使得安全边界难以界定，逻辑网络拓扑根据业务的需求随时可变，传统的基于物理边界防御的安全架构没法对其进行有效的安全防御。

业务场景更为复杂，对网络和信息安全的个性化需求更为强烈。而传统安全硬件设备将软件与硬件绑定，对外提供固定安全功能，管理员只能经过手工操做界面对其进行简单配置，没法根据业务应用场景进行灵活的功能调整和定制，不能知足业务的弹性、按需的安全需求。

在虚拟化网络软件耦合的环境下，安全事件的定位与排查更为困难。

虚拟资源的弹性扩展和虚拟网络安全边界动态变化要求安全设备具有敏捷与协同防御特性，而现有安全设备和系统各自为政，缺少有效协同及联动的手段与机制。

SDN、NFV等引入新的安全风险。SDN控制器成为关键节点，一旦控制器被***，***将可能得到控制器所覆盖的整个网络的控制权；控制器运行异常，也可能会形成下层网络设备的流控制不一致，致使网络故障甚至瘫痪。另外，上层应用的资源开放及SDN可编程的特色，将可能引入恶意应用及插件、资源越权访问等安全风险，致使安全威胁倍增；不一样应用间的控制策略相互影响，也可能带来安全策略相互违背的安全隐患。NFV设备引入 MANO、虚拟化技术，并经过标准API接口开放电信网络能力，不只大大增长了安全管理的复杂度，并且增长了安全***面，带来了NFV可信性、可用性等新的安全风险。

云数据中心安全策略

为了应对这些安全挑战，云数据中心应采起以下安全策略：

1.重构网络安全架构，实现按需弹性安全防御。

传统盒子思想的安全产品架构没法知足云数据中心的安全运营需求，必须对安全架构进行重构。软件定义安全（Software Defined Security，SDS）是网络安全架构重构的一个可行方向。其将安全设备的功能、接入模式、部署方式进行解耦，底层抽象为安全资源池中的资源，顶层统一经过软件编程方式进行智能化、自动化的编排和管理，实现业务和应用驱动，以适应复杂网络的安全防御。

对于云数据中心来讲，可借鉴软件定义思想，创建一个集中安全的控制管理架构，经过将安全能力等从底层异构的硬件中抽象出来，成为可由软件定义的资源，使原来独立、难以互通的控制组件构成统一的控制平面，即利用通用芯片上的虚拟化技术，实现标准的安全处理流程，将安全策略管理从硬件设备中解耦出来，并经过顶层统一软件编程方式实现业务和应用驱动，实现基于策略的、自动化的集中管理和控制。因为安全控制面与数据面分离，能够在控制面上根据承载业务的不一样安全需求按需配备安全资源，并借助全局视野灵活调整策略，实现安全资源的动态协同防御和智能精细控制。同时借助SDN网络控制器，以业务链的方式调度流量，用逻辑拓扑取代物理拓扑，流量可灵活地按特定次序调配由服务功能处理，实现安全资源的按需访问，从而适应云计算中心动态按需调整的网络环境。

2.实施微隔离，实现云数据中心东西流量安全管控。

网络隔离是基础防御手段，传统数据中心的网络隔离主要是基于设置安全分段、建立子网和虚拟LAN，经过手动配置和维护的ACL 或防火墙规则来进行安全域的隔离。该模式须要将安全策略锁定至工做负载所处的物理位置，通常是基于IP子网与应用间的映射，可是，仅仅基于子网的策略定义是不够的，不少时候须要面向IP地址进行更精细的策略定义，策略条目会爆炸性增加。在云数据中心动态化的网络环境下，隔离策略的配置、调整及过期策略的回收等工做量将呈指数增长，安全运维人员将不堪重负。

为了解决这个问题，云数据中心应组建分布式防火墙资源池，同时基于软件定义安全的集中安全管理架构，集中实施灵活的基于安全组的安全策略控制。经过与SDN控制器的协同，安全运维人员可灵活实现虚拟机间流量的流转控制，即便物理IP地址变化，也能够保证其安全策略自动随工做负载移动。在这种微分段模式下，云数据中心能够真正实现“零信任”的网络安全控制，经过借助SDN网络流量的可视性，实施最小限度的访问权限，并随时根据安全情况，调整访问控制策略，从而控制安全风险在数据中心内部的横向扩展。

3.提高控制面安全性，应对SDN/NFV技术引入的安全风险。

经过数据平面与控制平面解耦，SDN引入了新的***面及安全风险，SDN控制器面临的安全风险将远大于传统网管系统。SDN的安全防御应在实施传统安全防御手段并适当提高安全防御等级的基础上，重点提高SDN控制器自身的安全机制，提升控制平面自身安全健壮性以及南北向的安全控制，主要包括对流规则的合法性和一致性检测、应用程序的权限控制、抗DDoS***等。NFV的安全防御策略与SDN相似，应采用严格认证受权、安全隔离以及策略一致性安全检测机制，并重点保障VNF的可信性，包括VNF的生命周期安全管理、VNF安全启动检查等。

整体而言，云数据中心安全防御应结合SDN/NFV等新技术的发展需求，健全安全体系，增强虚拟化安全、控制面加强安全机制等关键技术的实用化和落地部署。同时，充分借鉴软件定义安全理念，并结合技术成熟度，开展相关安全系统的云化改造，提高安全系统的资源利用效率及总体安全防御协同能力，并探索集中安全控制体系，与云计算管理平台以及SDN控制器进行协同，实现按需安全防御以及智能精细控制。

转自：九奥科技