云數(shù)據(jù)中心是利用云計算技術(shù),自動化地按需提供各類云計算服務(wù)的新一代數(shù)據(jù)中心。作為云業(yè)務(wù)的載體,云數(shù)據(jù)中心的業(yè)務(wù)特性與傳統(tǒng)數(shù)據(jù)中心差異巨大,主要表現(xiàn)在:其業(yè)務(wù)模式從以托管和固定計費為主轉(zhuǎn)為以租賃和按適用計費為主,其業(yè)務(wù)開通從線下轉(zhuǎn)向以線上為主,其主要資源類型從專用物理資源轉(zhuǎn)變?yōu)樵苹⒖蛇w移、可按需調(diào)整的虛擬資源,其業(yè)務(wù)規(guī)模和用戶數(shù)提高了一個量級,其業(yè)務(wù)流量從以南北向為主轉(zhuǎn)而出現(xiàn)大量東西向流量,業(yè)務(wù)種類多樣,控制流量更為復(fù)雜。
云數(shù)據(jù)中心網(wǎng)絡(luò)面臨安全挑戰(zhàn)
鑒于云數(shù)據(jù)中心的上述業(yè)務(wù)特性,以及SDN、NFV等新技術(shù)的迅猛發(fā)展和規(guī)模應(yīng)用,云數(shù)據(jù)中心網(wǎng)絡(luò)相較于傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)而言,主要面臨以下安全挑戰(zhàn)。
虛擬化技術(shù)的發(fā)展使得安全邊界難以界定,邏輯網(wǎng)絡(luò)拓撲根據(jù)業(yè)務(wù)的需求隨時可變,傳統(tǒng)的基于物理邊界防護的安全架構(gòu)無法對其進行有效的安全防護。
業(yè)務(wù)場景更為復(fù)雜,對網(wǎng)絡(luò)和信息安全的個性化需求更為強烈。而傳統(tǒng)安全硬件設(shè)備將軟件與硬件綁定,對外提供固定安全功能,管理員只能通過手工操作界面對其進行簡單配置,無法根據(jù)業(yè)務(wù)應(yīng)用場景進行靈活的功能調(diào)整和定制,不能滿足業(yè)務(wù)的彈性、按需的安全需求。
在虛擬化網(wǎng)絡(luò)軟件耦合的環(huán)境下,安全事件的定位與排查更為困難。
虛擬資源的彈性擴展和虛擬網(wǎng)絡(luò)安全邊界動態(tài)變化要求安全設(shè)備具備敏捷與協(xié)同防護特性,而現(xiàn)有安全設(shè)備和系統(tǒng)各自為政,缺乏有效協(xié)同及聯(lián)動的手段與機制。
SDN、NFV等引入新的安全風(fēng)險。SDN控制器成為關(guān)鍵節(jié)點,一旦控制器被入侵,黑客將可能獲得控制器所覆蓋的整個網(wǎng)絡(luò)的控制權(quán);控制器運行異常,也可能會造成下層網(wǎng)絡(luò)設(shè)備的流控制不一致,導(dǎo)致網(wǎng)絡(luò)故障甚至癱瘓。另外,上層應(yīng)用的資源開放及SDN可編程的特點,將可能引入惡意應(yīng)用及插件、資源越權(quán)訪問等安全風(fēng)險,導(dǎo)致安全威脅倍增;不同應(yīng)用間的控制策略相互影響,也可能帶來安全策略相互違背的安全隱患。NFV設(shè)備引入 MANO、虛擬化技術(shù),并通過標準API接口開放電信網(wǎng)絡(luò)能力,不僅大大增加了安全管理的復(fù)雜度,而且增加了安全攻擊面,帶來了NFV可信性、可用性等新的安全風(fēng)險。
云數(shù)據(jù)中心安全策略
為了應(yīng)對這些安全挑戰(zhàn),云數(shù)據(jù)中心應(yīng)采取如下安全策略:
1.重構(gòu)網(wǎng)絡(luò)安全架構(gòu),實現(xiàn)按需彈性安全防護。
傳統(tǒng)盒子思想的安全產(chǎn)品架構(gòu)無法滿足云數(shù)據(jù)中心的安全運營需求,必須對安全架構(gòu)進行重構(gòu)。軟件定義安全(Software Defined Security,SDS)是網(wǎng)絡(luò)安全架構(gòu)重構(gòu)的一個可行方向。其將安全設(shè)備的功能、接入模式、部署方式進行解耦,底層抽象為安全資源池中的資源,頂層統(tǒng)一通過軟件編程方式進行智能化、自動化的編排和管理,實現(xiàn)業(yè)務(wù)和應(yīng)用驅(qū)動,以適應(yīng)復(fù)雜網(wǎng)絡(luò)的安全防護。
對于云數(shù)據(jù)中心來說,可借鑒軟件定義思想,建立一個集中安全的控制管理架構(gòu),通過將安全能力等從底層異構(gòu)的硬件中抽象出來,成為可由軟件定義的資源,使原來獨立、難以互通的控制組件構(gòu)成統(tǒng)一的控制平面,即利用通用芯片上的虛擬化技術(shù),實現(xiàn)標準的安全處理流程,將安全策略管理從硬件設(shè)備中解耦出來,并通過頂層統(tǒng)一軟件編程方式實現(xiàn)業(yè)務(wù)和應(yīng)用驅(qū)動,實現(xiàn)基于策略的、自動化的集中管理和控制。由于安全控制面與數(shù)據(jù)面分離,可以在控制面上根據(jù)承載業(yè)務(wù)的不同安全需求按需配備安全資源,并借助全局視野靈活調(diào)整策略,實現(xiàn)安全資源的動態(tài)協(xié)同防護和智能精細控制。同時借助SDN網(wǎng)絡(luò)控制器,以業(yè)務(wù)鏈的方式調(diào)度流量,用邏輯拓撲取代物理拓撲,流量可靈活地按特定次序調(diào)配由服務(wù)功能處理,實現(xiàn)安全資源的按需訪問,從而適應(yīng)云計算中心動態(tài)按需調(diào)整的網(wǎng)絡(luò)環(huán)境。
2.實施微隔離,實現(xiàn)云數(shù)據(jù)中心東西流量安全管控。
網(wǎng)絡(luò)隔離是基礎(chǔ)防護手段,傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)隔離主要是基于設(shè)置安全分段、創(chuàng)建子網(wǎng)和虛擬LAN,通過手動配置和維護的ACL 或防火墻規(guī)則來進行安全域的隔離。該模式需要將安全策略鎖定至工作負載所處的物理位置,一般是基于IP子網(wǎng)與應(yīng)用間的映射,但是,僅僅基于子網(wǎng)的策略定義是不夠的,很多時候需要面向IP地址進行更精細的策略定義,策略條目會爆炸性增長。在云數(shù)據(jù)中心動態(tài)化的網(wǎng)絡(luò)環(huán)境下,隔離策略的配置、調(diào)整及過時策略的回收等工作量將呈指數(shù)增加,安全運維人員將不堪重負。
為了解決這個問題,云數(shù)據(jù)中心應(yīng)組建分布式防火墻資源池,同時基于軟件定義安全的集中安全管理架構(gòu),集中實施靈活的基于安全組的安全策略控制。通過與SDN控制器的協(xié)同,安全運維人員可靈活實現(xiàn)虛擬機間流量的流轉(zhuǎn)控制,即使物理IP地址變化,也可以保證其安全策略自動隨工作負載移動。在這種微分段模式下,云數(shù)據(jù)中心可以真正實現(xiàn)“零信任”的網(wǎng)絡(luò)安全控制,通過借助SDN網(wǎng)絡(luò)流量的可視性,實施最小限度的訪問權(quán)限,并隨時根據(jù)安全狀況,調(diào)整訪問控制策略,從而控制安全風(fēng)險在數(shù)據(jù)中心內(nèi)部的橫向擴展。
3.提升控制面安全性,應(yīng)對SDN/NFV技術(shù)引入的安全風(fēng)險。
通過數(shù)據(jù)平面與控制平面解耦,SDN引入了新的攻擊面及安全風(fēng)險,SDN控制器面臨的安全風(fēng)險將遠大于傳統(tǒng)網(wǎng)管系統(tǒng)。SDN的安全防護應(yīng)在實施傳統(tǒng)安全防護手段并適當(dāng)提升安全防護等級的基礎(chǔ)上,重點提升SDN控制器自身的安全機制,提高控制平面自身安全健壯性以及南北向的安全控制,主要包括對流規(guī)則的合法性和一致性檢測、應(yīng)用程序的權(quán)限控制、抗DDoS攻擊等。NFV的安全防護策略與SDN類似,應(yīng)采用嚴格認證授權(quán)、安全隔離以及策略一致性安全檢測機制,并重點保障VNF的可信性,包括VNF的生命周期安全管理、VNF安全啟動檢查等。
總體而言,云數(shù)據(jù)中心安全防護應(yīng)結(jié)合SDN/NFV等新技術(shù)的發(fā)展需求,健全安全體系,加強虛擬化安全、控制面增強安全機制等關(guān)鍵技術(shù)的實用化和落地部署。同時,充分借鑒軟件定義安全理念,并結(jié)合技術(shù)成熟度,開展相關(guān)安全系統(tǒng)的云化改造,提升安全系統(tǒng)的資源利用效率及整體安全防護協(xié)同能力,并探索集中安全控制體系,與云計算管理平臺以及SDN控制器進行協(xié)同,實現(xiàn)按需安全防護以及智能精細控制。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:云數(shù)據(jù)中心安全需求及應(yīng)對策略
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839320173.html
相關(guān)文章
