电信运营商云计算数据中心安全防护体系构建

电信运营商云计算数据中心安全防护体系构建摘要：尽管近年来云计算技术始终处于高速发展状态，且已被广大用户所接受，但云安全问题始终是各大云商、电信运营商以及网民们重点关注、急于解决的问题。本文面向电信运营商高云计算数据中心，从事安全防护体系构建研究，一方面分析电信运营商云计算数据中心面临的安全风险，另一方面则围绕抗DDos攻击、虚拟安全域隔离、虚拟机安全防护从事安全防护体系构建的研究。仅以本文促进电信运营商云计算数据中心安全防护水平的提升，有效保障电信运营商与云用户的数据安全。关键词：云计算；数据中心；安全风险；安全防护体系；虚拟机安全云计算技术的发展，引发了互联网产业的技术革命，大量云商以及云用户，基于云计算技术提高了企业数据管理效率、服务效率。然而，电信运营商在构建云计算数据中心，面向用户提供云计算服务阶段，需要面临诸多风险，如黑客攻击、隐私保护被盗等。因此，从事电信运营商云计算数据中心安全防护体系的构建研究，对于促进我国云计算技术安全水平将有着显著的推动价值。一、电信运营商云计算数据中心面临的安全风险（一）黑客攻击所谓黑客攻击，指网络黑客在利益驱使下，基于非法途径进入到因计算技术系统值周，为云计算技术安全性带来巨大损害。通常，黑客攻击云数据的难以显著体现于运行情况中，且求造成的损害无法实现有效预测与分析，并且黑客入侵技术的发展速度多数情况下高于云计算数据中心安全防护体系的升级以及技术的发展。（二） 隐私保护被盗互联网的发展改变了人们的生活、工作习惯，越来越多人喜好基于互联网实现购物、交易，而大量网络行为，均发生于云计算虚拟设备支持背景之下。在买家、买家网络交易期间，犯罪分子可基于云计算技术，对互联网客户以及企业隐私保护内容进行窃取，并基于对隐私保护信息的分析获取利益。（三） 云计算病原体云计算技术领域下，大量用户会将数据存储在云端。一旦云计算数据中心基于各种途径被穿入病原体，就会导致计算机无法正常运作。同时，多类病原体会被不法分子基于各种手段进行传播、复制，以云计算技术为中介快速向互联网其他区域传播，继而对互联网进行大面积物理攻击[1]（四） 存储资源被模拟云计算所处的自然环境为虚拟环境，用户利用云计算技术开展网络交易阶段，只有确保交易双方信息足够安全才可开展交易。但云计算环境之下，一些不法分子，会基于云技术数据中心窃取的数据，假冒云技术，模拟企业业务面向网民实施诈骗，导致网民受到严重经济损失。二、电信运营商云计算数据中心安全防护体系构建研究（―）抗DDos攻击安全防护模块CAS组织——云安全联盟层在2010年列举云计算技术的七大威胁，排名第一威胁为对云计算的滥用、拒绝服务攻击以及恶用，而上述所提出的云计算数据中心安全风险，任何一项均可导致云计算被滥用、恶用、拒绝服务攻击。对于该问题，为有效形成抗DDop攻击安全防护模块，首先，国内各大电信运营商技术部门，应在云计算数据中心的用户接入层，安装专业抗DDos攻击设备，提升数据中心对抗拒绝服务攻击的能力，针对SYN、YDPFIood、Flood等传统网络层流量攻击以及应用层DNSqueryFlood、HttpgetFlood攻击进行全方位防范。其次，加强云计算数据中心业务设计阶段的安全考量，针对一切可能带来安全威胁的场景均设计专门服务。最后，加强公共黑名单的监控，并时刻查看网络是否被列入到恶意软件来源亦或是垃圾邮件来源而被阻止服务。（二）虚拟安全域隔离防护模块实现抗DDos攻击安全防护模块构建后，电信运营商技术部门，用合不断提升的数据中心虚拟安全域需求，改变过去基于物理服务器开展安全域防护的手段，建立现象虚拟安全域的隔离与防护机制。—方面，对于虚拟安全域隔离防护需求，电信运营商可使用虚拟防火墙技术。虚拟防火墙，即部署于物理防火墙基础上的逻辑防火墙，各防火墙会配置独立管理员，且以数据中心需要进行不同安全策略配置。虚拟防火墙，支持VLan与VPN实例绑定，面向数据中心提供相互安全格里服务，其ACL规则组、NAT地址池与死有余，可实现不同虚拟防火墙下数据安全隔离且彼此不会互相干扰。当黑客面向某一虚拟防火墙消耗大量资源进行攻击，其他虚拟系统资源将不受到任何影响。此外，应用虚拟防火墙，不仅部署灵活，可有效简化网络结构，且可大幅度节约云计算数据中心安全管理的成本，管理员日常可实现不同虚拟防火墙的管理，对于添加、撤销防火墙无需对网络拓扑进行修改，而管理员也可将多台防火墙缩减为一台防火墙，可有效减轻后期维护、管理工作量，并最大化减少防火墙故障点。另一方面，电信运营公司应建立融合身份认证、深度流量监测、域间访问行为的实时监控。第一，于云计算数据库安全域布置用户认证技术，在不同用户相互方位申请下，计算机首先对用户进行身份认证，确认访问者真实身份后，方可让访问者按照安全策略面向其他虚拟安全域进行访问。第二，企业安全网关整合了病毒过滤、入侵防御以及抗攻击，电信运营公司可将安全网关在不同安全域部署，实时监控域间访问的流量并进行统计，以报表形式呈现给安全管理人员。第三，基于企业安全网关，对各虚拟安全域之间的访问行为进行记录，结合用户认证技术面向不同用户访问行为进行审计，确保有效提升审计记录可追溯性。（三）虚拟机安全防护模块作为虚拟环境下最小粒度的网元，虚拟机缺少对VM间通信流量的可见性，始终是较大的安全隐患。在相同硬件之上，VM之间的通信流量不会经过安全网关、防火墙，传统的网络安全监测技术，对于VM之间的攻击数据亦或是攻击之后用于数据窃取、传输的隐蔽信道均无法应对，如此便为不乏分子带来盗取隐私保护信息、复制与传播病原体等操作带来操作空间。针对这一现象，电信运营商可面向云计算数据中心设置虚拟机防护墙结合虚拟化IDS。图1为常规虚拟化IDS部署方式：应用虚拟化IDS，能够实现面向虚拟机物理节点的各种流量进行监控，包括出入于各个物理节点与VM的以及各个VM之间的流量。同时，其他类型如IPS产品、虚拟机防火墙均可以上述形式部署于电信运营商云计算数据中心，以有效提升云计算数据中心的安全风险防范水平[2]结束语云计算数据中心作为电信