云数据中心安全技术防护

云数据中心安全技术防护

杨小晔

中国运载火箭技术研究院 100076

1引言

云计算将数据统一存储在云计算服务器中，加强对核心数据的集中管控，数据集中更容易实现系统容错、高可用和灾备恢复，也使得安全审计、安全评估、安全运维等工作更加易行。但随着建设范围及接入业务量的不断扩充，云数据中心面临的网络安全恶意攻击、破坏、数据泄露等安全威胁和风险不断提升，一旦发生安全问题将会造成不可估量的经济损失和社会影响。因此，应依据云计算等级保护相关标准，从基础设施防护、云应用防护、云安全审计、云数据防护、云安全管理等方面进行技术防护，系统性的提高云数据中心的安全性。

2云计算基础设施防护

2.1云原生防护

在云原生中，每个节点就是一个计算单元，可以是物理机、虚拟机、物联网设备等，所以在节点这一侧的安全防护可以通过收敛节点来降低风险。可考虑云原生专用OS，这些专用操作系统极度精简，只保证基本的 Kubernetes 能运行，实现最小授权和最小暴露面。在此基础上，应建立以标签和命名空间为核心的隔离机制及白名单机制，实现云原生安全管控能力。云原生安全防护应考虑所有节点对象都进行防护，包括：操作系统、Kubernetes 平台、容器、容器镜像、镜像仓库、微服务，实现有效的资产盘点、加固、检测、防护等，并采用机器学习技术，构建适配的安全基线模型，发现异常行为及威胁事件。此外，可以考虑微隔离技术、安全防御节点技术降低安全风险，提升云原生防护能力。

2.2云资源池安全防护

通过安全资源池为云内不同租户业务系统提供安全识别、安全防护、安全检查、安全响应四个阶段的全生命周期防护。为保障云平台和云内业务系统的安全性，安全资源池统一部署云安全防护节点，业务安全功能按需从安全资源池调用。

2.3云内东西向流量防护

目前虚拟化内东西向隔离技术，主要分为代理模式、API模式、SDN方式、标签模式几种，其中代理模式和API模式对云平台的要求较高，SDN方式及标签模式逐渐成为主流。

以OpenStack Neutron为例的SDN解决方案中，SDN逻辑上集中的控制器，有着全局的网络视图以及相应的流量信息，对于云内需要进行检测和防护的流量，可以通过SDN控制器自动化进行流表项的下发，完成流量的牵引。实际使用过程中，也可以将流量导出到虚拟机外面的物理安全设备中进行处理，需要云平台支持SDN。

标签模式是通过对网络流量加标签，来标记进出的流量信息。云平台将数据送到云防火墙处理后，再根据标签信息发送到真正的目的IP。云防火墙需要配合云平台改变以IP访问控制为核心的五元组策略模式，比如以MAC为访问控制条件或直接以标签为各类对象。

3云应用防护

托管在云平台中的WEB应用，可以使用部署在安全资源池中的云WAF进行安全保护。云WAF在云平台中单臂方式部署，通过云负载均衡系统把流量引流给云WAF检测，即：云负载均衡-->云WAF-->云容器-->服务器。

HTTPS业务可以通过云负载均衡的SSL卸载检测，云负载同时进行云WAF的状态检测及动态引流，云WAF负责对业务流量的安全检测。

4云安全审计

云审计包括云数据库审计和云WEB应用审计，导流节点导出云计算节点中的流量到云审计中，实现审计目的。

云导流节点不同于云计算节点，主要用于实现对指定云计算节点的流量引流,实现定向的云安全审计能力。根据安全需要，抓取需要审计的网络数据包后进行必要的封装，再转发给云数据库审计或WEB应用审计。既可以导出虚拟机与外部的通讯流量，也能导出虚拟机间或虚拟机本身的通讯数据。

云数据库审计接收导流节点导出的数据库流量进行审计，从而发现内外部人员对数据进行篡改、外泄等违规或者异常行为。云WEB应用审计则接收导流节点导出的业务系统流量进行审计，实现基于HTTP/HTTPS访问方式的业务系统审计，发现业务系统内的异常行为，在安全事件出现后准确溯源和确定责任。

5云数据防护

数据安全是保障云数据中心安全的关键点。在云数据中心中，使用者无法控制数据，甚至无法确切知道数据的存储位置，导致了用户对数据安全的担忧，也使得恶意行为或攻击更难以控制，应从数据加密、数据防泄密等方面采取措施。此外，还应结合数据销毁和数据备份手段来保护数据安全。

5.1云数据加密

云数据中心内的云数据加密主要依托于服务器密码机、密码服务平台等系统的密码服务基础设施，以及独立的针对关系型数据库的数据库加密系统等。

以服务器密码机、密码服务平台为代表的密码服务基础设施，通过标准API函数向第三方应用系统提供密码运算服务，应用开发商能够快速使用相关密码服务基础设施所提供的安全功能，保证业务系统重要数据存储和运算过程的安全性、保密性。

数据库加密系统对关系型数据库的结构化敏感数据，使用加密算法进行加密，实现敏感数据加密存储，并具备独立于数据库的访问授权机制。任何访问被加密数据的人或应用，事先必须经过授权，拥有合法访问权限才能访问加密数据，非授权用户无法访问加密数据，有效防止管理员越权访问及黑客攻击。

5.2云数据防泄漏

云数据中心的敏感数据梳理和分类是数据安全分级防护策略有效实现的前提。在云数据中心海量数据汇聚条件下，基于人工的敏感数据识别和分级分类几乎不可能，数据防泄漏系统可以实现基于自然语言处理、机器学习和数据挖掘的数据梳理及分类特征提取，实现敏感数据的有效定义，掌握敏感数据在云数据中心中的节点分布情况，实现敏感数据全面防护，安全事件精准溯源。

数据防泄漏（DLP）系统一般可分为主机DLP、网络DLP、存储DLP、应用DLP等类型，在云数据中心中可以以云安全组件的形态内生存在或集成部署，或以云安全资源池安全网元的形态定向提供给云租户，实现敏感数据定义与识别、敏感数据扫描与分级分类、敏感数据多渠道多协议外发管控与告警，以及敏感数据存储、使用、传输、外发等行为的综合安全审计和追踪溯源能力，达到敏感数据分级分类防护，对敏感数据违规外泄行为的数据安全防护目的。

6云安全管理

6.1云安全监测

云数据中心应建设集中化的云安全监测能力，主要聚焦于对云平台及各类节点、业务资产数据以及漏洞、配置问题等关联脆弱性问题的监测和处置。应实时对云平台计算环境和承载业务所产生的各类安全事件进行监测，对各类安全事件进行评估，并依托成熟的事件分级分类标准，对安全事件按照不同的级别进行相应的处理，包括对低等级安全事件的归并、过滤，对高等级安全事件的告警输出。

6.2安全运营监管

云数据中心应考虑安全运营监管配套能力的建设，建设专有的安全运营平台与支撑工具，配备安全运营团队，实现统一化、流程化、规范化、闭环化、周期化的安全运营活动支撑，具体包括：安全评估、脆弱性风险闭环处置、安全策略集中管理、攻击对抗演练与实战、应急响应、事件分析与处置、威胁情报综合利用、安全预警通告等。除了自建安全运营资源外，当云数据中心承载数据敏感程度不高，或者在有成熟的网络分区分域隔离、数据分级分类存储及应用的基础上，也可以考虑引入第三方安全运营监管团队或者使用基于SAAS形态的远程安全运营能力进行支撑。

7结语

随着云计算时代的到来，越来越多的用户将传统业务系统迁移至云计算环境中，虽然云计算自身所带有的快速弹性、服务度量化、按需交付等特性的确为用户的业务提供了新模式，大大提升了效率与价值，但是云安全也变得更加严峻。

通过结合业务生产环境实际的云数据中心安全技术防护，能够全面审视云数据中心的各层面的安全需求，构建适配云生产环境的安全配套协同防护体系，为云业务应用安全稳定运行保驾护航。

1