企业云计算数据中心安全架构及主动防御技术研究

企业云计算数据中心安全架构及主动防御技术研究

王坤 宿书祥

山东锋士信息技术有限公司 250100

摘要：当前，企业级云计算数据中心面临严峻的网络安全问题，需要建立一种融合传统防护与主动防护的新型防护体系。为此，提出了一种新的动态、冗余、联动的安全防护体系结构，旨在提升现有网络系统的防御性。在新的发展阶段，如何有效应对多种形式的网络攻击，将其纳入网络系统的主动型网络系统中，建立一个主动型网络系统，是一个具有重要技术价值和研究意义的难题。通过深入研究和探索新型防护体系结构，我们可以更好地应对不断增长的网络威胁，确保企业级云计算数据中心的安全性和可靠性。

关键词：企业云计算；数据安全；主动防御技术

1基于等保2.0的企业云计算数据中心安全架构设计

1.1企业云计算数据中心安全风险分析

当前，云计算中应用了分布式计算、软件定义网络、大二层网络和容器应用等多项核心技术，但其受到的威胁却与日俱增。所以，通常情况下，一个公司的云数据中心会面临以下几个问题：

（1）区域边界攻击问题

因为网络中充斥着各种各样的安全威胁和不确定的攻击，在网络的出口处，若没有对网络进行相应的保护，很可能会导致网络的内部系统被泄露，从而被攻击者所针对，所以，网络的出口处是网络的第一道防线。

（2）对外业务攻击问题

由于云计算平台集中了各种信息资源和用户数据，其对外业务系统成为黑客攻击的主要目标。同时，分布式拒绝服务（DDoS）、网页篡改和SQL注入等攻击手段也对企业的外部应用系统造成了严重的破坏性影响，直接威胁到企业的正常运营。

（3）数据冗余与安全问题

在云计算环境中，各种资源的整合使得用户数据的存储及其安全问题变得尤为突出。为了实现数据冗余备份，以便在突发情况下能够及时恢复数据，并将业务影响降到最低，可以采取以下措施：首先，可以使用分布式存储系统，将数据分散存储在多个节点上，确保数据的可靠性和可用性；其次，可以设置定期的数据备份策略，并测试备份数据的完整性和可恢复性；此外，还可以使用快照技术来保护数据，即在特定时间点对数据进行镜像保存，以防止数据丢失或损坏。

（4）虚拟化安全防护问题

虚拟化技术基于其可扩展性，能够为不同类型用户提供适应其业务需求的云服务，包括基础设施层、平台层或软件层面。作为云计算的关键技术之一，虚拟化不仅提供了强大的云服务能力，也带来了一系列的安全问题。由于虚拟主机部署在物理主机上，一旦物理主机受到入侵，由于信息交互的存在，虚拟主机也会面临风险。

如果虚拟主机系统存在漏洞并被攻击侵入，那么在同一虚拟网络中的虚拟机和对应的物理主机也将受到威胁。同样地，处于同一云计算平台的不同用户之间可能存在恶意攻击者进行跳板攻击。此外，传统架构中的物理防火墙只能检测南北向的流量，无法适应当前架构中细粒度的数据流量分析，导致虚拟化应用之间的东西向流量无法得到有效的安全防护，增加了内部攻击的风险。

（5）主动式动态防御问题

传统的安全防御都是以硬件安全设备为基础来完成的，并且大多数的硬件设备主要是完成了一个单一的安全功能的防御，属于一种静止的、被动的防御方式，不能有效地应对有组织的APT攻击。同时，不同的安保装置不能进行有效的联动保护，安保措施只能依赖于点，而不能达到面，从而降低了安保体系的整体安保水平。

1.2企业云计算数据中心安全架构设计

这篇文章设计的架构计划通过三个主要方面：安全通信网络、安全计算环境和安全区域边界，以及传统的安全防御手段，来构建第一道安全防护层。这包括使用动态Docker的SDN蜜网来捕获和重定向恶意数据流，以及部署基于动态联动机制的SDN防火墙来实现防火墙控制核心的冗余集群。此外，这个架构还支持自动化的安全策略下发和恶意流量的自动拦截，从而构建了第二道安全防护主动防御区域。通过结合传统安全防御和主动安全防御技术，这个架构为企业云计算的安全环境提供了纵深防御，从而进一步提高了企业云计算数据中心的安全防护等级。

1.3被动防御区域设计

根据网络安全等级保护2.0三级的规定，企业数据中心的安全架构通常设定为“一个中心，三重防护”的目标。这个目标以安全管理为核心，并分别在三个主要区域实现防护：安全区域边界、安全计算环境和安全通信网络。

（1）安全区域边界的目标是增强企业互联网接入区域以及DMZ对外服务区域的安全性。

（2）安全计算环境的目标是保护企业的核心业务系统区域，确保数据安全防护和数据冗余灾备的实现。

（3）安全通信网络的目标是保障企业核心交换区域的安全性，以及南北向流量的安全防护与服务质量的提升。

1.4主动防御区域设计

传统的网络系统安全架构通常采用静态方式，对于攻击者持续的扫描探测和有组织的网络攻击往往缺乏有效的应对手段。因此，利用新兴技术实现主动防御策略是改善当前防护机制的重要途径。被动防御（PassiveDefense）指的是依赖先验知识的“壳化”安全技术，其目标是降低敌方活动对系统造成的损害或影响。被动防御通常基于预定义的特征库来识别并拦截恶意流量。然而，被动式防御存在一些局限性，例如反应时间慢、防御效果依赖于特征库的更新等。

2基于动态Docker的SDN蜜网主动防御区域设计

传统的信息系统防护方法主要以防火墙、入侵防护和检测为主，这些手段主要依赖预先设定的攻击特性库，无法对未知攻击进行快速探测。为适应快速发展的信息系统环境，我们需要构建全新的信息系统防护框架，实现多层面的协同防御。蜜罐技术是一种主要的主动防护方法，它通过设置虚拟目标，诱导攻击者进入并捕获其行为和数据，为安全分析提供可靠信息。根据其交互性和配置复杂性，蜜罐可分为低交互性和高交互性两类。

Docker利用容器化技术，将应用所需的相关源码、依赖库、环境配置等都包装了起来，从而构建出一个沙箱执行环境。因为它采取了公共操作系统的方式，所以它能够在很短的时间里就被部署在系统中，而且可以很容易地开启和撤回，因此它十分适用于大型的动态部署。通常情况下，传统的蜜罐系统都是用物理机或者虚拟机来进行部署，但是Docker技术跟传统虚拟化技术进行比较，它在快速部署上具有轻量化、快速化和冗余化等优点，而且在进行系统移植的时候，还可以进行良好的动态协作。与常规的蜂巢系统相比，采用Docker技术部门的蜂巢可以大幅降低部署所需的硬件费用和人力资源的配置工作，并且在隔离性、灵活性、安全性以及可扩展性方面都得到了改善。

3基于动态联动的SDN防火墙主动防御区域设计

在网络体系结构中，防火墙、入侵检测系统、杀毒软件和认证等单一的安全手段，可以有效地阻止攻击过程中的某个环节，从而达到对信息的保护。其中，以此为关键技术，以现有的人为设置的安全策略为基础，采用静态、静态的方法，不能满足动态、动态、动态的要求，也不能满足防火墙内核的异构冗余度要求。然而，在目前的情况下，面对越来越多的不明攻击，这些以单一的单一防御方式为基础的体系结构已经越来越难以应对新的网络攻击。如何能够高效地实现防火墙核心的异构冗余集群结构，以及各个安全设备之间的协调联动处置，并且能够实现对攻击告警的自动响应配置，这是提高主动防御技术防御强度及防御面的一种重要方法。

SDN技术通过实现控制平面和数据平面的完全解耦，显著增强了数据流量控制的灵活性。这使得细化粒度的流量控制成为可能。传统的防火墙通常基于单一软件架构，无法防御0-Day漏洞的攻击。然而，当前有许多种类的SDN控制器，例如Floodlight、Ryu、POX和OpenDaylight等。因此，通过部署这些异构的冗余集群，我们可以更好地抵御针对0-Day漏洞的攻击，从而增加攻击者的攻击成本。

结语

总的来说，企业云计算数据中心安全架构及主动防御技术的研究至关重要。通过引入自适应防御机制、多层次访问控制等措施，可以有效保护数据中心的敏感数据和服务不受攻击。然而，网络安全是一个不断发展的领域，需要持续的研究和创新来应对不断变化的威胁。只有不断改进和创新，才能确保数据中心的安全可靠。

参考文献

[1]高胜利,黄锐颖.云计算环境下的数据安全问题与防护策略研究[J].网络安全技术与应用,2022(09):73-75.

[2]刘晓东.大数据云计算环境下的数据安全问题与防护举措探究[J].物联网技术,2022,12(07):77-79.

[3]周水波.云计算技术在数据安全防御体系建设中的应用[J].长江信息通信,2022,35(07):159-161.

作者信息：王坤，男，1994年02月，汉族，山东济南历城，本科，主要研究方向：云计算，山东锋士信息技术有限公司，250100

宿书祥，男，1992年11月，汉族，山东省德州市，本科，主要研究方向：物联网，山东锋士信息技术有限公司，250100