電信運營商云計算數據中心安全防護體系構建摘要：盡管近年來云計算技術始終處于高速發展狀態，且已被廣大用戶所接受，但云安全問題始終是各大云商、電信運營商以及網民們重點關注、急于解決的問題。本文面向電信運營商高云計算數據中心，從事安全防護體系構建研究，一方面分析電信運營商云計算數據中心面臨的安全風險，另一方面則圍繞抗DDos攻擊、虛擬安全域隔離、虛擬機安全防護從事安全防護體系構建的研究。僅以本文促進電信運營商云計算數據中心安全防護水平的提升，有效保障電信運營商與云用戶的數據安全。關鍵詞：云計算；數據中心；安全風險；安全防護體系；虛擬機安全云計算技術的發展，引發了互聯網產業的技術革命，大量云商以及云用戶，基于云計算技術提高了企業數據管理效率、服務效率。然而，電信運營商在構建云計算數據中心，面向用戶提供云計算服務階段，需要面臨諸多風險，如黑客攻擊、隱私保護被盜等。因此，從事電信運營商云計算數據中心安全防護體系的構建研究，對于促進我國云計算技術安全水平將有著顯著的推動價值。一、電信運營商云計算數據中心面臨的安全風險（一）黑客攻擊所謂黑客攻擊，指網絡黑客在利益驅使下，基于非法途徑進入到因計算技術系統值周，為云計算技術安全性帶來巨大損害。通常，黑客攻擊云數據的難以顯著體現于運行情況中，且求造成的損害無法實現有效預測與分析，并且黑客入侵技術的發展速度多數情況下高于云計算數據中心安全防護體系的升級以及技術的發展。（二） 隱私保護被盜互聯網的發展改變了人們的生活、工作習慣，越來越多人喜好基于互聯網實現購物、交易，而大量網絡行為，均發生于云計算虛擬設備支持背景之下。在買家、買家網絡交易期間，犯罪分子可基于云計算技術，對互聯網客戶以及企業隱私保護內容進行竊取，并基于對隱私保護信息的分析獲取利益。（三） 云計算病原體云計算技術領域下，大量用戶會將數據存儲在云端。一旦云計算數據中心基于各種途徑被穿入病原體，就會導致計算機無法正常運作。同時，多類病原體會被不法分子基于各種手段進行傳播、復制，以云計算技術為中介快速向互聯網其他區域傳播，繼而對互聯網進行大面積物理攻擊[1]（四） 存儲資源被模擬云計算所處的自然環境為虛擬環境，用戶利用云計算技術開展網絡交易階段，只有確保交易雙方信息足夠安全才可開展交易。但云計算環境之下，一些不法分子，會基于云技術數據中心竊取的數據，假冒云技術，模擬企業業務面向網民實施詐騙，導致網民受到嚴重經濟損失。二、電信運營商云計算數據中心安全防護體系構建研究（―）抗DDos攻擊安全防護模塊CAS組織——云安全聯盟層在2010年列舉云計算技術的七大威脅，排名第一威脅為對云計算的濫用、拒絕服務攻擊以及惡用，而上述所提出的云計算數據中心安全風險，任何一項均可導致云計算被濫用、惡用、拒絕服務攻擊。對于該問題，為有效形成抗DDop攻擊安全防護模塊，首先，國內各大電信運營商技術部門，應在云計算數據中心的用戶接入層，安裝專業抗DDos攻擊設備，提升數據中心對抗拒絕服務攻擊的能力，針對SYN、YDPFIood、Flood等傳統網絡層流量攻擊以及應用層DNSqueryFlood、HttpgetFlood攻擊進行全方位防范。其次，加強云計算數據中心業務設計階段的安全考量，針對一切可能帶來安全威脅的場景均設計專門服務。最后，加強公共黑名單的監控，并時刻查看網絡是否被列入到惡意軟件來源亦或是垃圾郵件來源而被阻止服務。（二）虛擬安全域隔離防護模塊實現抗DDos攻擊安全防護模塊構建后，電信運營商技術部門，用合不斷提升的數據中心虛擬安全域需求，改變過去基于物理服務器開展安全域防護的手段，建立現象虛擬安全域的隔離與防護機制。—方面，對于虛擬安全域隔離防護需求，電信運營商可使用虛擬防火墻技術。虛擬防火墻，即部署于物理防火墻基礎上的邏輯防火墻，各防火墻會配置獨立管理員，且以數據中心需要進行不同安全策略配置。虛擬防火墻，支持VLan與VPN實例綁定，面向數據中心提供相互安全格里服務，其ACL規則組、NAT地址池與死有余，可實現不同虛擬防火墻下數據安全隔離且彼此不會互相干擾。當黑客面向某一虛擬防火墻消耗大量資源進行攻擊，其他虛擬系統資源將不受到任何影響。此外，應用虛擬防火墻，不僅部署靈活，可有效簡化網絡結構，且可大幅度節約云計算數據中心安全管理的成本，管理員日常可實現不同虛擬防火墻的管理，對于添加、撤銷防火墻無需對網絡拓撲進行修改，而管理員也可將多臺防火墻縮減為一臺防火墻，可有效減輕后期維護、管理工作量，并最大化減少防火墻故障點。另一方面，電信運營公司應建立融合身份認證、深度流量監測、域間訪問行為的實時監控。第一，于云計算數據庫安全域布置用戶認證技術，在不同用戶相互方位申請下，計算機首先對用戶進行身份認證，確認訪問者真實身份后，方可讓訪問者按照安全策略面向其他虛擬安全域進行訪問。第二，企業安全網關整合了病毒過濾、入侵防御以及抗攻擊，電信運營公司可將安全網關在不同安全域部署，實時監控域間訪問的流量并進行統計，以報表形式呈現給安全管理人員。第三，基于企業安全網關，對各虛擬安全域之間的訪問行為進行記錄，結合用戶認證技術面向不同用戶訪問行為進行審計，確保有效提升審計記錄可追溯性。（三）虛擬機安全防護模塊作為虛擬環境下最小粒度的網元，虛擬機缺少對VM間通信流量的可見性，始終是較大的安全隱患。在相同硬件之上，VM之間的通信流量不會經過安全網關、防火墻，傳統的網絡安全監測技術，對于VM之間的攻擊數據亦或是攻擊之后用于數據竊取、傳輸的隱蔽信道均無法應對，如此便為不乏分子帶來盜取隱私保護信息、復制與傳播病原體等操作帶來操作空間。針對這一現象，電信運營商可面向云計算數據中心設置虛擬機防護墻結合虛擬化IDS。圖1為常規虛擬化IDS部署方式：應用虛擬化IDS，能夠實現面向虛擬機物理節點的各種流量進行監控，包括出入于各個物理節點與VM的以及各個VM之間的流量。同時，其他類型如IPS產品、虛擬機防火墻均可以上述形式部署于電信運營商云計算數據中心，以有效提升云計算數據中心的安全風險防范水平[2]結束語云計算數據中心作為電信