肖小兵
摘 要:随着时代的进步和计算机技术的飞速发展,网络信息技术应用范围越来越广。在给人们的生活和工作带来极大便利的同时,也出现了一些安全隐患,这样就需要重视网络安全。本文主要分析了云计算数据中心网络安全的实现原理,希望可以提供一些有价值的参考意见。
关键词:云计算数据中心;网络安全;实现原理
1 基本概念
云计算:云计算融合了一系列传统计算机技术和网络技术,比如网格计算、并行计算、网络存储、效用计算、虚拟、负载均衡、分布式计算等等。它主要是利用网络的功能有效的整合这些有着较低成本的计算实体,从而形成一个计算能力超强的系统,然后利用一些先进的商业模式,比如SaaS、PaaS、IaaS、MSP等等,让所有的终端用户都能够拥有这些强大的计算能力。
云服务:云服务指的是云服务提供商利用自己的基础设置直接将服务提供给外部用户。在通常情况下,可以将提供的服务分为两种,一种是向用户租用自己的设备,给用户提供的机房和局域网络都是相对独立的;另一种是在自己的服务器集群上部署一些软件或者应用,然后通过因特网的方式,让用户对其进行访问。
VLAN:VLAN是英文Virtuai Local Area Network的简称,我们将其翻译为虚拟局域网。VLAN指的是从逻辑上来划分局域网设备,使其成为单个的网段,这样虚拟工作组就可以有效的交换新兴数据。目前,主要是在交换机和路由器中应用这一新兴技术,但是交换机的应用范围更广一些。需要注意的是,有些交换机是不具备这项功能的,具有这项功能的交换机都是拥有VLAN协议的第三层以上的,我们要想对其了解,只需要查看交换机的说明书就好。
VSX:VSX是英文Virtual System Extension的简称,它主要是一种网络安全和VPN的解决方案,是在有着比较大规模的场景下保证网络的安全。VSX提供保护的对象主要是多重网络或者混合的基础架构中的VLAN。VSX技术主要是安全的连接他们,然后对互联网和DMZ分区共享资源,并且互相连接的它们也可以有效的进行信息交互。
2 网络实现原理
传统数据中心的网络拓扑:我们都知道,在传统的网络环境中,数据中心分配给用户的网络都是单独存在的,也就是每人一个,每一个网络自然需要单独的设备和技术,比如防火墙、交换机、网络安全设备等。在一个单独的物理网络中,部署同一个用户的所有服务器,从而实现安全隔离数据的目的。
云服务数据中心的网络拓扑:新的数据中心架构将传统的VPN和网络安全设备替换成了VSX Gateway,并且将VLAN启用在核心交换机和二级交换机中,利用Trunk来有效地连接二级交换机和核心交换机。
VSX系统的通信流:主要可以通过这些步骤来执行VSX系统网关,一是ContextID的定义,每一个Virtual System都可以对一个ContextID进行定义,从而将其作为唯一的标识符。二是实施安全策略,每一个虚拟系统的功能都可以作为一个独立的安全网关,在对整个网络进行保护的时候,主要利用的是独特的安全政策。可以指定虚拟系统允许或者组织所有交通等,并且自己独立的安全政策里都包含着基本规则。三是转发到目的地,每台虚拟系统为了能够达到目的地,就有着自己独特的结构处理和转发通信原则,并且,这个配置规则还包括了其他很多方面的内容,比如VPN、定义NAT以及其他的高级特性。
VSX系统有着很多的组成部分,比如Virtual Switch、Virtual Firewall和Virtual Route的虚拟设备。数据中心中的每一个VLAN在与外网进行通信时,利用的都是独立的Virtual Firewall。
3 安全分析
和传统的网络结构进行比较:在传统的数据中心网络结构中,每一台服务器的网络是由机柜的物理位置所决定的。举个例子来说,用户要想建立自己的企业局域网,就需要订购服务器,订单中包括了很多的信息,比如试用日期、结束日期、服务器的型号、服务器的配置等等,传统的数据中心工作人员依据订单上的内容,在一个特定的机房和机柜中,放置这种型号的服务器,然后向用户进行网络安全设备的组装,用户要想正常使用,必须要等到完成了配置网络和安全策略之后。工作人员在进行这些工作时,需要耗费大量的时间,这是因为需要去机房中移动设备;当然,也可以不移动设备,但是可能会出现三种问题,一是因为服务器所在的机房和机柜是不同的,这样接入的网络也可能存在着不同,这样就会影响到互相的正常访问;二是如果在同一个机房或者机柜中,接入的设备是不同的用户,那么可能网络是相同的,并且相互访问也不会出现问题,但是,容易造成一些安全隐患;三是防火墙如果没有独立出各个用户,那么正常的规则就容易遭到破坏,给维护增加了难度,并且,用户也不能直接的使用防火墙的管理权限。
而上文所讲的VSX和VLAN构成的网络结构,设备所处的物理位置是不会影响到用户使用的服务器,所以,在任何一个机房,任何一个机柜中存放这台服务器,都不会出现问题,只需要在这个用户的VLAN中划分与这台服务器连接的Switch端口,用户就可以有效的使用这个机器;如果经过一段时间之后,用户不想要这台服务器,只需要在预备的VLAN中划分与这台设备连接的Switch端口即可。并且,这些步骤是不需要人工来进行的,云计算中心的自动化部署程序可以自动实时的完成这些工作。
网络结构的优势:在数据安全方面,每一个用户的网络都是安全的;从商业角度上来看,每一个用户都需要订购VLAN和网络设备,在配置网络设备的过程中,可以在VLAN中指定需要运行哪一个设备,当然,从用户的角度上来看,用户只能在自己订购的VLAN中划分自己订购的网络设备。每一个VLAN都十分的安全,这是因为它拥有着独立的Security Gateway,这个网络安全保障包括了很多个方面的内容,比如日志监控、VPN、入侵检测流量控制以及ACL和NAT等等。从某个角度上来讲,就是将一个独立的机房分配给了这个用户,然后在这个机房中放置用户订购的设备,从而向用户提供安全的服务。如果用户不想接受这些服务,只需要利用自动化部署程序在当前的VLAN中移除它就可以了。
在服务质量方面得到了提高:这种网络结构具有较好的弹性,它可以依据用户的需求来对设备进行灵活的增减。有着较快的相应速度,设备的到位只需要几分钟即可,并且操作系统、软件以及应用程序也可以自动化进行部署,在很短的时间内将服务提供给用户。如果用户不需要这些服务,只需要进行退订,然后初始化这些设备,将其放回资源池,就可以等待下一个用户的使用。
4 云计算数据中心网络安全防护方法
云计算数据中心内部安全与隔离:要互相隔离云数据中心内部的不同业务之间的网络,也需要在逻辑上隔离多租户之间的虚拟网络;利用云计算技术中的虚拟化方法提供出来的运算平台虽然比较独立,但是在同一个网络中、同一宿主机的多样化计算任务之间,还存在着数据通道可以互相进行交流。
在设计云计算数据中心网络时,需要严格的遵循三个主要设计原则,分别是灵活简单、虚拟化以及开放等。
灵活简单指的是安全设备所具备的能力必须有着较高的性能、部署比较方便以及可以灵活进行操作等特点;开放性指的是安全设备的功能必须要有这些方面,分别是访问控制、识别用户和应用、合理授权以及基于身份运维等等;虚拟化指的是安全设备应该具有虚拟访问层、虚拟网络可见性以及混合的物理和虚拟操作等等。
从网络安全模型的角度上来讲,垂直分层以及水平分区的概念都被引入到了数据中心网络安全模型中。垂直分层指的是在一套业务系统中,拥有的服务是属于不同层次的,比如应用层、接入层以及隔离层等等;安全控制机制需要部署在各个层次之间;水平分区指的是将隔离机制应用在不同的业务系统之间,这样各个业务系统就是独立的,不会互相影响。
隔离技术主要是为了安全防护各层,同时,隔离不同的业务系统。目前,防护墙技术依然是数据中心内部安全虚拟化的主要技术;随着云计算技术的不断发展,安全虚拟化逐渐的成熟,它指的是安全设备虚拟化。虚拟防火墙可以利用不同的安全策略,来有效的实现相互隔离,每一个防火墙都有着独立的资源和策略,但是物理资源却是可以共享的。
访问云数据中心的安全数据传输通道:在这个方面,主要有两个安全范畴需要考虑,一是未授权的访客无法获取用户存储的信息;二是授权访问时是否可以将数据传输通道上的信息进行获取,安全数据通道防护就是为了维护用户访问时数据通道上信息是安全的。
通常情况下,可以利用内部和外部两个部分来实现通道安全防护;内部防护依据的是媒体访问控制安全系列安全协议,来加密数据通道,加密传输通道中的每一跳路由,保证流量信息的安全,在路由设备内部都是明文传输信息。通过实践研究表明,基于安全分组的媒体访问控制技术可以有效的保证重要敏感流量加密传输,避免数据遭到窃取和破坏。在外部数据防护方面,采用的大多是VPN方式,主要的技术有SSL VPN技术、IPSec等等,这些技术都是理想的安全解决方案,可以在移动过程中解决远程访问;高速局域网和广域网中需要的安全解决方案需要拥有比较高的性能、延迟比较低并且管理功能比较简单等优点。
5 结语
计算机网络技术发展的趋势就是云计算,越来越多的传统硬件设备生产商都注意到了这个问题,并且利用自己的一些优势逐渐的转换为云计算的服务商。不管是企业用户还是私人用户,在接受云计算、云服务的过程中,难免会担心它的安全;本文首先概述了它的基本概念,然后分析了云计算数据中心网络安全的实现原理,最后又探讨了云计算数据中心网络安全防护方法,希望可以提供一些有价值的参考意见。
[参考文献]
[1]李知杰.云计算数据中心网络安全的实现原理[J].软件导刊,2011,2(12):123-125.
[2]夏雷,钟青峰.云计算数据中心网络安全探讨[J].2012全国无线及移动通信学术大会论文集,2012,1(1):87-89.
[3]黄大川.云计算数据中心网络的关键技术[J].邮电设计技术,2011,2(10):34-37.
[4]刘朝,薛凯,杨树国.云环境数据库安全问题探究[J].电脑与电信,2011,2(1):56-57.
[5]柯亮亮,郑传行.浅析现阶段云计算发展中的瓶颈问题[J].电脑知识与技术,2009,2(20):78-80.
[6]宫达伟.云计算技术在中小企业信息化建设中的应用[J].科技咨询,2012,2(18):23-27.
[7]续晓燕,丛雪.浅谈云计算与物联网的融合发展[J].电脑知识与技术,2012,2(24):45-48.