◆杨秀云 王玉军 刘 露
高校云计算数据中心网络安全问题及防护措施
◆杨秀云 王玉军 刘 露
(泰山医学院现代教育技术中心 山东 271016)
近年来网络攻击技术和攻击工具发展很快,网络攻击技术和攻击工具的迅速发展使得各单位的网络安全面临越来越大的风险,尤其是高校的云计算数据中心,它集中承载着学校的各种业务及各种数据交换,成为黑客或不怀好意之人的攻击对象,如何防护云计算数据中心的网络安全,确保数据安全和业务稳定,是所有高校技术部门面对和解决的问题。
云计算数据中心;网络安全;防火墙
云计算是一种新型的计算机技术,以其独特的优势备受企业的青睐,目前在高校也不断的应用。学校的各种业务及应用也陆续地入驻到云计算数据中心,业务及数据高度集中,网络安全必须得到保障。了解当前云计算数据中心的各类网络安全问题,并有针对地及时提出防护措施,已成为高校有关技术人员重点关注对象。
高校建设的大多数都是私有云,其明显特点是高度虚拟化,其中包括服务器、存储、网络等虚拟化,使各二级部门用户可以按需灵活调用各种资源。因此云计算数据中心的整体网络环境与传统网络环境有所不同,它共存物理网络与虚拟网络。高校云计算数据中心主要存在以下三方面的网络安全问题:
计算机硬件设备及其运行环境是计算机网络系统运行的基础,它们的安全直接影响着网络安全。自然灾害、设备自身的缺陷、设备自然损坏和受到机房环境干扰等自然因素,以及管理员操作方面的失误等因素,都直接影响着计算机网络环境的安全。由于云计算数据处理方式由传统的单机处理方式转变成数据中心集中处理机制,因此对计算机网络环境提出了更高的要求,所以计算机网络环境的安全问题仍为云计算环境下面临的首要问题。
云计算环境中的物理网络安全问题集中体现在数据通信过程中遭遇的安全威胁,如,DDoS 攻击,这种攻击方式利用云计算的处理瓶颈,向云计算服务器提交大量请求,从而使服务器超负荷,阻断合法用户正常访问服务器等;用户数据被监听或窃取,在云计算环境下黑客采取身份欺骗等攻击手段来监听或窃取用户数据,使用户个人信息受到安全威胁;系统入侵以及篡改数据,黑客通过侵入云计算的用户虚拟系统,对数据进行恶意增加、编辑或删除,而造成数据破坏,或用户虚拟机被黑客控制执行虚拟货币挖矿、与恶意软件通信,造成黑产牟利、C&C通信及信息丢失等严重后果。
云计算数据中心是基于虚拟化技术的虚拟环境,采用传统的防火墙、入侵检测工具并不能对云计算数据中心的网络安全予以有效的保障。云计算环境下各用户按需调用虚拟化资源,一个物理服务器中可能创建多个虚拟主机分配给多个用户使用,在这种多用户环境下如果监管不利会威胁到用户数据安全,并且虚拟机之间存在相互攻击现象,如果不对其有效隔离,会造成数据通信不畅等不良现象。
从以上云计算数据中心网络安全问题分析来看,云计算数据中心网络安全防护措施应该是一个系统性的安全防护体系,单纯一种安全防护手段不可能解决全部网络安全问题。
云计算数据中心的网络安全技术防护措施应该从物理网络和虚拟网络两方面同时入手防护。
(1)面向物理网络的安全防护措施
在云计算数据中心物理网络中,硬件防火墙、IDS或IPS、waf实时防护、安全审计堡垒机等多种安全措施防护,会有效保护云计算物理网络环境绿色、健康。 如图1云计算数据中心物理网络安全防护。
图1 云计算数据中心物理网络安全防护
防火墙安全防护。在云计算数据中心入口串联一道硬件防火墙,配置合理的控制策略,可以提供二到四层的网络攻击防护。
入侵检测IDS/入侵防御IPS系统防护。在云计算数据中心入口或高校核心交换机出口并联/串联一层IDS/IPS系统防护,可以有效提供四到七层的应用安全防护。
waf实时防护。在云计算数据中心入口串联该设备,能够有效预防黑客利用应用程序漏洞入侵渗透,通过对http请求的检测分析,为Web应用提供实时防护。
安全审计堡垒机防护。在高校核心交换机出口上串接,配置合理的策略,可以达到控制管理员对服务器的访问,并且提供丰富的日志和审计功能,对所有运维操作能达到审计、监控、控制和历史回放效果。
(2)面向虚拟网络的安全防护措施
云计算数据中心具有多个虚拟网卡和虚拟交换机等,不同vlan段的划分、虚拟防火墙、虚拟IDS或虚拟IPS等多种安全措施防护,会有效保护云计算的虚拟网络环境安全、可靠。如图2云计算数据中心虚拟网络安全防护。
图2 云计算数据中心虚拟网络安全防护
虚拟局域网vlan段的划分防护。vlan具有杜绝广播信息的网络不安全性和灵活的管理等优点。云计算数据中心虚拟网络的虚拟流量,可以分为管理流量和业务流量,这两种流量可以划分为不同的虚拟局域网vlan段。高校业务流按业务重要级别也可以进一步细化分为核心业务流、重要业务流和一般业务流,不同重要级别的业务流可以走不同的vlan段。
虚拟防火墙防护。在云计算环境中,很多的数据交换在虚拟系统内部就完成了,但传统防火墙的访问控制无法透入虚拟化环境内部,另外,虚拟机之间存在互相攻击和互相入侵现象,如果仍对虚拟化环境使用传统防火墙的防护模式,这种安全隐患则无法防御。在云计算数据中心部署虚拟防火墙,可以有效抑制虚拟机病毒传播及防护虚拟机之间的攻击及入侵威胁。
虚拟IDS/IPS防护。由于云计算虚拟环境下不具备传统监测工具的运行条件,如不存在镜像端口或不支持建立SPAN等等,因此,传统的入侵监测工具无法融入或运行在虚拟化的网络中。而虚拟的入侵防护技术建立在云计算的数据交换及处理机制之上,能有效感知同一虚拟网段上的网络流量,还能分析网络行为,因此能为虚拟网络提供更高的安全性。
网络技术的飞速发展带给人们在享受便捷信息的同时,也带来了无数的安全隐患。网络安全的精髓,其实更多地集中于管理,而非技术。网络安全可以说是三分技术七分管理。管理手段很多,如定期给技术人员进行技术培训,逐步提高对网络安全的认识,从而降低由于人为操作不当造成的安全隐患。高校相关技术人员掌握云计算数据中心涉及到的软硬件产品的原理、特性等知识点,是保证云计算数据中心网络安全的重要因素。
结合云计算数据中心的实际运行环境,制定合理的云计算数据中心的管理制度。首先是操作日志收集及审计和行为管理,如网络设备日志、防火墙等安全设备日志、各类操作系统的日志、设备操作行为日志等,这些日志是反应网络运行情况和网络安全情况的最直接数据。其次将云计算数据中心的各类设备及网络安全产品制定合理的巡检周期,如每天对物理服务器、存储器、交换机等硬件设备巡检几次,实时监控IDS/IPS的报警平台等。再次,加强机房温湿度、空气清洁度等环境的管理,制定合理的UPS供电、空调等设备的巡检维护制度等。
本文描述了高校云计算数据中心面临的三类网络安全问题,结合云计算高度虚拟化的特点,阐述了这三类网络安全问题对应的防护措施。当前,网络技术在飞速发展,云计算环境下网络安全问题随着网路技术的不断更新而愈发严重,还需要进一步加大对此环境下网络安全的防护力度,从而确保高校网络健康、数据安全、业务稳定不间断。
[1]黎伟.云计算环境下网络安全问题探究[J].计算机光盘软件与应用,2013.
[2]叶娇.云计算环境中计算机网络安全问题研究[J].网络安全技术与应用,2015.
[3]孙梅玲,李降宇,王寅永.基于虚拟化环境的信息安全防护体系构建[J].计算机光盘软件与应用,2017.
[4]李菊茵.云计算环境下的网络安全问题及应对措施探讨[J].通讯世界,2015.
[5]袁媛.数据中心网络的网络安全分析[J].通信与信息技术,2017.
[6]闫盛,石淼.基于云计算环境下的网络安全技术实现[J].计算机光盘软件与应,2014.
[7]申晋.云计算数据中心安全面临挑战及防护策略探讨[J].网络安全技术与应用, 2016.
[8]荆宜青.云计算环境下的网络安全问题及应对措施探讨[J].网络安全技术与应用,2015.