2025年云计算数据中心的安全体系架构设计.doc

雲计算数据中心的安全体系架构设计

作者：周向軍

来源：《江苏理工學院學报》第02期

????????摘要：我国颁布的信息安全等级保护技术规范诞生的時间早于雲计算技术的時间，因此，原有的安全体系架构并不能完全合用于雲计算环境，本文深入分析老式信息安全和雲计算环境信息安全的差异點并提出系统的处理思绪，在此基础上设计雲计算数据中心的安全体系架构，并与等级保护技术措施進行整合。

????????关键詞：雲计算；安全架构；等级保护

????????中图分类号：TP393.08文献標识码：A文章编号：2095-7394（）02-0027-08

????????0引言

????????我国政府一直重视信息安全的防护，围绕著信息安全，颁布了一系列的安全条例，并在2月27曰成立了中央网络安全和信息化领导小组。在技术手段上，贯彻国家信息安全等级保护的各项技术规范，已經成為我国政府在各行各业强化信息安全的最重要手段。

????????老式的信息安全等级保护处理方案，根据IT资源的属性（如服务器区、终端区、管理区等）划分安全域，并在安全域边界上，按照有关规范的各项安全规定，布署安全元素，贯彻各项安全措施。在雲计算時代，信息系统由于其规模性和服务時效性的规定，其在信息安全上面临更大的安全挑战，重要体目前：（1）雲计算数据中心自身的重要程度在提高；（2）雲计算数据中心被破壞後的安全危害更大；（3）雲计算数据中心更開放，被袭击的目的愈加明显；（4）新的技术和应用模式（如虚拟化技术）带来了新的安全風险。

????????我国颁布的信息安全等级保护技术规范诞生的時间早于雲计算技术的時间。也因此，原有的安全体系架构并不能完全合用于雲计算环境。為保证信息安全，必须要深入分析老式信息安全和雲计算环境信息安全的差异點，提出系统的处理方案，满足应用和安全的双重需求，而不能仅仅是在原有的安全体系和产品技术上進行简朴的升级和改造。

????????1雲计算重要安全風险特點

????????雲计算下面临的安全風险，分為老式的信息化建设面临的安全風险，以及雲计算应用模式和技术面临的安全風险，這两者之间的差异，重要体目前如下两個方面六大點。

????????1.1应用模式的差异

????????（1）安全風险集中。雲计算模式下，對信息资源進行有效地集中整合，往往會形成“所有鸡蛋放在一种或数個篮子裏”的局面，從而為無处不在的顾客，按需提供服务。因此，在雲计算应用模式下，被袭击的目的愈加明显，类似于APT（AdvancedPersistentThreat，高级持续性威胁）的有目的性袭击的危害愈加明显。

????????（2）被動性。老式的安全防御手段，無论是基于特性库，還是基于行為判断，在雲计算模式下，都無法及時应對新出現的安全袭击行為。這种風险，在被袭击目的集中化的状况下，危险将會更大。

????????（3）多租户的差异性。雲端资源有不一样类型的顾客，其安全防护规定不一样样，老式的边界统一防护無法合用于此种需求。

????????1.2技术变迁的差异

????????（1）安全边界消失。雲计算模式下，以分布式计算和虚拟化為代表的技术得到广泛应用。分布式计算，带来的是信息资源的“多虚一”，是一种“化零為整”的资源整合模式；虚拟化，带来的是信息资源的“一虚多”，是一种“化整為零”的资源整合模式。由于技术应用的需求，例如虚拟机的迁移技术，导致老式的安全边界已經消失不再存在，数据在数据中心内部之间的交互增長。

????????（2）動态性。雲计算的资源池化，在按需匹配顾客需求時，面临著内部IT资源的不停動态调整的状况。也因此，老式的安全设备及安全方略固定布署的方式，無法适应這种状况；此外，大量的内部数据交互，导致對安全设备的性能需求也在增長，需要满足海量数据交互下的安全检测需求。

????????（3）内部安全性。雲计算模式下，顾客可以按需租用雲端资源。然而，合法顾客也許會运用雲端资源進行非法的操作，例如袭击和窃取同一物理机下的其他虚拟机资源，或者是租用资源发起DDoS袭击。在Defcon大會上，就有与會者演示运用Amazon的EC2雲计算服务平台，以6美元的成本對目的网站发起致命的拒绝服务袭击。整個雲计算环境的内部安全面临著重大挑战。

????????2雲计算重要安全風险应對思绪

????????怎样应對上述六點所描述的雲计算信息安全挑战？結合信息安全的某些措施论，可按照下面的思绪来進行。

????????2.1安全風险集中

????????安全風险集中，最有代表性的体現就是针對于雲端目的的大规模安全袭击。最有代表性的袭击行為，就是DDoS袭击。相比于老式模式，雲计算對于DDoS袭击有天然的应對优势。雲计算提供了具有弹性可扩展的長处，當服务需求变大時，雲计算服务提供商