云數據中心網(wǎng)絡(luò )安全服務(wù)架構研討論文

　　摘要：隨著(zhù)虛擬化技術(shù)的快速發(fā)展，近年來(lái)互聯(lián)網(wǎng)領(lǐng)域實(shí)現了較為長(cháng)足的進(jìn)步，云數據中心的廣泛建設便屬于這種進(jìn)步的直觀(guān)體現，這也使得近年來(lái)我國圍繞云數據中心開(kāi)展的研究大量涌現�；�于此，本文簡(jiǎn)單分析了云數據中心網(wǎng)絡(luò )安全服務(wù)需求、云數據中心網(wǎng)絡(luò )安全服務(wù)架構思路，并詳細論述了云數據中心網(wǎng)絡(luò )安全服務(wù)架構應用實(shí)例，希望由此能夠為相關(guān)業(yè)內人士帶來(lái)一定啟發(fā)。

　　關(guān)鍵詞：云數據中心；網(wǎng)絡(luò )安全服務(wù)；分布式網(wǎng)絡(luò )架構；虛擬化技術(shù)

　　0前言

　　云數據中心（SDDC）的實(shí)現離不開(kāi)成熟的虛擬化技術(shù)支持，云數據中心物理資源抽象化、資源池化的實(shí)現也得益于計算虛擬化、網(wǎng)絡(luò )虛擬化、存儲虛擬化，云數據中心服務(wù)因此具備彈性、敏捷性以及高效性?xún)?yōu)勢。而為了最大發(fā)揮這種優(yōu)勢、推動(dòng)我國云數據中心實(shí)現進(jìn)一步發(fā)展，正是本文圍繞云數據中心網(wǎng)絡(luò )安全服務(wù)架構開(kāi)展具體研究的原因所在。

　　1云數據中心網(wǎng)絡(luò )安全服務(wù)需求分析

　　云數據中心具備的彈性、敏捷性以及高效性?xún)?yōu)勢使得其對網(wǎng)絡(luò )安全存在較高需求，這就使得云數據中心的安全服務(wù)必須統一到管理平臺上，因此其網(wǎng)絡(luò )安全服務(wù)需求可以概括為以下兩個(gè)方面。

　　1.1特性需求

　　由于安全服務(wù)必須統一到云數據中心管理平臺上，這就使得云數據中心的彈性、敏捷性以及高效性將對安全服務(wù)提出一定需求，這種需求的具體表現如下所示：

　�。�1）敏捷性。安全服務(wù)需要靈活部署于云數據中心，整個(gè)數據中心、具體業(yè)務(wù)應用均需要納入安全服務(wù)保障，且安全服務(wù)需保證自身啟停不對中心日常業(yè)務(wù)運行造成影響，因此敏捷性需求必須得到關(guān)注。

　�。�2）彈性。安全服務(wù)需具備動(dòng)態(tài)調整能力以滿(mǎn)足業(yè)務(wù)變化需要，這一動(dòng)態(tài)調整應脫離管理員干涉、基于具體服務(wù)規則開(kāi)展。

　�。�3）高效性。需保證安全服務(wù)可由所有用戶(hù)分享，以此實(shí)現統一管理、資源高效利用[1]。

　　1.2具體需求

　　除特性需求外，云數據中心網(wǎng)絡(luò )安全服務(wù)的具體需求也應得到關(guān)注，這類(lèi)需求的主要內容如下所示：

　�。�1）業(yè)務(wù)跟隨。需保證安全服務(wù)隨用戶(hù)虛擬機遷移而遷移，以此實(shí)現安全防護、業(yè)務(wù)流量的全過(guò)程跟隨。

　�。�2）服務(wù)擴展。安全服務(wù)需結合攻擊演變隨時(shí)擴展與調整，能否在現有基礎上更新、擴展將直接影響安全服務(wù)效用發(fā)揮。

　�。�3）支持多類(lèi)型數據中心。安全服務(wù)需滿(mǎn)足不同云數據中心需要，這使得其需要獨立于管理平臺，必要時(shí)舍棄Hypervisor技術(shù)支持，不同云數據中的相同安全保障將由此實(shí)現。

　　2云數據中心網(wǎng)絡(luò )安全服務(wù)架構思路

　　簡(jiǎn)單了解云數據中心網(wǎng)絡(luò )安全服務(wù)需求后，本文提出了分布式網(wǎng)絡(luò )安全虛擬化架構思路，而結合該思路明確的云數據中心網(wǎng)絡(luò )安全服務(wù)架構具體組成同樣具備較高參考意義。

　　2.1基本思路

　　部署于用戶(hù)虛擬網(wǎng)絡(luò )的邊界、在所有需要安全服務(wù)的物理機上啟動(dòng)虛擬化安全設備屬于現階段存在的兩種虛擬化安全設備網(wǎng)絡(luò )部署方式，前者本質(zhì)上屬于個(gè)體物理安全設備的虛擬化，后者則屬于多臺設備管理器與網(wǎng)絡(luò )設備的虛擬化，但考慮到兩種方式均無(wú)法較好滿(mǎn)足云數據中心網(wǎng)絡(luò )安全服務(wù)架構需要，因此本文提出了一種分布式網(wǎng)絡(luò )安全虛擬化架構思路。該架構主要由數據中心管理平臺、安全服務(wù)控制平面、安全服務(wù)平面、物理服務(wù)器集群組成，由此即可實(shí)現流量可視化、微隔離、安全服務(wù)、支持業(yè)務(wù)遷移、全網(wǎng)行為分析等安全服務(wù)[2]。云數據中心分布式網(wǎng)絡(luò )安全虛擬化架構的具體組成如下所示：

　�。�1）安全服務(wù)控制平面。主要由NBI、生命周期管理、用戶(hù)資產(chǎn)輪詢(xún)、安全管理界面、安全策略管理、日志監控、擴展服務(wù)管理組成，其中NBI負責對外提供北向接口，而通過(guò)這些功能即可實(shí)現實(shí)時(shí)的用戶(hù)資產(chǎn)配置獲取，管理員也能夠由此開(kāi)展高質(zhì)量的安全服務(wù)管理。

　�。�2）安全服務(wù)平面。主要由安全服務(wù)虛機、擴展服務(wù)虛機、虛擬機、虛擬網(wǎng)絡(luò )、Hypervisor組成，虛擬機在其中負責集成復雜功能、擴展服務(wù)模塊以形成服務(wù)鏈，而Hypervisor則能夠為全服務(wù)虛擬機的運行提供支持。

　　2.2具體組成

　　結合更深入分析，確定了由引流平面和安全服務(wù)平面分離組成并運行于虛擬機的控制平面（支持高可用性）、采用分布式部署并運行在虛擬機上的安全服務(wù)平面、應用SDN引流和虛擬交換機的引流平面，而服務(wù)模塊的'擴展則通過(guò)啟動(dòng)虛擬機實(shí)現，這一云數據中心網(wǎng)絡(luò )安全服務(wù)架構思路不僅滿(mǎn)足了上文提及的全部需求，安全服務(wù)更被賦予了統一管理和開(kāi)放接口特性。流量可視化、微隔離、安全服務(wù)、支持業(yè)務(wù)遷移、全網(wǎng)行為分析屬于該架構具備的主要服務(wù)能力，如安全服務(wù)能夠提供L2到L7的安全服務(wù)，防火墻、應用識別、攻擊防護、URL過(guò)濾等均屬于安全服務(wù)的具體組成，可見(jiàn)該架構的完善性[3]。

　　3云數據中心網(wǎng)絡(luò )安全服務(wù)架構應用實(shí)例

　　為提升研究實(shí)踐價(jià)值，本文圍繞上述云數據中心網(wǎng)絡(luò )安全服務(wù)架構在不同類(lèi)型云數據中心的應用進(jìn)行了詳細論述，該架構在不同云數據中心基于不同安全需求開(kāi)展的靈活適配具備較高借鑒價(jià)值。

　　3.1VMware數據中心

　　在VMware數據中心的網(wǎng)絡(luò )安全服務(wù)架構應用中，該架構實(shí)現了與vCenter的協(xié)調管理，vCenter、安全服務(wù)控制平面、物理服務(wù)器集群、安全服務(wù)平面屬于架構的具體應用，而在VSS/VDS（虛擬交換機）的引流支持下，該網(wǎng)絡(luò )安全服務(wù)架構可支持ESXiHypervisor，L2至L7的安全服務(wù)也將由此實(shí)現。結合VMware數據中心特點(diǎn)，網(wǎng)絡(luò )安全服務(wù)架構特別準備了擴展日志分析模塊，該模塊主要負責流量日志的分析處理，而分析處理的結果將自動(dòng)送至數據中心日志服務(wù)器。

　　3.2OpenStack數據中心

　　對于應用網(wǎng)絡(luò )安全服務(wù)架構的OpenStack數據中心來(lái)說(shuō)，OpenStack、安全服務(wù)控制平面、安全服務(wù)平面、物理服務(wù)器集群屬于該架構的主要構成，其中OpenStack主要由FWaaSplugin、Neutron、Cinder、Nova組成，由此即可實(shí)現用戶(hù)網(wǎng)絡(luò )信息的獲取和生命周期管理。在OpenStack數據中心的網(wǎng)絡(luò )安全服務(wù)架構應用中，使用OpenSwitch引流、支持KVMhypervisor屬于該部署的主要特點(diǎn)，由此實(shí)現的多租戶(hù)場(chǎng)景支持、在線(xiàn)部署、L2至L7安全服務(wù)提供也應得到關(guān)注。

　　3.3自主開(kāi)發(fā)云平臺

　　自主云平臺開(kāi)發(fā)同樣屬于本文研究分布式網(wǎng)絡(luò )安全虛擬化架構的典型應用，自主開(kāi)發(fā)管理平臺、安全服務(wù)控制平面、SDN控制器、物理服務(wù)器集群、安全服務(wù)平面屬于該應用的具體組成，而在管理API支持下，該架構可實(shí)現用戶(hù)和網(wǎng)絡(luò )信息的獲取、高水平生命周期管理。通過(guò)調用SDN控制器QPI實(shí)現鏡像引流、支持ZENhypervisor與KVM，則使得整個(gè)架構能夠在檢測到虛擬機攻擊行為后在最短時(shí)間內實(shí)現虛擬機隔離，整個(gè)平臺的安全性能自然將由此實(shí)現大幅提升。

　　4結論

　　綜上所述，本文研究的云數據中心網(wǎng)絡(luò )安全服務(wù)架構具備較高推廣潛力，而在此基礎上，文中涉及的分布式網(wǎng)絡(luò )安全虛擬化架構在VMware數據中心、OpenStack數據中心、自主開(kāi)發(fā)云平臺中的實(shí)際應用，則證明了設計思想的可行性。因此本文建議相關(guān)業(yè)內人士關(guān)注本文滲透的設計思想，并由此推動(dòng)我國云數據中心的更好發(fā)展。

　　參考文獻：

　　[1]張小梅,馬錚,朱安南等.云數據中心安全防護解決方案[J].郵電設計技術(shù)，2016.

　　[2]姚帥,陸蓓.基于SDN技術(shù)的云數據中心演進(jìn)方案研究及試點(diǎn)[J].電信技術(shù)，2015.

　　[3]張旭輝.運營(yíng)商云數據中心網(wǎng)絡(luò )安全技術(shù)研究綜述[J].中國新通信，2015.

【云數據中心網(wǎng)絡(luò )安全服務(wù)架構研討論文】相關(guān)文章：

基于智能體服務(wù)的云計算架構研究與分析的論文11-02

基于智能體服務(wù)的云計算架構研究分析論文11-03

淺析基于云存儲的數字校園存儲架構論文05-28

全球服務(wù)外包發(fā)展研討的論文05-12

高清播出系統網(wǎng)絡(luò )安全架構設計研究論文10-22

云計算環(huán)境下軟件開(kāi)發(fā)架構應用與設計論文11-17

基于云計算的船舶裝備維修保障數據中心設計論文11-14

關(guān)于業(yè)務(wù)架構的分析論文06-25

云計算框架下的網(wǎng)站群架構及安全性設計探索論文11-12