云安全防护技术在企业数据中心的运用

摘要：近年来，随着大数据技术与云计算技术的大范围推广应用，部分企业已经建立了常规数据中心与虚拟化数据中心，并且随着数据中心云平台的搭建，数据中心的云端化与虚拟程度越来越高。因此，需要根据当前的实际情况，增强对云安全防护技术的运用，保障企业数据中心安全。本文概述了企业数据中心安全防护，剖析了云安全防护技术在企业数据中心的应用作用。并以此为基础，分别从应用思路、操作系统、防护平台、功能及技术方面，对其具体运用进行了讨论。

关键词：云安全；防护技术；企业数据中心；运用

自从进入工业4.0时代，企业通过对信息技术与通信技术的融合应用普遍建立了数据中心，旨在通过数据化管理，提升企业生产经营管理效率。但是，在量子计算机尚未全面普遍应用之前，数据中心的安全问题仍不能获得彻底解决。当企业数据中心受到病毒传播、木马入侵、非授权登录之后，不仅会给企业数据中心的数据造成损坏，而且此类数据会被恶意篡改、远程控制，并给企业造成难以估量的损失。

1.企业数据中心安全防护现状

当前，企业建立了数据中心并结合数据中心的安全管理需求，配套设置了相关安全管理措施。从实践经验看，主要集中在选择安全性较大的网络结构、数据中心安全管理措施、数据中心系统保护三个方面。其中网络结构的选择重点集中在对临时VPN通道的搭建方面；数据中心安全管理措施方面，则以常规的安全防护为主，包括了基本的设备安全管理、硬件安全维护、日常杀毒等；数据中心系统安全防护则结合数据中心与虚拟化数据中心建设阶段的不同，分别选择了网络隔离技术、安全设计方案。虽然在防护技术上各类技术均有优势，但在实际的防护效果方面仍然存在诸多不足。

2.云安全防护技术在企业数据中心的作用

云安全防护技术主要是通过搭建防护资源池的办法，利用安全设备为企业对该技术的应用系统过滤巨大流量，保障总体安全。该技术的特点集中在弹性防护、精准防护、源站隐藏、DDOS攻击防护等方面。由于该技术一般由第三方云服务商提供，其应用安全系数相对较大，专业化程度较高，投入成本也比较昂贵[1]。从部分企业应用经验看，一方面弥补了企业数据中心虚拟化安全防护机制中的不足之处，另一方面能保护企业敏感数据并提高终端安全的细粒度检测能力，尤其在身份认证与授权机制方面，通过使用云安全防护技术能够发挥更大作用。

2.1完善虚拟防护机制

企业建立数据中心后，数据处理呈现为虚拟化特征，服务器的利用率相对提高，然而在端口流量增大的情况下，需要更大的承载能力。同时，一台物理服务器中部署了若干虚拟机之后，安全策略部署会越来越复杂，此时对于异构存储方面的统一监管难度相对较大，容易发生跨域访问的情况。另外，某个虚拟机发生安全风险会引起连锁反应，将风险扩展到其他服务器，大大增加了数据利用风险、安全监管风险，以及数据中心本身的虚拟环境风险。因此，在这种情况下，企业数据中心的各类服务风险会增大。应用云安全服务器后，能够借助其四大基本特点，完善虚拟防护机制，实现对各类风险的统一防护。

2.2强化敏感数据保护

企业建立数据中心的目标十分明确，旨在提高资源利用率，尤其在敏感数据方面，可以利用强大的编码、分类、存储、分析、生成报表、实时利用等标准流程，开发数据价值。但是，此类数据在数据中心的云端服务平台中，面临着外部风险与内部泄密的问题，而且此类数据本身与企业管理层的受保护信息关联，在缺失针对性的敏感数据保护措施下，容易因敏感数据被窃取、篡改、泄漏从而给企业造成不可估量的损失[2]。应用云安全防护技术后，能够通过云安全管理平台的部署逻辑，利用安全资源池中的安全识别、安全检测、安全防护、安全响应的四大模块，较好地实现对企业数据中心核心交换机进行双向的智能引流，从而保障对外界互联网与内部数据中心的隔离防护目标。尤其在细粒度检测能力方面，可以发挥云安全防护技术中的智能安全分析功能，即开即用，针对各种接入方式实施立体防护。

2.3增强身份认证与授权保护

企业数据中心设置了系统登录权限，并且通过等级制的身份认证实现授权保护。部分企业的数据中心登录系统中对于自动退出的功能设置不全，容易发生内部人员非授权登录的情况。同时，在企业数据中心中，普遍以安全隔离技术的应用为主，没有针对数据中心的实际需求配套设计安全管理系统。例如，数据中心用户在未退出登录系统的情况下，在同一台计算机中下载网络资源或者观看某些不安全网站时，“流氓软件”“木马病毒”等会通过黑客攻击、虚拟机溢出、虚拟机跳跃等不同的方式，渗透到数据平台之中[3]。另外，当前企业数据中心的运维管理，往往以自主性的维护为主，在虚拟机与硬件隔离的情况下，管理人员往往不太注重监测虚拟机中的风险，将重点放在物理服务器上，会因虚拟服务器稳定性下降后为非授权登录提供可乘之机。因此需要发挥安全防护技术中使用的安全加密芯片，保护虚拟安全设备资源池中作为宿主机的虚拟服务器安全，从根本上保护登录系统安全。

3.云安全防护技术在企业数据中心的运用

3.1应用思路

第三方机构为其设计了云端一体化安全防护架构，主要按照移动终端安全操作系统与云安全防护平台两大部分，构建了以主体要素层—技术模型层—应用系统层为主的架构。在移动终端安全操作系统方面：（1）主体要素为云计算虚拟化安全防护、敏感数据隐私保护；（2）技术模型方面，包括云计算虚拟化环境安全防护模型、终端APP商店式管理模型。（3）应用系统包括移动终端安全管理平台、终端威胁可视化管理系统。在云安全防护平台方面：（1）主体要素为身份认证和授权、终端安全细粒度检测；（2）技术模型包括终端检测数据安全防护方法、Android接口与安全操作系统底层服务融合机制；（3）应用系统包括云计算虚拟化环境安全防护系统、云计算威胁可视化管理系统。

3.2操作系统

在OS操作系统方面，则按照内核—硬件抽象层—Android兼容层（系统服务层/基础类库）—应用框架层—应用层等基本层构建了“芯片/厂商+开源+自主模块”自主系统。具体如图1所示。

3.3防护平台

在明确了应用思路，完成基础的操作系统技术方案设计后，根据云安全防护技术应用时的基本逻辑部署云安全防护平台。首先，第三方机构为其建立安全资源池，划分出租户A安全资源、租户B安全资源、租户C安全资源。具体包括：（1）在A租户方面，设置vFW、vWAF、堡垒机、数据库审计；（2）在B租户方面，设置vFW、堡垒机、SOC审计、主机EDR；（3）在C租户方面，设置vFW、vWAF、漏洞扫描、主机EDR。然后在此之上划分出安全识别、安全检测、安全防护、安全响应四大模块。其次，在企业数据中心的云平台区域，包括了企业云租户A、B、C资源池中以VPC为主，每个资源池中囊括VM1、VM2、VM3设施，以及虚拟交换机。当云平台区域的虚拟交换机与接入交换机、核心交换机、互联网关联后，数据中心可以利用DDos、FW/LLB与核心交换机、云安全防护平台的关联，实现交互式智能引流，从而达到对所有资源的全面过滤。具体如图2所示。

3.4平台功能及技术

3.4.1平台功能在该平台中预设了“一个平台、两个视角、三方能力、四大模块”功能。首先，通过应用云安全防护技术搭建了云端统一安全防护平台，能够借助移动终端安全操作系统与云安全防护平台两个视角，为企业提供12种云安全能力。其次，可以利用底层云安全资源池中的安全产品组件归一化与标准化处理，使云租户的安全能力，获得有效提升，达到资源化、服务化、目录化处理，提高企业各项业务的安全合规性[4]。而且可以将四大模块统一起来，形成针对企业数据中心的全生命周期云安全管理产品，使云识别—云监测—云防护—云响应发挥出一体化防护功用。尤其是配套应用云安全管家后，有利于达到纵深防护目标。3.4.2平台技术在云安全防护平台中，主要技术为即开即用、可视可控、智能分析。在即开即用技术方面，旨在通过对原来安全产品能力的抽象化处理，解耦软件与硬件后，将软件核心能力进行打包处理，匹配到数据中心的虚拟化环境之中，从而保障所有数据向弹性安全资源池的汇聚，实现整体上的安全过滤服务。同时，该平台借助对解耦后的安全能力进行服务化改造，可以深化服务方式，使其转变为可视经拓扑交互图，并根据用户实际运营业务中的安全需求，选择开通相应的安全产品。例如，图形安全、音频安全管理等，只需要开通后即可以实现即开即用目标。在可视可控技术方面，该平台主要是由第三方提供统一的云安全管理，当第三方提供服务后，企业能够结合数据中心的可视化屏幕实时地查看其业务安全状况，包括安全态势、风险处理、运维状况等。由于设置了APP商店管理模式，企业所有人图2企业数据中心云安全管理平台部署员，只要拥有该款APP即可以通过企业授权登录，并在业务界面中参与到对相关管理内容的查询、开通、使用等。在智能分析技术方面，主要是根据平台中的专家系统，利用人工智能技术开展深度学习，持续增强对数据中心的风险防护等。

结语

在我国各行业高质量发展阶段，普遍增强了对数字化技术的运用，随着云计算的推广应用，数据中心与虚拟数据中心方面的安全防护需求相对增加。因此，为了满足该需求，企业有必要增加对云安全防护技术的应用。通过以上初步分析可以看出，云安全防护技术功用较多，可以借助云端一体化与自主化移动终端安全操作系统，提高企业数据中心资源池的安全防护能力。在具体应用时，应结合云端一体化方案研发设计思维，选择与企业实际建设的数据中心相一致的移动终端安全操作系统技术方案与云安全平台技术方案，从而保障整个云安全防护技术在有效运用的情况下，为企业数据化的生产经营活动保驾护航。

参考文献：

[1]宋书文.企业数据中心运维管理系统的应用[J].信息系统工程,2020,14(2):56-57.

[2]黄硕.企业数据中心业务连续性保障体系建设实践[J].网络安全技术与应用,2020,10(5):106-108.

[3]田甜.企业数据中心云化转型的初步探索[J].信息通信,2020,3(7):147-148.

[4]石瑾.思源前沿:五步构建企业数据中心[J].中国总会计师,2020,9(3):18-19.

作者：赵佩咏 单位：武警工程大学