云数据中心安全需求及应对策略
云数据中心是利用云计算技术,自动化地按需提供各类云计算服务的新一代数据中心。作为云业务的载体,云数据中心的业务特性与传统数据中心差异巨大,主要表现在:其业务模式从以托管和固定计费为主转为以租赁和按适用计费为主,其业务开通从线下转向以线上为主,其主要资源类型从专用物理资源转变为云化、可迁移、可按需调整的虚拟资源,其业务规模和用户数提高了一个量级,其业务流量从以南北向为主转而出现大量东西向流量,业务种类多样,控制流量更为复杂。
云数据中心网络面临安全挑战
鉴于云数据中心的上述业务特性,以及SDN、NFV等新技术的迅猛发展和规模应用,云数据中心网络相较于传统数据中心网络而言,主要面临以下安全挑战。
虚拟化技术的发展使得安全边界难以界定,逻辑网络拓扑根据业务的需求随时可变,传统的基于物理边界防护的安全架构无法对其进行有效的安全防护。
业务场景更为复杂,对网络和信息安全的个性化需求更为强烈。而传统安全硬件设备将软件与硬件绑定,对外提供固定安全功能,管理员只能通过手工操作界面对其进行简单配置,无法根据业务应用场景进行灵活的功能调整和定制,不能满足业务的弹性、按需的安全需求。
在虚拟化网络软件耦合的环境下,安全事件的定位与排查更为困难。
虚拟资源的弹性扩展和虚拟网络安全边界动态变化要求安全设备具备敏捷与协同防护特性,而现有安全设备和系统各自为政,缺乏有效协同及联动的手段与机制。
SDN、NFV等引入新的安全风险。SDN控制器成为关键节点,一旦控制器被入侵,黑客将可能获得控制器所覆盖的整个网络的控制权;控制器运行异常,也可能会造成下层网络设备的流控制不一致,导致网络故障甚至瘫痪。另外,上层应用的资源开放及SDN可编程的特点,将可能引入恶意应用及插件、资源越权访问等安全风险,导致安全威胁倍增;不同应用间的控制策略相互影响,也可能带来安全策略相互违背的安全隐患。NFV设备引入 MANO、虚拟化技术,并通过标准API接口开放电信网络能力,不仅大大增加了安全管理的复杂度,而且增加了安全攻击面,带来了NFV可信性、可用性等新的安全风险。
