...13年度\"绿色数据中心奖\"获奖企业代表与颁奖嘉宾合影-2013云计...
陈兴军+王健
摘 要: 随着互联网和信息技术的发展,网络安全问题日益突出,特别是针对网站系统的多点扫描攻击、利用最新漏洞0day攻击等网络攻击行为日益严重。为保障政府、企业等各类组织网站系统的长效安全运行,笔者通过对当前先进、集约的安全云防护技术进行了应用研究和实践,并对企业数据中心基于“云端”+“防御节点”方式的进行了实际部署和应用,较好地防止了系统“上云”导致企业内部敏感数据泄露和在第三方商业机构云端残留核心数据的问题。通过以上安全云防护技术部署,既弥补了当前传统安全防护系统弱点,增强了网络安全防护层级,又强化了网络安全防护纵深,可有效降低网站系统受攻击的风险,提升整体安全防护能力和水平。
关键词: 数据中心; 安全云防护; 网站安全; 云防护技术
中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2017)11-43-03
Research on application of secured cloud protection technology in enterprise data center
Chen Xingjun, Wang Jian
(Zhejiang Economic Information Center, Hangzhou, Zhejiang 310006, China)
Abstract: With the development of the Internet and information technology, network security problem has become increasingly prominent. Network attacks, especially the multi-point scanning attacks on the website system and 0day attacks of using the latest loopholes, are becoming increasingly serious. For the long-term safe operation of web site systems of governments, enterprises and other organizations, the author researches and practices on the application of current advanced, integrated secured cloud protection technology, and practically deploys the enterprise data center with the "cloud" + "defense node" mode, to effectively prevent the systems "on cloud" from resulting in leakage of internal sensitive data and residues of core data in the third party's clouds. Above deployment of secured cloud protection technology, makes up for the current traditional security protection system weaknesses, strengthens the network security protection level and depth, and can effectively reduce the risk of website system being attacked, and enhance the overall safety protection ability and level.
Key words: data center; secured cloud protection; website security; cloud protection technology
0 引言
如今網络安全问题日益突出,能否及时发现并成功阻止黑客的入侵和攻击、并保证互联网系统的安全和正常运行已成为政府、企业等各类组织所面临的重要问题。特别是从当前信息安全攻击态势(主要特点:多点扫描攻击、利用最新漏洞0day攻击等)分析,原有传统的安全防御设施已无法适应新的安全需求。因此,利用新技术(云防护技术),增加安全防护层级,强化安全防护纵深,来加强防御多点扫描攻击、利用最新漏洞0day攻击等能力越来越迫切。
1 安全云防护技术的应用
安全云防护技术是利用云计算技术和传统防御体系相结合,基于互联网方式,为目标网络提供安全检测、攻击过滤等服务的网络安全防护技术。通过将目标网络访问流量引导到云端(即安全云平台)进行检测,清洗和阻断网络攻击或非法访问后,再通过云端将流量重定向到目标网络,以此确保目标网络不受攻击。云端(安全云防护平台)通过互联网海量攻击特征大数据分析,能够快速有效的识别和处理最新的SQL注入攻击、文件包含攻击、命令注入、跨站脚本攻击等应用层面攻击行为,再是基于“云计算”海量计算能力和超大带宽容量,能对CC攻击、DDOS攻击(大规模扫描攻击)起到较好的垃圾流量清洗效果[1]。
2 企业级数据中心云防护技术应用架构
2.1 云防护部署网络架构
数据中心运行了大量网站和汇集了企业数据,安全云防护技术应用不仅需要考虑网站运行安全,还要顾及企业内部数据传输和存储安全,需要防止“上云”导致企业内部敏感数据泄露或在第三方商业机构云端上残留数据[2]。鉴于以上安全顾虑,企业级数据中心云防护技术应用可基于“云端”+“防御节点”模式进行部署,“云端”负责收集和进行互联网海量攻击特征大数据分析,控制云防护体系的安全策略动态更新和智能管理(即智能DNS功能、智能调节防御节点策略等),“防御节点”负责具体策略的实施控制和对数据流量过滤(即承担监测、监测、阻断、隔离等),实行本地部署,防止企业内部数据流出数据中心范围,满足数据可控性要求[3]。endprint
2.2 云防護系统软件架构
云防护系统软件,主要包括:智能DNS系统、数据分析处理系统、配置管理系统、防护系统等软件模块组成,功能逻辑框架见图2。
智能DNS系统 依托于云端,提供DNS解析服务。通过域名CNAME记录对目标网站系统进行流量牵引,将互联网流量引导到云防护体系;通过智能DNS探查功能,实现对防御节点运行状态监测(包括:CPU、内存、磁盘占用、Load状态、内外网流量、HTTP访问的QPS等)[4],在防御节点负载过重或突发故障时,流量智能调度和引导到目标网站,防止因其异常导致系统服务中断等。
数据分析处理系统 依托于云端,提供收集和进行互联网海量攻击特征大数据分析服务。通过对防御节点回传的异常访问特征进行大数据分析,形成最新的攻击特征库,为云端安全策略提供依据;通过对防御节点回传的有关日志进行大数据分析,形成网站系统安全态势情况等。
配置管理系统 依托于云端,提供防御节点安全策略配置管理(包括:最新规则库实时更新、高危IP信息、分类安全策略库等)和目标网站系统策略应用管理和有关配置。
防护系统 部署在本地,对网络流量进行清洗和安全检查过滤等。防护系统由恶意请求拦截引擎和缓存组成,通过读取配置信息,恶意请求拦截引擎会调用相应的检测模块(例如CC攻击检测、规则检测、智能攻击识别、各类访问控制模块等)对请求进行过滤,同时,还会依据配置信息判断是否将请求转入缓存响应,提高请求响应效率。防护原理见图3。
3 结束语
在数据中心应用云防护技术,可强化数据中心网络安全防护纵深,增强安全防护层级,有效降低目标网站系统受攻击的风险,提升整体安全防护能力和水平。但数据中心部署云防护涉及到云防护体系平台建设、云防护软件研发、安全防御规则长期研发和更新,需大规模投入。企业数据中心在建设和应用云防护技术时,如何结合自身互联网线路资源和专业机房优势,整合专业安全云防护技术服务商技术资源,“联合共建、共享共用”方式为依托于数据中心运行的各网站系统提供更优质的网络安全增值服务,保障数据中心安全运行,有待进一步实践。
参考文献(References):
[1] 周汉辰,周北望.网络安全纵深防御体系技术研究[J].有线电
视技术,2015.4:16
[2] 郑长亮.基于云计算的网络安全防御技术研究[J].数字技术
与应用,2014.5:201
[3] 廖坚.云计算环境下租户数据安全与隐私保护机制研究[J].
数字技术与应用,2014.5:192
[4] 李文正.基于智能DNS的网络负载均衡的研究[J].食品科学
技术学报,2008.26:57
[5] 王庆波,金涬.虚拟化与云计算[M].电子工业出版社,2011.endprint
