云计算数据中心安全体系架构浅析

在建设云计算数据中心时，由于资源整合程度和共享程度很高，不论是数据安全、应用安全还是虚拟化安全，都以服务的方式交付给数据中心用户。在这种建设思路的指引下，云计算数据中心的信息安全体系和传统数据中心的安全防护体系差别很大，归结起来主要有以下几个方面。

（一）新增虚拟化安全要求

云计算数据中心的虚拟化分为软件虚拟化和硬件虚拟化。所谓软件虚拟化是指将软件直接部署在实体机上，提供创建、运行和撤销虚拟服务器的能力。在这种情况下，用户具有了同时操作多台虚拟服务器的条件，所以必须严格限制任何未经授权的用户访问虚拟化软件层，例如建立严格的控制措施，限制对于Hypervisor和其他虚拟化层次的物理和逻辑访问控制。硬件虚拟化的安全可以借鉴物理服务器的安全措施，主要从实体机选择、虚拟服务器安全和日常管理3个方面来制定安全防护方案。另外，在资源高度整合的条件下，对资源的按需分配、数据之间的安全隔离提出了更高的要求，安全设备应适应云计算数据中心虚拟化要求。

（二）安全边界混杂

传统数据中心的安全防护体系建设的一个重要思路就是基于边界的安全隔离和访问控制，并且强调分区规划，分层防护。但是在云计算数据中心里，资源高度整合，基础设施架构统一化，安全设备的部署边界已经变得十分模糊，甚至有消失的趋势。

（三）安全威胁发现和处理作用范围变大

在传统数据中心里，安全威胁的信息来源主要是客户端上部署的安全软件和网络中部署的硬件安全产品。管理人员在得到信息后，可以在很短的时间内对安全威胁进行处理，但这种处理是分区域的，也就是说无法做到整个数据中心的集中防范和集中处理，无法形成整体的安全防护。而在云计算数据中心里，安全威胁的感知和处理都将趋于统一，信息共享率极高，安全防护体系比传统数据中心的体系更加宏观，防护范围更大。根据云计算数据中心信息安全体系建设的新情况，云计算数据中心的信息安全防护可以从以下几个方面综合考虑。

1.注重对虚拟化的支持

虚拟化是云计算数据中心的关键技术，现代化数据中心的基础网络架构、存储资源、计算资源以及应用资源都已经在向虚拟化靠拢。无论是为了满足不同用户的需求，提供个性化资源服务，还是为了利用逻辑隔离手段来保证数据安全，虚拟化都是一个非常好的选择。因此，在建设云计算数据中心的安全防护体系时，对虚拟化的支持是十分重要的。

2.建设统一安全威胁防护系统

由于云计算数据中心的安全边界已经变得模糊不清，资源高度整合，管理员即使有能力对整个数据中心进行分区，也只能是基于逻辑的划分，物理上的安全边界已经不复存在。在这种情况下，针对用户单独部署独立的安全系统已不现实。安全设备的部署应该从原来的基于各子系统的安全防护，转移到基于整个云计算数据中心的安全防护，建设统一安全威胁防护系统。打个形象的比喻，云计算数据中心的安全威胁防护系统应该像一个罩子，覆盖住整个数据中心。

3.形成安全风险陕速反应机制

在云计算数据中心的安全建设中，充分利用云计算强大的资源共享能力和运算能力，对安全风险进行快速反应和处置，快速定位解析安全威胁，并将安全威胁的处置方式推送至整个数据中心，从而使所有的安全设备都具备对这种安全威胁的检测能力。

五、总结