運營商是云計算的引導者和運營者，在云計算時代面臨著全新的競爭環境，云計算的服務已經打破以往的商業模式，云計算服務提供商正在進入傳統的CT、IT以及IDC運營等領域，使得競爭環境進一步惡化，運營商最能進行的云計算服務領域也從原來的公有云服務，逐步延展到了私有云、專享云、混合云、托管云等領域，而在這些領域對安全的需求是與公有云完全不同的，本文重點將探討一下針對私有云、專享云、混合云、托管(下文將統一對以上類型的云服務統稱為“大客戶云服務”)等針對大客戶的云服務安全方案和防御方法;

大客戶云服務環境下的安全風險與防護方案

1)大客戶數據泄露風險-公有云或共享云

這是目前政企客戶是否選擇大客戶云服務最為擔心的安全風險，做為大客戶也更為關心這類問題，同時也是用戶數據泄露的重要途徑。用戶數據在云計算環境中進行傳輸和存儲時，用戶本身對于自身數據在云中的安全風險并沒有實際的控制能力，數據安全完全依賴于服務商,如果服務商本身對于數據安全的控制存在疏漏，則很可能導致數據泄露或丟失.現階段可能導致安全風險的有以下幾種典型情況：

·由于云服務提供商的安全漏洞導致的黑客入侵造成的用戶數據丟失;

·由于虛擬化軟件的安全漏洞造成的用戶數據被入侵的風險;

·數據在傳輸過程中沒有進行加密導致信息泄露;

·加密數據傳輸但是密鑰管理存在缺失導致數據泄露;

·不同用戶的數據傳輸之間沒有進行有效隔離導致數據被竊取;

·用戶數據在云中存儲沒有進行容災備份等。

從這個角度看，云計算服務商在向用戶推薦云計算服務時，需要和企業用戶簽署服務質量保證協議，并從技術和管理兩個方面向用戶進行安全保證，以減輕用戶對于數據安全的擔憂。

防護方法及應對措施

從以上問題來看，建設針對大客戶的專享云或私有云，并在遠端實現托管云服務是一步步切入大客戶云服務的良好途徑，這種模式對比起公有云和共享型云服務有明顯的優勢：

·硬件基礎平臺既IAAS架構上各自分離獨立，不會引起底層安全擴散和遭受攻擊的威脅

·針對IAAS平臺的專享或私有，運營商可以提供用戶側放置獨享或私有云的模式，來強化大客戶的安全感，如果采用托管式的專享或私有云模式則也可以通過隔離獨立的物理區域和硬件設備來實現安全性的保障

·在此基礎上更可以提供專門的安全云增值服務，來提供針對客戶專享云或私有云的安全增值服務，如華三公司的統一云安全管理平臺，即可實現針對客戶定制化的所有安全隱患的排查和檢測，并能夠覆蓋到各個不同的層次和不同廠家的設備，如圖2所示，可以通過華三公司的SCC平臺實現全局很深入的安全問題排查和報表式通告;

圖2 SCC平臺實現全局很深入的安全問題排查和報表式通告

·針對國家所頒布的等保要求，還要及時的根據大客戶應處的等級保護級別來進行安全對應方案和產品的部署，確保等保用戶接入時的等保要求，要定期做好等保防護和信息安全定時通告;

2)內部安全失控

企業的核心數據在云計算環境中的存儲，離不開管理員的操作和審核，如果服務商內部的管理出現疏漏，將可能導致內部人員私自竊取用戶數據，從而對用戶的利益造成損害。在這種情況下，除了通過技術的手段加強數據操作的日志審計之外，嚴格的管理制度和不定期的安全檢查十分必要。云計算服務供應商有必要對工作人員的背景進行調查并制定相應的規章制度避免內部人員“作案”，并保證系統具備足夠的安全操作的日志審計能力，在保證用戶數據安全的前提下，滿足第三方審計單位的合規性審計要求。

防護方法及應對措施

由SDN技術可以對所有的數據流向和經過的節點進行記錄和調度，采用overlay網絡可以讓用戶的數據路徑變成唯一路徑，不會被外部獲取或轉移數據路徑，這樣可以保障數據在傳輸的過程中不被輕易的欺騙或竊取，而數據存儲的安全性保障則需要依靠數據訪問審核、訪問用戶權限控制和數據一致性驗證來保障了;

3)虛擬化安全策略的自動遷移調整

大客戶服務往往與公有云服務有巨大差異，私有云業務往往出現頻繁的虛擬機遷移等動作，而安全部署往往是依據環境變化而做出的定制化服務策略，在業務模式發生變化后，往往安全服務需要重新制定，中間時間和環節會造成大客戶的云業務暴露在安全威脅中：

·防護方法及應對措施

虛擬化環境下的虛擬機自動遷移，是云計算環境的重要特征之一。為跟隨這種虛擬機的遷移，業務系統本身的資源配置以及該虛擬機的接入端口屬性都在積極響應并提供適配的手段。而要想實現安全策略的跟隨遷移，安全管理平臺需要提供包括下面在內的重要技術支撐：

及時建立起網絡中的每個虛擬機和安全策略組的對應關系，實現全局的虛擬機安全策略統一規劃和管理;

及時感知虛擬機的遷移動作，并獲取虛擬機遷移后的網絡位置信息，以此來觸發安全策略的遷移;

根據遷移后的虛擬機信息，探測計算出遷移后的虛擬機所對應的安全設備，為下一步的安全策略調整做準備;

安全管理平臺基于上述信息有效整合各方面資源，自動調整安全策略，將該虛擬機對應的安全策略組重新下發到新的安全設備上，完成整個安全策略的遷移。

如圖3所示，根據大客戶的云安全服務要求提供虛擬機遷移的安全策略自動跟隨服務;

圖3 安全策略匹配虛擬機遷移自動跟隨

4)針對大客戶的安全服務還包含：

·安全既服務SAAS

運營商針對大客戶的云安全服務可以采用服務鏈service chain的方式來實現云安全服務的部署：

·Saas(Security as a Service )，將安全以云服務方式提供，將流量引入安全云中心“清洗”;圖4所示 運營商可以通過專門的云服務來提供給大客戶安全云服務業務

·“安全云中心”可以是數據中心的一個安全服務資源池，或以公有云的方式提供;

·“安全云服務中心” 的關鍵技術：如何識別與牽引流量，如何保證云中心的交付能力，多租戶問題。

·Overlay + NFV 提供靈活的流量控制及云端的橫向擴張能力。如圖5所示運營商安全既服務產品結構

如圖5 運營商可以通過專門的云服務來提供給大客戶安全云服務業務;

圖5 運營商安全既服務產品結構

·升級安全架構，構建基于SDN技術架構的安全模型：

基礎架構安全升級：組合IAAS、PAAS、SAAS架構安全防護系統做統一防護，構建L2-L7層全面的防護體系，根據SDN技術結合，實現全安全架構的搭建，如圖6所示，基于SDN技術的全局安全策略和部署模式，來完善云時代的安全模型

圖6 基于SDN技術的全局安全策略和部署模式

·做好基礎安全信息收集：

做為安全信息中最重要的環節部分，所有后續的動作均來自此，現階段最流行的方法就是采用DPI(深度數據報文檢測)將所有的設備流量做鏡像，進行分析，除此之外，還建議部署設備日志收集分析系統，用于日志信息的收集和統計

·定期定時進行安全事件分析：

針對收集到安全信息進行分析并提早做出判斷，是否有安全隱患，此系統是華三的SCC管理平臺的內置功能，可以通過激活此功能來實現安全日志的統計和分析，相關的細節不再贅述，可以參考華三公司相關技術白皮書;

·利用新手段技術-大數據進行安全風險預警：

在安全事件分析中最常用的一種手段就是大數據分析和預測，根據谷歌的大數據預測分析系統預測，大數據比專家更管用，早于其他信息手段預測至少2周時間，而安全的大數據有一個很重要的特性，就是關聯性，大數據對于關聯性分析稍顯滯后，不能進行實時的預警和敢于，對于這部分的解決方法就是部署在線式的安全防護設備來實現這個木桶短板的補齊，其中IPS可以提供L4-L7層的安全防護，以前基本用于云計算的門戶出口處，但現在由于大客戶私有云的需求，往往在不同的業務分區和大客戶業務的門戶處都部署IPS設備，而IPS設備自身的應用防護信息庫沒有與云安全平臺聯通的時候是通過其人工設定的門限值來進行防護的，而與安全防護管理平臺聯動后，運營商可以向大客戶的云安全防護設備提供全新的安全策略，以便大客戶能夠及時提升安全防護的能力。

結束語：云計算數據中心網絡安全部署僅僅是云基礎架構中基本的建設環節，要保證云計算中心的安全，還要考慮數據加密、備份，信息的認證授權訪問以及法律、法規合規性要求，只有全面的進行規劃，才能建立全面、完善的云數據中心安全綜合防御體系。IT畢竟是手段，法律法規和嚴格的執行還是安全風險防范的最佳法寶，隨著云安全服務的升級，華三提供給了運營商應對云安全問題的手段更多樣化，以便能夠適應云時代大客戶對云安全的防護要求。