数据中心网络安全建设方案研究

近几年 ，数据随着新兴ICT业务的中心发展，网络安全越来越受到人们关注 。网络网络安全的安全相关法律法规相继出台 ，让安全合规成为企业数字化转型的建设刚性要求。根据《中华人民共和国网络安全法》
 ，研究网络安全应做到“三同步”，数据即“同步规划、中心同步建设、网络同步运营”，安全将网络安全防护融入到规划、建设可研、研究设计、数据建设 、模板下载中心验收、网络备案变更、维护评估、整改加固 、退网的全过程，实现网络安全防护工作规范化
、流程化  、常态化 。

企业数字化转型以及5G
、物联网、工业互联网、移动支付等新业态带动了数据中心的发展 ，在国家一体化大数据中心及“东数西算”节点布局的推动下，建站模板数据资源的安全越来越重要
 。因此，数据中心的安全需要从场景出发
，与5G 、云、网 、算力等要素充分融合，提供综合化、创新性解决方案 。同时，“新基建”上云扩大了数据中心的安全边界
，应根据用户需求提出整体解决方案，主动防御。亿华云

本文在研究数据中心等级保护2.0(简称等保2.0)建设及IDC/ISP系统对IDC出口带宽全覆盖的基础上，重点描述了数据中心安全部署位置
、部署架构选择以及IDC/ISP系统存储设备的优化 ，将研究的成果应用到了大型数据中心安全能力的建设，经过测试，该方案能有效提升数据中心安全能力 。

数据中心安全能力需求

等级保护2.0对数据中心安全能力提出要求

为适应云计算 、大数据、物联网及工业控制等新技术的安全需求，国家适时出台了等保2.0的建设体系 
。香港云服务器等保2.0的要求包括安全物理环境、安全通信网络
、安全区域边界 、安全计算环境及安全管理中心5个方面 。物理安全一般在机房建设初期进行了考虑 ，安全相关制度需在数据中心投入使用时制定
，相关安全配套建设需要与网络建设做到“三同步”，根据安全通信网络 、安全区域边界以及安全计算环境的需求配置安全设备。

IDC/ISP互联网信安系统要求

目前IDC/ISP系统均已实现100%覆盖IDC，具备数据安全功能，可对数据泄露 、跨境流动 、网络攻击 、服务器租用恶意程序 、网络异常等行为进行监测溯源和处理。

现有IDC/ISP系统随着链路容量的扩大 ，EU系统存在资源利用率不高、对云业务安全监测能力不足等问题 
。CU系统因逐年扩容建设成本较高，需考虑通过存算分离技术来实现资源按需扩展，提高资源利用率，实现降本增效 。

黑洞路由传递需求

大型IDC设置有专门的IDC出口路由器，在网络边界做汇总回程路由的时候有些网段不在内网中，但是又包含在汇总后的免费模板网段中 ，这些路由通过缺省路由进行转发 ，能根据默认路由又回到原来的路由器，这就形成了环路，影响路由器的处理效率。因此，面向IDC出口的黑洞路由传递是在大型数据中心建设中需要解决的问题之一。

数据中心安全建设方案分析

数据中心安全能力建设既要对IDC和互联网专线用户等提供安全防护能力 ，也要对内外运营商自有系统和网络提供安全防护能力。

安全能力池部署位置选择

从安全原子能力的实现方式来看  ，可以将安全能力分为流量型和非流量型安全原子能力
，以实现安全防护。流量型一般包括网关类安全能力及镜像类安全能力，网关类通过VPN/PBR/VxLAN/SRv6等技术 ，将流量牵引至安全能力池内，流量经过处理后再回注被防护对象，此类安全能力与业务流量相关 ，时延要求较低。镜像类将访问流量镜像至安全资源池内进行分析 
，并将结果反馈至安全管理系统 。

非流量型安全能力要求IP可达即可，安全原子能力只需与被防护目标网络IP可达，对时延要求比流量型的要求更低
。

根据以上安全能力的分类 ，安全能力的部署位置有两种选择
，即通过集中和近源部署实现安全防护 。集中部署可以构建统一的安全能力池 ，安全能力资源共建共享
，集约化建设运营。近源部署则是将部分安全能力在防护目标的近源侧进行本地化部署，下沉至IDC机房 ，作为安全能力池的延伸  ，经由安全管理平台统一管理，通过近源流量牵引实现安全防护 
。

如图1所示 ，数据中心因用户访问的时延敏感性 ，宜选用近源侧部署方式 ，根据数据中心规模的大小 ，可分为3种部署方式：一是安全能力下沉至IDC机房;二是按城域网进行集约部署;三是以省为单位集中部署。3种部署方式对比如表1所示
 。

图1 数据中心安全能力池部署方式

表1 IDC安全能力池三种部署方式对比

安全能力池架构选择

在安全能力组网架构选择上 ，传统的安全设备以串式为主
，此种方案能较好地对数据流进行安全能力处理 ，组网简单，串式安全能力组网如图2所示。

图2 传统串式安全能力架构

此组网架构存在一个弊端
，即串式安全架构安全能力池可扩展性差，单台设备故障影响整体的安全能力
，所有流量流经所有安全设备 ，安全设备间紧耦合 。针对传统安全架构遇到的挑战，F5借助强大的全栈安全服务引擎，推出了SSLO，即SSL可视化与智能编排解决方案 ，可以做到安全能力资源池动态扩展  、精分流量编排、设备故障快速隔离、安全设备灰度发布 、以安全业务服务为调度核心。借鉴F5 SSLO安全架构编排理念 ，采用基于园区汇聚并行安全架构部署方式，可以完成数据中心的安全能力部署。3种安全架构部署方式对比如表2所示。

表2 安全能力池架构部署方式对比

大数据园区安全建设方案

随着国家一体化大数据中心提出及“东数西算”工程的启动
，运营商纷纷在八大枢纽节点进行数据中心的建设，以某运营商在河北周边数据中心建设为例，一期建设3栋数据中心大楼 ，启用6000机架 ，考虑到建设初期IDC流量小 ，按单机架流量150Mbit/s、DCSW出口带宽利用率65%进行扩容，通过计算可得DCSW出口带宽达到1400G 。在以上测算模型的基础上进行数据中心安全能力的建设，某运营商大数据园区安全能力建设包括安全配套建设及国家监管IDC/ISP系统的建设 。

●大数据园区安全配套建设方案

安全能力分别满足流量型及非流量型的需求
，流量型安全能力下沉至IDC园区 ，在园区内安全能力建设时 ，采用由其中一栋IDC机楼承接安全能力池的建设，其它机楼安全能力通过IP可达方式牵引至安全能力池进行部署。根据等保2.0的要求以及IDC园区自身路由安全的需求，安全能力池按需部署防火墙、IPS 、DNS反解析、Web防挂马
、APT、WAF、漏洞扫描
、基线扫描 、双提升测试服务器以及黑洞路由传递等10项安全原子能力 。非流量型云安全自服务借助统一的安全能力部署方式，利用原有城域网的安全能力进行建设。

在部署架构的选择上
，借鉴F5 SSLO安全架构编排理念，安全能力设备集中部署在园区汇聚交换机侧 ，每台设备均双上行至汇聚交换机，既保证了链路安全 ，又做到了安全资源池可动态扩展 、设备故障快速隔离、降低业务时延、高效支撑业务发展
。大型IDC安全能力池部署如图3所示。

图3 大型IDC安全能力池部署

●IDC/ISP系统优化方案

根据IDC/ISP系统建设要求，需对DCSW出口带宽进行100%覆盖 。依据IDC/ISP系统EU及CU存储的计算模型，总体存储新增需求达到8022TB。EU采用分散部署的方式 ，分别在每栋机楼部署
。CU采用集中部署方式，放置于其中一栋IDC机楼。在CU系统建设中，存储容量建设随着网络带宽的扩容，每年的扩容量增长较快 ，目前常用的存储方式为分布式存储，存储容量为120TB(2U)。针对ID冷存储型服务器常见的单台设备容量为288T(4U) ，两种建设方式对比如表3所示。

表3 CU两种建设方式对比

综合对比冷存储型服务器及分布式存储服务器，冷存储服务器投资小、占用机架少，因此选用冷存储服务器进行CU系统建设，可以实现降本增效
。该方案应用于某运营商在大数据园区安全能力的建设，经测试 ，可达到数据中心的防护要求 ，对数据中心安全能力的建设有一定的参考价值。