近年来,随着新兴ICT业务的发展,网络安全越来越受到关注。网络安全相关法律法规相继出台,安全合规成为企业数字化转型的刚需。根据,网络安全要做到“三同步”,即“同步规划、同步建设、同步运行”,将网络安全保护融入规划、可行性研究、设计、施工、验收、备案变更、维护等环节。评价,实施了网络整改加撤全过程,实现了网络安全保护工作的规范化、流程化、常态化。企业数字化转型和5G、物联网、工业互联网、移动支付等新业态推动数据中心发展。在国家综合大数据中心和“东数据、西计算”节点布局的推动下,数据资源的安全性越来越有保障。更重要。因此,数据中心的安全需要从场景出发,充分融合5G、云、网络、算力等要素,提供全面创新的解决方案。同时,“新基建”上云拓展了数据中心的安全边界,应根据用户需求提出整体解决方案,进行主动防御。本文基于对数据中心等级保护2.0(简称等级保护2.0)建设和IDC/ISP系统对IDC出口带宽全覆盖的研究,着重描述了数据的安全部署位置中心、部署架构的选择、IDC/ISP系统的存储设备。优化,将研究成果应用于大型数据中心安全能力建设。经测试,该方案可有效提升数据中心安全能力。数据中心安全能力要求等级保护2.0对数据中心安全能力提出要求为满足云计算、大数据、物联网、工控等新技术的安全需求,国家适时出台建设体系等级保护2.0。等级保障2.0的要求包括五个方面:安全的物理环境、安全的通信网络、安全的区域边界、安全的计算环境、安全的管理中心。物理安全一般是在机房建设初期就考虑的。数据中心投入使用时需要制定安全相关制度。相关安全配套建设需要与网络建设“三同步”。根据需要配置安全设备。IDC/ISP互联网安全系统要求目前IDC/ISP系统已实现IDC100%覆盖,具备数据安全功能,可对数据泄露、越界流量、网络攻击、恶意程序、网络异常等进行监测、追溯和处理和其他行为。随着现有IDC/ISP系统链路容量的扩展,EU系统存在资源利用率低、云服务安全监控能力不足等问题。由于CU系统每年扩容建设成本高,需要考虑存储计算分离技术,实现资源按需扩容,提高资源利用率,实现降本增效。黑洞路由需要大型IDC配备专用IDC出口路由器。在网络边界聚合回程路由时,有些网段不在内部网络中,但包含在聚合的网段中。这些路由通过默认路由转发,可以按照默认路由返回到原路由器,形成环路,影响路由器的处理效率。因此,IDC出口的黑洞路由传输是大型数据中心建设需要解决的问题之一。数据中心安全建设方案分析数据中心安全能力建设不仅要为IDC和互联网专线用户提供安全防护能力,还要为内外部运营商自身系统和网络提供安全防护能力。安全能力池部署位置选择从安全原子能力实现的角度来看,安全能力可以分为流量型和非流量型安全原子能力来实现安全防护??。流量类型一般包括网关类安全能力和镜像类安全能力。网关类流量通过VPN/PBR/VxLAN/SRv6等技术引入安全能力池。处理完流量后,将其注入回受保护对象。此类安全能力与业务流量相关,时延要求低。镜像类将访问流量镜像到安全资源池进行分析,并将结果反馈给安全管理系统。非流量型安全能力只需要IP可达,安全原子型能力只需要与被保护的目标网络IP可达,时延要求低于流量型。根据以上安全能力的分类,安全能力的部署位置有两种选择,即通过集中部署和就近源头部署来实现安全防护??。集中部署,构建统一的安全能力池,共建共享安全能力资源,集约化建设和运营。近源部署是在防护目标的近源侧本地部署部分安全能力,下沉到IDC机房,作为安全能力池的延伸,通过安全管理平台统一管理,通过安全防护近源交通牵引。如图1所示,由于用户接入的时延敏感性,数据中心应选择近源侧部署方式。根据数据中心的规模,可以分为三种部署方式:一种是将安全能力下沉到IDC机房;二是按城域网集中部署;三是以省为单位集中部署。三种部署方式对比如表1所示。图1数据中心安全能力池部署方式表1IDC安全能力池三种部署方式对比串口安全能力组网如图2所示。图2传统的串口安全能力架构在该组网架构中存在一个缺点,即串口安全架构的安全能力池扩展性差,单个设备故障影响整体安全能力。所有的流量都流经所有的安全设备,并且这些安全设备是紧耦合的。针对传统安全架构面临的挑战,F5采用强大的全栈安全服务引擎推出SSLO——SSL可视化智能编排解决方案,可实现安全能力资源池动态扩展、流量细粒度编排、并以设备故障快速隔离、安全设备灰度发布、安全业务服务为调度核心。借鉴F5SSLO安全架构编排理念,采用基于园区的聚合并行安全架构部署方式,即可完成数据中心的安全能力部署。三种安全架构部署方式对比如表2所示。表2安全能力池架构部署方式对比大数据园区安全建设方案随着国家综合大数据中心的提出和“东数据、西部计算”项目,运营商正在八大枢纽节点陆续建设数据中心。以运营商在河北周边建设数据中心为例。一期建设3栋数据中心大楼,使用6000个机架。考虑到建设初期IDC流量较小,按照单机柜流量150Mbit/s、DCSW出口带宽利用率65%进行扩容,经计算DCSW出口带宽可达1400G。基于上述计算模型,进行数据中心安全能力建设。运营商大数据园区安全能力建设包括安全配套设施建设和国家监管IDC/ISP体系建设。●大数据园区安全配套建设方案安全能力分别满足流量类和非流量类要求,流量类安全能力下调至IDC园区。园区安全能力建设时,其中一栋IDC机房承担安全能力池建设,通过IP可达性,将其他机房的安全能力拉入安全能力池进行部署。根据LevelSecurity2.0的要求和IDC园区自身的路由安全需求,安全能力池部署了防火墙、IPS、DNS反分析、Web反恐、APT、WAF、漏洞扫描、基线扫描、双反等。按需提升测试服务器和黑洞。路由下发等10个安全原子能力。非流量型云安全自助服务,借助统一的安全能力部署方式,利用原有城域网的安全能力进行建设。在部署架构选择上,参考F5SSLO安全架构编排理念,将具有安全能力的设备集中部署在园区汇聚交换机侧,每台设备双上行至汇聚交换机,不仅保证了链路安全性的同时,也保证了安全资源池能够动态扩展,快速隔离设备故障,减少业务延迟,高效支持业务发展。大型IDC安全能力池部署如图3所示。图3大型IDC安全能力池部署●IDC/ISP系统优化方案根据IDC/ISP系统建设要求,100%覆盖DCSW出口带宽。必需的。根据IDC/ISP系统EU和CU存储计算模型,整体新增存储需求达到8022TB。EU采用分散部署的方式,分别部署在各个机房内。CU集中部署,放置在其中一栋IDC大楼内。在CU系统的建设中,存储容量建设每年都随着网络带宽的扩大而快速增加。目前常用的存储方式是分布式存储,存储容量为120TB(2U)。ID冷库服务器,常见的单机容量为288T(4U)。两种构建方式对比如表3所示。表3两种CU构建方式对比冷存储服务器与分布式存储服务器综合对比,冷存储服务器投资少,占用机架少,因此选择冷存储服务器作为CU系统建设可以降低成本,提高效率。该方案应用于大数据园区运营商的安全能力建设。经测试,能够满足数据中心的防护要求,对数据中心的安全能力建设具有一定的参考价值。
