河北慧日信息技術有限公司

近幾年，隨著新興ICT業務的發展，網絡安全越來越受到人們關注。網絡安全的相關法律法規相繼出臺，讓安全合規成為企業數字化轉型的剛性要求。根據《中華人民共和國網絡安全法》，網絡安全應做到“三同步”，即“同步規劃、同步建設、同步運營”，將網絡安全防護融入到規劃、可研、設計、建設、驗收、備案變更、維護評估、整改加固、退網的全過程，實現網絡安全防護工作規范化、流程化、常態化。

企業數字化轉型以及5G、物聯網、工業互聯網、移動支付等新業態帶動了數據中心的發展，在國家一體化大數據中心及“東數西算”節點布局的推動下，數據資源的安全越來越重要。因此，數據中心的安全需要從場景出發，與5G、云、網、算力等要素充分融合，提供綜合化、創新性解決方案。同時，“新基建”上云擴大了數據中心的安全邊界，應根據用戶需求提出整體解決方案，主動防御。

本文在研究數據中心等級保護2.0（簡稱等保2.0）建設及IDC/ISP系統對IDC出口帶寬全覆蓋的基礎上，重點描述了數據中心安全部署位置、部署架構選擇以及IDC/ISP系統存儲設備的優化，將研究的成果應用到了大型數據中心安全能力的建設，經過測試，該方案能有效提升數據中心安全能力。

為適應云計算、大數據、物聯網及工業控制等新技術的安全需求，國家適時出臺了等保2.0的建設體系。等保2.0的要求包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境及安全管理中心5個方面。物理安全一般在機房建設初期進行了考慮，安全相關制度需在數據中心投入使用時制定，相關安全配套建設需要與網絡建設做到“三同步”，根據安全通信網絡、安全區域邊界以及安全計算環境的需求配置安全設備。

目前IDC/ISP系統均已實現100%覆蓋IDC，具備數據安全功能，可對數據泄露、跨境流動、網絡攻擊、惡意程序、網絡異常等行為進行監測溯源和處理。

現有IDC/ISP系統隨著鏈路容量的擴大，EU系統存在資源利用率不高、對云業務安全監測能力不足等問題。CU系統因逐年擴容建設成本較高，需考慮通過存算分離技術來實現資源按需擴展，提高資源利用率，實現降本增效。

大型IDC設置有專門的IDC出口路由器，在網絡邊界做匯總回程路由的時候有些網段不在內網中，但是又包含在匯總后的網段中，這些路由通過缺省路由進行轉發，能根據默認路由又回到原來的路由器，這就形成了環路，影響路由器的處理效率。因此，面向IDC出口的黑洞路由傳遞是在大型數據中心建設中需要解決的問題之一。

數據中心安全能力建設既要對IDC和互聯網專線用戶等提供安全防護能力，也要對內外運營商自有系統和網絡提供安全防護能力。

從安全原子能力的實現方式來看，可以將安全能力分為流量型和非流量型安全原子能力，以實現安全防護。流量型一般包括網關類安全能力及鏡像類安全能力，網關類通過VPN/PBR/VxLAN/SRv6等技術，將流量牽引至安全能力池內，流量經過處理后再回注被防護對象，此類安全能力與業務流量相關，時延要求較低。鏡像類將訪問流量鏡像至安全資源池內進行分析，并將結果反饋至安全管理系統。

非流量型安全能力要求IP可達即可，安全原子能力只需與被防護目標網絡IP可達，對時延要求比流量型的要求更低。

根據以上安全能力的分類，安全能力的部署位置有兩種選擇，即通過集中和近源部署實現安全防護。集中部署可以構建統一的安全能力池，安全能力資源共建共享，集約化建設運營。近源部署則是將部分安全能力在防護目標的近源側進行本地化部署，下沉至IDC機房，作為安全能力池的延伸，經由安全管理平臺統一管理，通過近源流量牽引實現安全防護。

如圖1所示，數據中心因用戶訪問的時延敏感性，宜選用近源側部署方式，根據數據中心規模的大小，可分為3種部署方式：一是安全能力下沉至IDC機房；二是按城域網進行集約部署；三是以省為單位集中部署。3種部署方式對比如表1所示。

圖1 數據中心安全能力池部署方式

表1  IDC安全能力池三種部署方式對比

在安全能力組網架構選擇上，傳統的安全設備以串式為主，此種方案能較好地對數據流進行安全能力處理，組網簡單，串式安全能力組網如圖2所示。

圖2 傳統串式安全能力架構

此組網架構存在一個弊端，即串式安全架構安全能力池可擴展性差，單臺設備故障影響整體的安全能力，所有流量流經所有安全設備，安全設備間緊耦合。針對傳統安全架構遇到的挑戰，F5借助強大的全棧安全服務引擎，推出了SSLO，即SSL可視化與智能編排解決方案，可以做到安全能力資源池動態擴展、精分流量編排、設備故障快速隔離、安全設備灰度發布、以安全業務服務為調度核心。借鑒F5 SSLO安全架構編排理念，采用基于園區匯聚并行安全架構部署方式，可以完成數據中心的安全能力部署。3種安全架構部署方式對比如表2所示。

隨著國家一體化大數據中心提出及“東數西算”工程的啟動，運營商紛紛在八大樞紐節點進行數據中心的建設，以某運營商在河北周邊數據中心建設為例，一期建設3棟數據中心大樓，啟用6000機架，考慮到建設初期IDC流量小，按單機架流量150Mbit/s、DCSW出口帶寬利用率65%進行擴容，通過計算可得DCSW出口帶寬達到1400G。在以上測算模型的基礎上進行數據中心安全能力的建設，某運營商大數據園區安全能力建設包括安全配套建設及國家監管IDC/ISP系統的建設。

安全能力分別滿足流量型及非流量型的需求，流量型安全能力下沉至IDC園區，在園區內安全能力建設時，采用由其中一棟IDC機樓承接安全能力池的建設，其它機樓安全能力通過IP可達方式牽引至安全能力池進行部署。根據等保2.0的要求以及IDC園區自身路由安全的需求，安全能力池按需部署防火墻、IPS、DNS反解析、Web防掛馬、APT、WAF、漏洞掃描、基線掃描、雙提升測試服務器以及黑洞路由傳遞等10項安全原子能力。非流量型云安全自服務借助統一的安全能力部署方式，利用原有城域網的安全能力進行建設。

在部署架構的選擇上，借鑒F5 SSLO安全架構編排理念，安全能力設備集中部署在園區匯聚交換機側，每臺設備均雙上行至匯聚交換機，既保證了鏈路安全，又做到了安全資源池可動態擴展、設備故障快速隔離、降低業務時延、高效支撐業務發展。大型IDC安全能力池部署如圖3所示。

根據IDC/ISP系統建設要求，需對DCSW出口帶寬進行100%覆蓋。依據IDC/ISP系統EU及CU存儲的計算模型，總體存儲新增需求達到8022TB。EU采用分散部署的方式，分別在每棟機樓部署。CU采用集中部署方式，放置于其中一棟IDC機樓。在CU系統建設中，存儲容量建設隨著網絡帶寬的擴容，每年的擴容量增長較快，目前常用的存儲方式為分布式存儲，存儲容量為120TB(2U)。針對ID冷存儲型服務器常見的單臺設備容量為288T（4U），兩種建設方式對比如表3所示。

綜合對比冷存儲型服務器及分布式存儲服務器，冷存儲服務器投資小、占用機架少，因此選用冷存儲服務器進行CU系統建設，可以實現降本增效。該方案應用于某運營商在大數據園區安全能力的建設，經測試，可達到數據中心的防護要求，對數據中心安全能力的建設有一定的參考價值。