近幾年，隨著新興ICT業(yè)務的發(fā)展，網絡安全越來越受到人們關注。網絡安全的相關法律法規(guī)相繼出臺，讓安全合規(guī)成為企業(yè)數(shù)字化轉型的剛性要求。根據(jù)《中華人民共和國網絡安全法》，網絡安全應做到“三同步”，即“同步規(guī)劃、同步建設、同步運營”，將網絡安全防護融入到規(guī)劃、可研、設計、建設、驗收、備案變更、維護評估、整改加固、退網的全過程，實現(xiàn)網絡安全防護工作規(guī)范化、流程化、常態(tài)化。

企業(yè)數(shù)字化轉型以及5G、物聯(lián)網、工業(yè)互聯(lián)網、移動支付等新業(yè)態(tài)帶動了數(shù)據(jù)中心的發(fā)展，在國家一體化大數(shù)據(jù)中心及“東數(shù)西算”節(jié)點布局的推動下，數(shù)據(jù)資源的安全越來越重要。因此，數(shù)據(jù)中心的安全需要從場景出發(fā)，與5G、云、網、算力等要素充分融合，提供綜合化、創(chuàng)新性解決方案。同時，“新基建”上云擴大了數(shù)據(jù)中心的安全邊界，應根據(jù)用戶需求提出整體解決方案，主動防御。
  數(shù)據(jù)中心安全能力需求
等級保護2.0對數(shù)據(jù)中心安全能力提出要求，為適應云計算、大數(shù)據(jù)、物聯(lián)網及工業(yè)控制等新技術的安全需求，國家適時出臺了等保2.0的建設體系。等保2.0的要求包括安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心5個方面。物理安全一般在機房建設初期進行了考慮，安全相關制度需在數(shù)據(jù)中心投入使用時制定，相關安全配套建設需要與網絡建設做到“三同步”，根據(jù)安全通信網絡、安全區(qū)域邊界以及安全計算環(huán)境的需求配置安全設備。

IDC/ISP互聯(lián)網信安系統(tǒng)要求
目前IDC/ISP系統(tǒng)均已實現(xiàn)100%覆蓋IDC，具備數(shù)據(jù)安全功能，可對數(shù)據(jù)泄露、跨境流動、網絡攻擊、惡意程序、網絡異常等行為進行監(jiān)測溯源和處理。現(xiàn)有IDC/ISP系統(tǒng)隨著鏈路容量的擴大，EU系統(tǒng)存在資源利用率不高、對云業(yè)務安全監(jiān)測能力不足等問題。CU系統(tǒng)因逐年擴容建設成本較高，需考慮通過存算分離技術來實現(xiàn)資源按需擴展，提高資源利用率，實現(xiàn)降本增效。

黑洞路由傳遞需求
大型IDC設置有專門的IDC出口路由器，在網絡邊界做匯總回程路由的時候有些網段不在內網中，但是又包含在匯總后的網段中，這些路由通過缺省路由進行轉發(fā)，能根據(jù)默認路由又回到原來的路由器，這就形成了環(huán)路，影響路由器的處理效率。因此，面向IDC出口的黑洞路由傳遞是在大型數(shù)據(jù)中心建設中需要解決的問題之一。

數(shù)據(jù)中心安全建設方案分析
數(shù)據(jù)中心安全能力建設既要對IDC和互聯(lián)網專線用戶等提供安全防護能力，也要對內外運營商自有系統(tǒng)和網絡提供安全防護能力。

安全能力池部署位置選擇
從安全原子能力的實現(xiàn)方式來看，可以將安全能力分為流量型和非流量型安全原子能力，以實現(xiàn)安全防護。流量型一般包括網關類安全能力及鏡像類安全能力，網關類通過VPN/PBR/VxLAN/SRv6等技術，將流量牽引至安全能力池內，流量經過處理后再回注被防護對象，此類安全能力與業(yè)務流量相關，時延要求較低。鏡像類將訪問流量鏡像至安全資源池內進行分析，并將結果反饋至安全管理系統(tǒng)。非流量型安全能力要求IP可達即可，安全原子能力只需與被防護目標網絡IP可達，對時延要求比流量型的要求更低。

根據(jù)以上安全能力的分類，安全能力的部署位置有兩種選擇，即通過集中和近源部署實現(xiàn)安全防護。集中部署可以構建統(tǒng)一的安全能力池，安全能力資源共建共享，集約化建設運營。近源部署則是將部分安全能力在防護目標的近源側進行本地化部署，下沉至IDC機房，作為安全能力池的延伸，經由安全管理平臺統(tǒng)一管理，通過近源流量牽引實現(xiàn)安全防護。

田鑫，專業(yè)的企業(yè)組網服務商，致力于為企業(yè)提供企業(yè)組網（SD-WAN、MPLS、云互聯(lián)），業(yè)務云化、數(shù)據(jù)中心、網絡安全、行業(yè)IT解決方案等相關服務。


更多相關內容推薦：
十年突破：數(shù)據(jù)安全步入法治化、系統(tǒng)化軌道