近年来，随着云计算服务的大量涌现、个人计算和企业计算大量向云服务迁移，网络安全威胁也的发展趋势有了很大变化，分布式拒绝服务攻击（DDoS）、蠕虫病毒等大规模的流量型攻击成为了云计算中心建成后存在的潜在威胁。

　　云中心安全架构设计为先

　　作为当前业界最活跃的云计算安全专业组织——云安全联盟CSA发表了自己的研究成果：云计算的7大威胁，获得了广泛的引用和认可，相关分析如表。

　　由于当前云计算中心基础支撑网络建设的共同考虑到的因素特点是业务集中、数据集中、海量数据、管理复杂、高连续性要求，因此，其基础支撑网络的建设会类似于传统大型数据中心（IDC架构安全设计就是要参照传统IDC的安全保障思路，必须要在Internet的出入口）的设计思路。我们首先要考虑的云计进行安全监控和管理，同时结合云计算数据中心面向互联网的业务特点来建设外围边界安全防护措施。

　　1、安全架构设计服务

　　针对云计算平台运营的业务特点，云厂家需要协助客户从企业使命、业务运营和IT支撑的角度进行安全功能需求地分析，并且融合企业合规框架与安全行业实践，进行一体化的安全架构设计，以威胁建模、受攻击面分析的手段，实现对威胁的全面消除。

　　2、网络异常流量分析

　　通过在云计算中心出口链路部署流量检测系统（旁路部署Netflow流量采样检测模块），实现流量统计分析、路由分析、异常流量检测。它既可以作为流量监控分析产品对网络流量进行深入分析，从而全面了解各类流量的分布以及变化趋势；也可分析诸如DDoS攻击、网络滥用误用、P2P流量等异常流量。

　　3、抗拒绝服务攻击

　　云计算中心因其业务的特殊性，在可用性方面将会受到挑战，针对云计算服务的拒绝服务攻击需要云计算服务提供商认真调查、采取相应的专门保护措施。其次，云计算快速弹性的特征要求服务提供商自身必须具备非常强大的网络和服务器资源来支撑，按需自服务的特征又对业务开通和服务变更等环节提出了灵活性的要求。这两个特征结合在一起，使得云计算中心很容易成为滥用、恶意使用服务的温床。双向的分布式拒绝服务攻击（DDoS）、蠕虫病毒等大规模的流量型攻击成为了大型云平台的潜在威胁。

　　4、DNS域名防护

　　DNS系统的安全防护应该是一个系统的、全方位的解决方案。从安全事件的角度来看，应分为事前评估加固、事中实时防御、事后分析取证三个阶段。从系统防护的纵深度来看，应覆盖物理层面、系统层面、数据应用层面等多个维度。下图即为DNS安全防护体系。

　　5、网络入侵检测

　　利用入侵检测系统的攻击结果判定功能重点关注攻击成功的安全事件。针对某些特定的安全规则单独设定安全策略，针对云计算中心业务特点过滤一些低风险或者不可能成功的攻击行为，从而减少管理员关注日志告警的工作量，也使得重要攻击行为能够得到重点体现。同时，可以针对业务特点自定义某些特定的安全规则。

　　安全产品虚拟化成趋势

　　云计算中心的网络安全建设该如何解决针对同一物理计算机上的虚拟机之间的通信进行细粒度访问控制的安全管理需求呢？答案就是安全产品虚拟化。安全产品的虚拟化将势必成为一种趋势，来为云服务提供商和云租户提供灵活的、可扩展的安全防护。

　　针对云计算中心的特点，我们可提供虚拟化安全统一管理平台，提供集中管理，实现统一的管理监控、策略配置、报警响应、日志分析等多种管理功能。管理平台囊括虚拟化防火墙、虚拟化IPS/IDS、虚拟化内容过滤系统、虚拟化安全审计系统、虚拟化防病毒网关以及虚拟VPN，具有多产品的系统集中监控、策略统一配置和报表综合管理等多种功能，极大的提高了用户的安全管理工作效率。可以快速形成整套虚拟化网络安全解决方案，极大满足了大型云计算中心虚拟化环境部署要求。

　　综上，云计算中心的网络建设和发展是一个长期的任务，需要随着技术的发展和业务的更新，及时地制定设计新的安全方案，调整已有的安全策略。而计算机技术和网络技术具有的复杂性和多样性，使得网络安全越来越成为一种专门的技术和服务。本文在方案设计中针对现有云计算中心的主要安全风险考虑了网络各个部分的安全措施，同时，也建议根据云计算中心的现状进行全面的安全评估，提出更切合的安全方案和建设规划。