云数据中心应采取以下安全策略，以应对这些安全挑战：

  1.重构网络安全架构，实现弹性安全防护。

  传统盒子思想的安全产品架构不能满足云数据中心的安全运行需求，必须重构安全架构。安全定义软件(Software Defined Security,SDS)是网络安全架构重构的可行方向。它解耦了安全设备的功能、访问模式和部署模式，底部抽象为安全资源池中的资源。顶层通过软件编程统一安排和管理，实现业务和应用驱动，以适应复杂网络的安全保护。

  对于云数据中心，可以借鉴软件定义理念，建立集中安全控制管理架构，从底层异构硬件中抽象安全能力，成为软件定义的资源，使原始独立、难以交换的控制组件形成统一的控制平面，即利用通用芯片上的虚拟化技术，实现标准的安全处理过程，从硬件设备中解耦安全策略管理，并通过顶层统一的软件编程实现业务和应用驱动，实现基于战略和自动化的集中管理和控制。由于安全控制面与数据面的分离，安全资源可以根据承载业务的不同安全需求在控制面上按需配备，安全资源的动态协同保护和智能精细控制可以借助全球视野灵活调整策略。同时借助SDN网络控制器以业务链的形式调度流量，用逻辑拓扑代替物理拓扑。流量可以通过服务功能灵活部署，实现安全资源的按需访问，适应云计算中心动态按需调整的网络环境。

  2.实施微隔离，实现云数据中心东西流量的安全控制。

  网络隔离是基本的保护手段。传统数据中心的网络隔离主要是基于设置安全分段、创建子网络和虚拟LAN,通过手动配置和维护ACL?或防火墙规则隔离安全区域。该模型需要将安全策略锁定在工作负荷的物理位置，通常基于IP子网与应用之间的映射，但仅仅基于子网的战略定义是不够的，往往需要面对IP对地址进行更精细的战略定义，战略爆炸性增长。在云数据中心的动态网络环境下，隔离策略的配置、调整和过时策略的回收将呈指数级增长，安全运维人员将不堪重负

  为了解决这一问题，云数据中心应建立基于软件定义安全的分布式防火墙资源池和集中安全管理架构，集中实施基于安全组的灵活安全战略控制。通过与SDN控制器的协同,安全运维人员可灵活实现虚拟机间流量的流转控制,即使物理IP地址变化也能保证其安全策略随工作负荷自动移动。在这种微分段模式下，云数据中心可以真正实现零信任的网络安全控制SDN网络流量的可视性，实施最小访问权限，并根据安全情况随时调整访问控制策略，以控制数据中心内安全风险的横向扩展。

  3.提高控制面安全性，应对SDN/NFV技术引进的安全风险。

  通过数据平面和控制平面解耦，SDN引入新的攻击面和安全风险，SDN控制器比传统网络管理系统面临更大的安全风险。SDN在实施传统安全防护手段，适当提高安全防护水平的基础上，重点提高安全防护水平SDN控制器本身的安全机制主要包括对流规则的合法性和一致性检测、应用程序的权限控制、阻力DDoS攻击等。NFV安全防护策略及SDN类似地，应采用严格的认证授权、安全隔离和战略一致性安全检测机制，并重点保证VNF可信度，包括VNF生命周期安全管理，VNF安全启动检查等。

  一般来说，云数据中心的安全防护应该结合起来SDN/NFV等新技术的发展需求,健全安全体系,加强虚拟化安全、控制面增强安全机制等关键技术的实用化和落地部署。同时，充分借鉴软件定义安全理念，结合技术成熟度，对相关安全系统进行云改造，提高安全系统资源利用效率和整体安全保护协调能力，探索集中安全控制系统、云计算管理平台SDN协调控制器，实现按需安全防护和智能精细控制。 http:// ** .k ?