圖1 數(shù)據(jù)中心分區(qū)圖
1.2 分層部署
在分區(qū)基礎(chǔ)上��,按照全面的安全防護部署要求����,在每個區(qū)域的邊界處��,根據(jù)實際情況進行相應的安全需求部署,一般的安全部署包括�,防DDoS攻擊、流量分析與控制���,異構(gòu)多重防火墻�、VPN��、入侵防御以及負載均衡等需求�。
值得一提的是,在業(yè)務(wù)的部署過程中�,由于設(shè)備的功能獨立性,往往需要進行糖葫蘆串式的部署(如圖2左所示)�����,這種部署方式往往會增加部署的復雜性�����, 同時架構(gòu)的可靠性也大大降低���,為此,一些廠商提出網(wǎng)絡(luò)安全融合方案�����,可以將獨立設(shè)備組網(wǎng)簡化為網(wǎng)絡(luò)安全的集成業(yè)務(wù),大大簡化設(shè)計和優(yōu)化管理(如圖2右所 示)��。
圖2獨立設(shè)備與集成部署對比圖
2 云計算數(shù)據(jù)中心的安全建設(shè)模型
較傳統(tǒng)數(shù)據(jù)中心����,云計算的基礎(chǔ)數(shù)據(jù)中心建設(shè)無明顯差別,同樣需要分區(qū)標準化�、模塊化部署,一般都采用旁掛核心或者匯聚交換機的部署����。考慮到云計算的特點�����,其最大需求是實現(xiàn)計算���、存儲等IT資源靈活調(diào)度�����,讓資源得到最充分利用�,而實現(xiàn)這一需求的基礎(chǔ)是以數(shù)據(jù)中心的虛擬機作為主要的計算資源為客戶提供服務(wù)。在這種模式下���,數(shù)據(jù)中心建設(shè)出現(xiàn)了新的需求��。
2.1 高性能要求
較傳統(tǒng)網(wǎng)絡(luò)�,云計算網(wǎng)絡(luò)的流量模型發(fā)生了兩個變化:一�����,從外部到內(nèi)部的縱向流量加大;二���,云業(yè)務(wù)內(nèi)部虛擬機之間的橫向流量加大�。為保證未來業(yè)務(wù)開展���,整個云計算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力,在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個節(jié)點上不能存在阻塞��,同時具備突發(fā)流量的承受能力����,具體體現(xiàn)在以下兩個方面:
參照云計算數(shù)據(jù)中心對于核心交換機設(shè)備的要求,即必須具備高密度的10G接口提供能力���,安全設(shè)備接入數(shù)據(jù)中心����,也必須以萬兆級接入、萬兆級性能處理為基礎(chǔ)���,并且要具備根據(jù)業(yè)務(wù)需求靈活擴展的能力;
隨著服務(wù)器的虛擬化及多租戶業(yè)務(wù)部署����,云計算環(huán)境下的網(wǎng)絡(luò)流量無序突發(fā)沖擊會越來越嚴重��,為保證云計算服務(wù)的服務(wù)質(zhì)量��,安全設(shè)備必須具備突發(fā)流量時的處理能力�����,尤其一些對延遲要求嚴格的業(yè)務(wù)����。
在具體的設(shè)備選擇上,數(shù)據(jù)中心的防火墻可以選擇獨立的設(shè)備形態(tài)(如H3C F5000高端40G獨立盒式防火墻)��,也可以部署多個Secblade插卡來做性能擴展。在需要部署高性能防火墻時��,可以在交換機部署多個插卡實現(xiàn)性能擴展����,并可以實現(xiàn)比多臺同等性能的獨立設(shè)備組合節(jié)能50%以上(如圖3所示)。
圖3 防火墻部署方式
2.2 虛擬化
虛擬資源池化是IT資源發(fā)展的重要趨勢����,可以極大程度提高資源利用率,降低運營成本�����。目前服務(wù)器��、存儲器的虛擬資源池化技術(shù)已經(jīng)日趨成熟��,網(wǎng)絡(luò)設(shè)備的虛擬資源池化也已經(jīng)成為趨勢���,對應的云計算數(shù)據(jù)中心的防火墻�����、負載均衡等安全控制設(shè)備,也必須支持虛擬化能力,像計算和存儲����、網(wǎng)絡(luò)一樣能按需提供服務(wù)。以防火墻為例��,防火墻的虛擬化使用一般應用三種場景����。
1、 一般性應用:不啟用虛擬防火墻
設(shè)備根據(jù)應用類型����,按照業(yè)務(wù)將防火墻劃分成多個安全域,再根據(jù)應用的隔離互訪要求��,實現(xiàn)域間安全控制(如圖4所示)��。
圖4 一般性防火墻應用
2�����、VPN組網(wǎng)環(huán)境下��,啟用虛擬防火墻��,映射到VRF實現(xiàn)轉(zhuǎn)發(fā)隔離
要實現(xiàn)對多個業(yè)務(wù)VPN的獨立安全策略部署,一種方式是采用多臺物理防火墻���,另外一種是采用虛擬防火墻技術(shù)����,將一臺物理設(shè)備基于虛擬設(shè)備資源劃分�,并實現(xiàn)關(guān)鍵特性的多實例配置(如NAT多實例),從而實現(xiàn)不同VPN下的不同轉(zhuǎn)發(fā)和控制策略(如圖5所示)���。
圖5 VPN組網(wǎng)防火墻應用
3�����、 多租戶應用環(huán)境(云計算服務(wù)提供商 )
每個虛擬設(shè)備具備獨立的管理員權(quán)限���,可以隨時監(jiān)控、調(diào)整策略的配置實現(xiàn)情況;多個虛擬設(shè)備的管理員可以同時操作�����。設(shè)備具備多個配置文件��,允許每個虛擬設(shè)備的配置可以獨立保存�����,虛擬設(shè)備日志可以獨立管理�。
圖6 多租戶防火墻應用
如圖6所示,將一臺安全設(shè)備虛擬成多臺安全設(shè)備(如防火墻)����,分配給不同業(yè)務(wù)系統(tǒng)使用,并且各業(yè)務(wù)系統(tǒng)可以自主管理各自的虛擬設(shè)備���,配置各自的安全策略�,保證業(yè)務(wù)系統(tǒng)之間的安全隔離�,此時的防火墻作為資源池方式部署在數(shù)據(jù)中心,與網(wǎng)絡(luò)�、服務(wù)器和存儲一起實現(xiàn)云計算中心端到端的虛擬化資源池(如圖7所示)。
圖7 端到端虛擬資源池化
2.3 VM之間安全防護需求
與傳統(tǒng)的安全防護不同����,虛擬機環(huán)境下,同臺物理服務(wù)器虛擬成多臺VM以后��,VM之間的流量交換基于服務(wù)器內(nèi)部的虛擬交換���,管理員對于該部分流量既不可控也不可見�����,但實際上根據(jù)需要�����,不同的VM之間需要劃分到不同的安全域�����,進行隔離和訪問控制如圖8所示�����。
圖8 不同VM之間安全需求
要解決虛擬化內(nèi)部之間的安全防護�,可通過EVB協(xié)議(如VEPA協(xié)議)將虛擬機內(nèi)部的不同VM之間網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機進行處理,如圖9所示����,這將使得安全部署變得同傳統(tǒng)邊界防護一樣簡單。
圖9 基于EVB的安全防護
需要重點提出�����,云計算中對于云計算數(shù)據(jù)中心內(nèi)服務(wù)器/虛擬機的網(wǎng)關(guān)選擇問題�����,一般有兩種方案(如圖所10示)。
圖10 兩種網(wǎng)關(guān)選擇
該方案可以實現(xiàn)租戶內(nèi)不同服務(wù)器(如Web�、APP、DB)的安全域隔離�,也可以實現(xiàn)租戶間的安全隔離����。由于防火墻為眾多流量的控制點,因此要求它具有較高的轉(zhuǎn)發(fā)性能��。
該方案只能實現(xiàn)不同租戶間的安全隔離�,無法在防火墻上實現(xiàn)租戶內(nèi)的不同服務(wù)器安全域隔離,對于同一租戶內(nèi)的不同服務(wù)器訪問控制���,只能依靠接入交換機(DC Acc)上的ACL來實現(xiàn)�����。由于網(wǎng)關(guān)在交換機上�,所以轉(zhuǎn)發(fā)性能較高�。
可見,方案一要求防火墻具備非常高的轉(zhuǎn)發(fā)性能��,方案二轉(zhuǎn)發(fā)性能高,但無法滿足安全隔離控制要求��。因此��,對于云計算數(shù)據(jù)中心服務(wù)網(wǎng)關(guān)的選擇上���,建議根據(jù)不同租戶的安全需求進行區(qū)分對待�����,分散防火墻的壓力�����,同時滿足租戶內(nèi)的安全域隔離��,具體原則如下:
1. 對于需要部署防火墻的提供更高級服務(wù)的租戶����,網(wǎng)關(guān)部署在vFW上;
2. 對于不需要防火墻防護的普通租戶��,網(wǎng)關(guān)部署在核心交換機上����。
總結(jié):云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全部署僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié)��,要保證云計算中心的安全�����,還要考慮數(shù)據(jù)加密���、備份,信息的認證授權(quán)訪問以及法律���、法規(guī)合規(guī)性要求,只有全面的進行規(guī)劃��,才能建立全面��、完善的云數(shù)據(jù)中心安全綜合防御體系���。
