圖1 數(shù)據(jù)中心分區(qū)圖
1.2 分層部署
在分區(qū)基礎(chǔ)上,按照全面的安全防護(hù)部署要求���,在每個(gè)區(qū)域的邊界處,根據(jù)實(shí)際情況進(jìn)行相應(yīng)的安全需求部署,一般的安全部署包括����,防DDoS攻擊�、流量分析與控制���,異構(gòu)多重防火墻����、VPN、入侵防御以及負(fù)載均衡等需求���。
值得一提的是��,在業(yè)務(wù)的部署過(guò)程中�,由于設(shè)備的功能獨(dú)立性�,往往需要進(jìn)行糖葫蘆串式的部署(如圖2左所示),這種部署方式往往會(huì)增加部署的復(fù)雜性�����, 同時(shí)架構(gòu)的可靠性也大大降低����,為此�,一些廠(chǎng)商提出網(wǎng)絡(luò)安全融合方案,可以將獨(dú)立設(shè)備組網(wǎng)簡(jiǎn)化為網(wǎng)絡(luò)安全的集成業(yè)務(wù)�����,大大簡(jiǎn)化設(shè)計(jì)和優(yōu)化管理(如圖2右所 示)�。
圖2獨(dú)立設(shè)備與集成部署對(duì)比圖
2 云計(jì)算數(shù)據(jù)中心的安全建設(shè)模型
較傳統(tǒng)數(shù)據(jù)中心,云計(jì)算的基礎(chǔ)數(shù)據(jù)中心建設(shè)無(wú)明顯差別�����,同樣需要分區(qū)標(biāo)準(zhǔn)化、模塊化部署����,一般都采用旁?huà)旌诵幕蛘邊R聚交換機(jī)的部署??紤]到云計(jì)算的特點(diǎn),其最大需求是實(shí)現(xiàn)計(jì)算����、存儲(chǔ)等IT資源靈活調(diào)度,讓資源得到最充分利用�,而實(shí)現(xiàn)這一需求的基礎(chǔ)是以數(shù)據(jù)中心的虛擬機(jī)作為主要的計(jì)算資源為客戶(hù)提供服務(wù)。在這種模式下��,數(shù)據(jù)中心建設(shè)出現(xiàn)了新的需求�。
2.1 高性能要求
較傳統(tǒng)網(wǎng)絡(luò),云計(jì)算網(wǎng)絡(luò)的流量模型發(fā)生了兩個(gè)變化:一����,從外部到內(nèi)部的縱向流量加大;二,云業(yè)務(wù)內(nèi)部虛擬機(jī)之間的橫向流量加大�。為保證未來(lái)業(yè)務(wù)開(kāi)展,整個(gè)云計(jì)算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力,在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個(gè)節(jié)點(diǎn)上不能存在阻塞��,同時(shí)具備突發(fā)流量的承受能力����,具體體現(xiàn)在以下兩個(gè)方面:
參照云計(jì)算數(shù)據(jù)中心對(duì)于核心交換機(jī)設(shè)備的要求,即必須具備高密度的10G接口提供能力�����,安全設(shè)備接入數(shù)據(jù)中心����,也必須以萬(wàn)兆級(jí)接入、萬(wàn)兆級(jí)性能處理為基礎(chǔ)�����,并且要具備根據(jù)業(yè)務(wù)需求靈活擴(kuò)展的能力;
隨著服務(wù)器的虛擬化及多租戶(hù)業(yè)務(wù)部署����,云計(jì)算環(huán)境下的網(wǎng)絡(luò)流量無(wú)序突發(fā)沖擊會(huì)越來(lái)越嚴(yán)重�����,為保證云計(jì)算服務(wù)的服務(wù)質(zhì)量,安全設(shè)備必須具備突發(fā)流量時(shí)的處理能力���,尤其一些對(duì)延遲要求嚴(yán)格的業(yè)務(wù)�。
在具體的設(shè)備選擇上���,數(shù)據(jù)中心的防火墻可以選擇獨(dú)立的設(shè)備形態(tài)(如H3C F5000高端40G獨(dú)立盒式防火墻)�����,也可以部署多個(gè)Secblade插卡來(lái)做性能擴(kuò)展����。在需要部署高性能防火墻時(shí)���,可以在交換機(jī)部署多個(gè)插卡實(shí)現(xiàn)性能擴(kuò)展��,并可以實(shí)現(xiàn)比多臺(tái)同等性能的獨(dú)立設(shè)備組合節(jié)能50%以上(如圖3所示)����。
圖3 防火墻部署方式
2.2 虛擬化
虛擬資源池化是IT資源發(fā)展的重要趨勢(shì)��,可以極大程度提高資源利用率�,降低運(yùn)營(yíng)成本。目前服務(wù)器�、存儲(chǔ)器的虛擬資源池化技術(shù)已經(jīng)日趨成熟��,網(wǎng)絡(luò)設(shè)備的虛擬資源池化也已經(jīng)成為趨勢(shì)����,對(duì)應(yīng)的云計(jì)算數(shù)據(jù)中心的防火墻�、負(fù)載均衡等安全控制設(shè)備,也必須支持虛擬化能力�����,像計(jì)算和存儲(chǔ)、網(wǎng)絡(luò)一樣能按需提供服務(wù)。以防火墻為例��,防火墻的虛擬化使用一般應(yīng)用三種場(chǎng)景���。
1����、 一般性應(yīng)用:不啟用虛擬防火墻
設(shè)備根據(jù)應(yīng)用類(lèi)型,按照業(yè)務(wù)將防火墻劃分成多個(gè)安全域��,再根據(jù)應(yīng)用的隔離互訪(fǎng)要求���,實(shí)現(xiàn)域間安全控制(如圖4所示)���。
圖4 一般性防火墻應(yīng)用
2���、VPN組網(wǎng)環(huán)境下,啟用虛擬防火墻��,映射到VRF實(shí)現(xiàn)轉(zhuǎn)發(fā)隔離
要實(shí)現(xiàn)對(duì)多個(gè)業(yè)務(wù)VPN的獨(dú)立安全策略部署�,一種方式是采用多臺(tái)物理防火墻,另外一種是采用虛擬防火墻技術(shù)�,將一臺(tái)物理設(shè)備基于虛擬設(shè)備資源劃分�,并實(shí)現(xiàn)關(guān)鍵特性的多實(shí)例配置(如NAT多實(shí)例)���,從而實(shí)現(xiàn)不同VPN下的不同轉(zhuǎn)發(fā)和控制策略(如圖5所示)�。
圖5 VPN組網(wǎng)防火墻應(yīng)用
3�����、 多租戶(hù)應(yīng)用環(huán)境(云計(jì)算服務(wù)提供商 )
每個(gè)虛擬設(shè)備具備獨(dú)立的管理員權(quán)限��,可以隨時(shí)監(jiān)控�、調(diào)整策略的配置實(shí)現(xiàn)情況;多個(gè)虛擬設(shè)備的管理員可以同時(shí)操作。設(shè)備具備多個(gè)配置文件��,允許每個(gè)虛擬設(shè)備的配置可以獨(dú)立保存��,虛擬設(shè)備日志可以獨(dú)立管理�。
圖6 多租戶(hù)防火墻應(yīng)用
如圖6所示,將一臺(tái)安全設(shè)備虛擬成多臺(tái)安全設(shè)備(如防火墻)����,分配給不同業(yè)務(wù)系統(tǒng)使用,并且各業(yè)務(wù)系統(tǒng)可以自主管理各自的虛擬設(shè)備��,配置各自的安全策略����,保證業(yè)務(wù)系統(tǒng)之間的安全隔離,此時(shí)的防火墻作為資源池方式部署在數(shù)據(jù)中心�,與網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)一起實(shí)現(xiàn)云計(jì)算中心端到端的虛擬化資源池(如圖7所示)����。
圖7 端到端虛擬資源池化
2.3 VM之間安全防護(hù)需求
與傳統(tǒng)的安全防護(hù)不同��,虛擬機(jī)環(huán)境下����,同臺(tái)物理服務(wù)器虛擬成多臺(tái)VM以后�����,VM之間的流量交換基于服務(wù)器內(nèi)部的虛擬交換��,管理員對(duì)于該部分流量既不可控也不可見(jiàn)����,但實(shí)際上根據(jù)需要,不同的VM之間需要?jiǎng)澐值讲煌陌踩?,進(jìn)行隔離和訪(fǎng)問(wèn)控制如圖8所示。
圖8 不同VM之間安全需求
要解決虛擬化內(nèi)部之間的安全防護(hù)��,可通過(guò)EVB協(xié)議(如VEPA協(xié)議)將虛擬機(jī)內(nèi)部的不同VM之間網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機(jī)進(jìn)行處理��,如圖9所示����,這將使得安全部署變得同傳統(tǒng)邊界防護(hù)一樣簡(jiǎn)單���。
圖9 基于EVB的安全防護(hù)
需要重點(diǎn)提出,云計(jì)算中對(duì)于云計(jì)算數(shù)據(jù)中心內(nèi)服務(wù)器/虛擬機(jī)的網(wǎng)關(guān)選擇問(wèn)題����,一般有兩種方案(如圖所10示)�。
圖10 兩種網(wǎng)關(guān)選擇
該方案可以實(shí)現(xiàn)租戶(hù)內(nèi)不同服務(wù)器(如Web、APP�、DB)的安全域隔離,也可以實(shí)現(xiàn)租戶(hù)間的安全隔離�。由于防火墻為眾多流量的控制點(diǎn),因此要求它具有較高的轉(zhuǎn)發(fā)性能��。
該方案只能實(shí)現(xiàn)不同租戶(hù)間的安全隔離���,無(wú)法在防火墻上實(shí)現(xiàn)租戶(hù)內(nèi)的不同服務(wù)器安全域隔離����,對(duì)于同一租戶(hù)內(nèi)的不同服務(wù)器訪(fǎng)問(wèn)控制��,只能依靠接入交換機(jī)(DC Acc)上的ACL來(lái)實(shí)現(xiàn)�。由于網(wǎng)關(guān)在交換機(jī)上,所以轉(zhuǎn)發(fā)性能較高�。
可見(jiàn)���,方案一要求防火墻具備非常高的轉(zhuǎn)發(fā)性能,方案二轉(zhuǎn)發(fā)性能高��,但無(wú)法滿(mǎn)足安全隔離控制要求���。因此�����,對(duì)于云計(jì)算數(shù)據(jù)中心服務(wù)網(wǎng)關(guān)的選擇上��,建議根據(jù)不同租戶(hù)的安全需求進(jìn)行區(qū)分對(duì)待���,分散防火墻的壓力,同時(shí)滿(mǎn)足租戶(hù)內(nèi)的安全域隔離�,具體原則如下:
1. 對(duì)于需要部署防火墻的提供更高級(jí)服務(wù)的租戶(hù),網(wǎng)關(guān)部署在vFW上;
2. 對(duì)于不需要防火墻防護(hù)的普通租戶(hù)��,網(wǎng)關(guān)部署在核心交換機(jī)上��。
總結(jié):云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全部署僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié)��,要保證云計(jì)算中心的安全,還要考慮數(shù)據(jù)加密�����、備份�,信息的認(rèn)證授權(quán)訪(fǎng)問(wèn)以及法律、法規(guī)合規(guī)性要求��,只有全面的進(jìn)行規(guī)劃���,才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系�����。
