保障云數據中心網絡安全的關鍵

中國電信股份有限公司北京研究院 | 張鑒

云計算為電信運營商帶來了良好機遇，為實現精細化運營、推進轉型深化提供了利器。而安全性是客戶選擇云計算時的首要考慮因素之一，也是在建設云計算平臺時的關鍵問題。

挑戰一：網絡結構演進

云計算的特點是實現計算、存儲等IT資源靈活調度，讓資源得到最充分利用，而實現這一需求的基礎是以數據中心的虛擬機作為主要的計算資源為客戶提供服務。較傳統網絡，云計算網絡的流量模型發生了兩個變化：一是從外部到內部的縱向流量加大；二是云業務內部虛擬機之間的橫向流量加大。為保證未來業務開展，整個云計算數據中心必須具有高吞吐能力和處理能力，在數據轉發和控制的各個節點上不能存在阻塞，同時具備突發流量的承受能力。

挑戰二：虛擬化環境的安全要求

對于遷移到云計算環境中的系統而言，網絡層安全防護最明顯的變化，是傳統的以物理服務器為單位劃分安全域的訪問控制方法將不再適用，對于虛擬機而言，只提供虛擬機鏡像的邏輯隔離和域名的邏輯隔離。如何實現虛擬安全域的隔離和訪問控制將是設計網絡層安全防護體系的核心問題。

因此對于云計算網絡層面的安全解決方案要求一個高度可擴展的網絡安全防護架構，能夠實現跨越物理和虛擬環境的保護，對VM之間的流量進行實時查看和威脅檢測，并且不會對服務器造成額外的負載。同時，它要求支持更廣泛的網絡訪問，可以通過用戶、組和應用程序進行策略設定，而不是僅僅通過靜態屬性（IP地址、MAC地址）來管理策略。

適用于云計算環境的網絡架構

對于云計算數據中心網絡架構，目前國際的云計算提供商主要有兩種架構方案。

一種網絡架構是以Amazon AWS為代表的全虛擬化架構，完全取消物理服務器的概念，系統僅運行在虛擬機上。AWS的虛擬化系統是以開源XEN系統為基礎，Amazon進行了深入的定制化開發和整合。

另一種網絡架構就是所謂的Cloud Center架構，以Gogrid為代表。這種架構在云中采用標準的技術和協議建立標準的數據中心服務，與傳統的數據中心非常相似，只是在物理服務器上增加了虛擬機，另外在多租戶模式等方面有一些差別，優點是可以將傳統的技術和基礎設施更平滑地轉移到云中。

圖 云計算平臺網絡安全防護部署示意圖

圖為基于Cloud Center架構的云數據中心網絡安全防護體系的部署示意圖。建議在云數據中心邊界部署專業的抗DDOS攻擊設備，防火墻建議采用旁掛式部署在核心交換機之上，啟用雙機模式。防火墻設備和抗DDOS攻擊設備在選型時要充分考慮云數據中心的業務類型、業務容量、業務擴容性預期等，從而對設備架構、功能、性能指標、可靠性、擴展性等進行嚴格的遴選和測試。建議將云平臺中的每個業務系統單獨劃分為一個安全域，啟用硬件防火墻上的虛擬防火墻功能，通過VLAN ID將不同安全域綁定到不同的虛擬防火墻，這樣每個業務系統可以有獨立安全邊界和獨立的管理員，通過虛擬防火墻可以設置獨立的安全訪問控制策略。對于虛擬防火墻和虛擬主機安全產品的選擇，要重點考慮啟用安全特性之后的性能損耗和產品的集中配置管理能力。

對于安全設備選擇應著重考慮以下兩個方面：

● 安全設備接入數據中心，應具備萬兆級接入、萬兆級性能處理為基礎，并且要具備根據業務需求靈活擴展的能力；

● 隨著服務器的虛擬化及多租戶業務部署，云計算環境下的網絡流量無序突發沖擊會越來越嚴重，為保證云計算服務的服務質量，安全設備必須具備突發流量時的處理能力，尤其一些對延遲要求嚴格的業務。

虛擬化環境的網絡防護

在云計算數據中心中，由于虛擬化技術打破了物理邊界，使得傳統的基于物理服務器和物理邊界的網絡安全防護體系難以有效的應用在虛擬主機的安全隔離和安全監控上。對于虛擬化環境網絡防護需要重點考慮如下兩方面。

虛擬機安全隔離

傳統的基于物理邊界建立安全域的方法只適用于物理主機，對于虛擬主機如何實現有效的安全隔離，是安全防護需要重點考慮的問題。

虛擬機安全監控

同一物理主機中的虛擬機之間的數據交互是通過vSwitch實現的，這部分流量不會出現在物理交換機上，因此傳統的安全設備無法監控虛擬機之間的數據流量，也無法察覺虛擬機之間的攻擊行為。

對于解決虛擬主機的安全隔離和安全監控問題，目前業內主要有兩種技術方案。

1) 將虛擬主機網絡管理的范圍從服務器內部轉移到網絡設備

將虛擬機內部的不同VM之間網絡流量全部交由與服務器相連的物理交換機進行處理，這將使得安全部署變得同傳統邊界防護一樣簡單。

這種思路目前有兩種解決方案，分別是基于VN-Tag（虛擬網絡標簽）的802.1Qbh和基于VEPA（虛擬以太網端口聚合）的802.1Qbg。目前這兩個標準還處于草案階段，尚未正式發布。

這種解決思路的最大優點是，將復雜的控制功能重新交給技術成熟的網絡設備，可以繼續沿用傳統的網絡安全控制機制，但目前相關產品的技術成熟度和商品化程度不夠。

2) 在虛擬化層實施安全隔離和安全監控

由于虛擬機之間的通信在虛擬化層可見，因此虛擬化軟件公司可以將虛擬化層接口開放給合作公司，由第三方開發虛擬化安全防護軟件。如VMware在虛擬化層提供了vShield安全套件，可提供虛擬安全邊界、防火墻、流量監控、防病毒等安全功能。

此方案不僅解決了虛擬主機的安全隔離和安全監控問題，也提供了客戶虛擬機的安全保護能力，同時實現了安全策略配置的自動遷移，應該說提供了虛擬主機安全防護體系的一攬子解決方案。但此方案也存在一定的缺點，一方面，安全套件在虛擬化層實現，沒有備份，存在單點故障；另一方面，安全套件以軟件形式實現，處理能力相對有限，而且會影響虛擬化層的性能。

綜上，基于虛擬化層的安全套件目前有較為成熟的商業產品，并且提供了針對虛擬主機安全防護體系的一攬子解決方案，因此是目前較為適合的選擇。但由于虛擬化安全套件有單點故障和性能影響等方面的缺陷，因此應與傳統的安全設備和技術手段相結合，建立縱深的安全防護體系。