虛擬化數據中心網絡安全探析

李躍

【摘 要】虛擬化數據中心給網絡安全帶來了便利也帶了一些挑戰，在安全方面不僅面對傳統網絡已有的安全威脅，還面對自身引入的安全問題，尤其是虛擬機的遷移，計算集群主機的加入與離開等都是傳統數據中心所沒有的。為解決這些問題虛擬化數據中心的網絡建設需要引入新思路和新技術，如VLAN訪問控制，安全策略上移，網絡安全策略跟隨虛擬機動態遷移等。

【關鍵詞】數據中心，虛擬化，VLAN，VSwitch，VPort

【中圖分類號】C37【文獻標識碼】A【文章編號】1672-5158（2013）07-0089-02

1 引言

數據中心虛擬化是指采用虛擬化技術構建基礎設施池，主要包括計算、存儲以及網絡三種資源。虛擬化后的數據中心不再像傳統數據中心采用單臺設備或使用某條鏈路，整個數據中心被看做成為資源池，所有數據中心的計算、存儲和網絡等基礎設施作為資源可以按照需求分配不同的資源集中調配。

數據中心虛擬化從硬件資源角度看，包含多設備合一與一設備分多的模式，這兩種方式都提供了資源按需分配的手段和技術。而數據中心是由計算、存儲和網絡三種資源深度融合而成的，因此要合理安全的分配資源是應該急需解決的問題，必須制定合適的網絡安全策略與之匹配。多設備合一的技術出現較早，主要包括集群計算等技術，以提升計算性能為主；而一設備分多主要是近幾年出現在一臺物理X86系統上的多操作系統同時并存的技術，以縮短業務部署時間，提高資源的使用效率為主要目的。

2 虛擬化數據中心面臨的安全問題

傳統數據中心網絡安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統數據中心網絡安全都只關注業務流量的訪問控制，將流量安全控制作為唯一的規劃考慮因素。而虛擬化數據中心的網絡安全模型則需要由二維平面轉變為三維空間，即增加網絡安全策略（如圖1所示），網絡安全策略能夠滿足主機順暢的加入、離開集群，或者是動態遷移到其它物理服務器，并且實現海量用戶、多業務的隔離。圖1 虛擬化數據中心安全架構圖

虛擬化數據中心對網絡安全提出三點需求：

* 在保證不同用戶或不同業務之間流量訪問控制，還要支持多業務能力；

* 網絡安全策略可支撐計算集群中成員靈活的加入、離開或者遷移；

* 網絡安全策略可跟隨虛擬機自動遷移。

在上述三個需求中，第一個需求是對現有網絡安全策略的增強。后兩個需求則需要一些新的規劃準則或技術來實現，這給當前網絡安全策略帶來了挑戰。

3 虛擬化數據中心網絡規劃

3.1 VLAN隔離及安全控制

VLAN（Virtual Local Area Network，虛擬局域網）是一種二層隔離技術，其原理是在交換機上劃分多個VLAN，在同一個VLAN內的用戶是相互可訪問的，但一個VLAN的數據包在二層交換機上不會發送到另一個VLAN，從而實現網絡的邏輯隔離，確保數據的安全控制。

虛擬化數據中心作為集中資源對外服務，面對的是不斷增加的用戶，不斷增加的信息網絡應用，承載的服務是海量的。數據中心管理人員不但要考慮物理設備的安全、虛擬機的安全和虛擬機或者物理機之間的安全，還需要考慮在云平臺中大量用戶、不同業務之間的安全識別與隔離。因此需要為虛擬化數據中心的每一個應用或虛擬服務器提供一個唯一的標識。目前看開，根據企業應用的安全級別合理劃分VLAN，針對不同的安全級別劃分物理機和虛擬機VLAN，同時保證物理機的VLAN與虛擬機隔離，實現應用與設備管理的隔離操作維護。

3.2 隔離手段與網關選擇

虛擬化數據中心關注的重點是實現整體資源的靈活調配，因此在考慮網絡安全控制時必須考慮網絡安全能支撐計算資源調配的靈活性，只有將二者結合才能實現虛擬化數據中心網絡安全的最佳配置。考慮虛擬化數據中心的安全部署時，建議按照先關注靈活性、再關注安全控制的思路進行。無論是集群計算還是虛擬機遷移都涉及到主機調配，當主機資源在同一個二層網絡內被調配時，多數應用才能保持連續性，因此為滿足計算資源的靈活調配，應該構建二層網絡，否則一旦跨網段將導致應用中斷或長時間的業務影響。可見，網絡安全控制不能阻斷二層網絡內主機的靈活調配。

基于上述思想，網絡安全控制點盡量上移，并且服務器網關盡量不設在防火墻上。因為防火墻屬于強控制設施，網關一旦在防火墻上靈活性將大大的受到限制。

如圖2 所示，以數據中心主流的服務器連接模式為例，網絡安全策略可按如下規劃：圖2 數據中心服務器網絡拓撲示意圖

將二層網絡向上擴大，創造一個適合主機調配的二層網絡環境。

圖2左圖方案中為傳統的虛擬化數據中心網絡拓撲圖，主機網關地址落在匯聚交換機上。承載網絡管理和應用業務的主機劃分為同一個VLAN（即VLAN1）內。針對VLAN部署安全策略，忽略交換機端口差異性， 服務器之間互訪不受限制。該方案極大的滿足了虛擬化數據中心主機調配的靈活性，但完全忽視了網絡安全控制，不利于服務器之間安全訪問控制策略的實施。

圖2右圖為得到普遍應用的虛擬化數據中心網絡安全方案。承載業務的主機劃分為三個VLAN內，相同保護等級的主機屬于相同VLAN，形成一個獨立安全域，VLAN內的主機可在對應的二層網絡內靈活調配。

3.3 三層交換機控制

三層交換機仍然是L2與L3的分界點，面向服務器一側工作在三層模式，面向服務器之間網絡一側工作在二層模式。服務器按照相應的安全級別劃分不同的VLAN，三層交換機作為服務器的網關，服務器二層分區之間互訪經由三層交換機ACL做訪問控制；防火墻作為邊界安全控制設備。同一安全級別的WEB/APP/DB通過交換機二層轉發訪問，并以ACL進行訪問控制；不同安全級別服務器之間的訪問，跨三層交換機設置ACL訪問。滿足不同安全級別服務器之間訪問控制，同時適合虛擬化環境下虛擬機遷移的需求，由于不同安全級別服務器之間的隔離采用交換機ACL實現，因此適合安全隔離要求較嚴，主機調配靈活性要求稍高的環境。

3.4 虛擬機動態遷移

虛擬化數據中新帶來的最大挑戰就是虛擬機遷移，虛擬機的遷移需要控制在相同安全級別，針對同一安全級別的物理服務器允許遷移，不同安全級別的物理服務器之間禁止遷移虛擬機。同時在應用虛擬交換機上應滿足虛擬機相關特性，針對虛擬機的網絡配置信息及安全策略在虛擬交換機上也應該同時遷移。在創建虛擬機或虛擬機遷移時，虛擬機主機需要能夠正常運行，除了在服務器上的資源合理調度，其網絡連接的合理調度也是必須的。

圖3 虛擬機遷移網絡示意圖目前正在形成標準的VDP方案對網絡安全配置自動遷移提供了良好的支撐能力。鄰接交換機使用VDP協議發現虛擬機實例，并向網管系統獲取對應的網絡安全配置Profile并部署到相應的vPort 接口上。同時，虛擬機遷移前的接入位置物理交換機也會通過VDP 解關聯通告，去部署相應的profile 對應的本地配置。加入VDP后，完全不依賴網管系統對虛擬機接入物理網絡的定位能力，提高網絡配置遷移的準確性和實時性。

4 結束語

虛擬化數據中心是當前與未來的發展方向，而網絡安全作為基礎的承載保障平臺面臨一些新的挑戰，一方面我們對現有技術進行優化改進以適應這種挑戰，另一方面新技術與方案也在不斷的出現來應對挑戰。只有這樣才能多快好省的構造虛擬化數據中心的網絡安全。