面向大中型企業(yè)多租戶云部署模式的安全服務設計

◆何 軍

（1.上海科技網(wǎng)絡通信有限公司 上海 200233；2.上海大數(shù)據(jù)試驗場工程技術(shù)研究中心 上海 200233）

面向大中型企業(yè)多租戶云部署模式的安全服務設計

◆何 軍1、2

（1.上海科技網(wǎng)絡通信有限公司 上海 200233；2.上海大數(shù)據(jù)試驗場工程技術(shù)研究中心 上海 200233）

IT系統(tǒng)的云化遷移是一個趨勢。租戶面對遷移計劃時，必然對云服務商提出安全要求，同時也會有原有安全設備如何有效利舊的考慮。云服務商面向企業(yè)云化的市場機遇時，一方面需要設計云平臺如何提供安全服務，另一方面也要面對多租戶的個性化安全服務需求，如何經(jīng)濟有效地去解決問題。本文從云服務商的視角分析了幾種設計思路并給出了實務上的解決方案。

云化遷移；安全服務；云平臺

0 前言

云[1]由概念轉(zhuǎn)為企業(yè)實務，應該是這三年來的相當明顯的一大趨勢。一部分云服務商搭平臺，推出公有云的云主機、塊存儲等等服務[2]，以求先有雞后有蛋。另一部份服務商則在其傳統(tǒng)系統(tǒng)集成和IT服務外包客戶的IT架構(gòu)轉(zhuǎn)型時，順應客戶需求的變化，提供混合云的解決方案，配合建設多租戶云平臺，有蛋再有雞。

企業(yè)用戶的IT架構(gòu)轉(zhuǎn)型，IT系統(tǒng)中的應用服務遷移到云上時，一個問題應運而生：用戶業(yè)務信息系統(tǒng)原有安全防護需求如何滿足？原有安全設備是否隨遷入云？原有安全設備如何有效利舊？

云服務商一方面需要設計云平臺的安全性[3]，以提供傳統(tǒng)上已配備的安全服務功能、虛擬化多租戶帶來的隔離安全和東西向流量感知與控制等新功能，另一方面也要面對多租戶的個性化安全服務需求，如何經(jīng)濟有效地去滿足的問題。

1 安全服務的設計與實現(xiàn)

根據(jù)安全功能與云平臺的耦合緊密程度,可以分為三類設計。

其一是傳統(tǒng)網(wǎng)絡設計[4]，安全功能在云外存在，把云平臺視為一個邏輯大服務器，以組網(wǎng)技術(shù)，個性化地實施用戶安全設備的串接。客戶原配套的安全設備參與到云中虛擬私有網(wǎng)的組網(wǎng)中去，繼續(xù)發(fā)揮其特定的、高于云平臺一般性安全配置的安全作用。此方案的核心是求解混合云組網(wǎng)模式。

這可細分為兩個常規(guī)的應用場景。用戶的一種應用場景是，其在云平臺上租用的云主機在用戶整個企業(yè)IT系統(tǒng)中，處于DMZ區(qū)或外網(wǎng)的位置。GRE隧道方式互聯(lián)，適合于云平臺與企業(yè)內(nèi)網(wǎng)互聯(lián)；物理路由器配策略路由方式，則適合于云平臺的互聯(lián)網(wǎng)出口也承擔企業(yè)上網(wǎng)的主通道職責。因為由云平臺軟件構(gòu)建的GRE隧道，其帶寬效率和穩(wěn)定性有不足。相較采用傳統(tǒng)路由器（路由交換機）操作系統(tǒng)提供的策略路由有優(yōu)勢。也可考慮使用SDN交換機，基于VxLAN技術(shù)來去做Overlay，基于物理交換機來按需建隧道。其優(yōu)點第一是隧道數(shù)簡單；第二是吞吐大，處理能力強，可保證東西向流量的處理。

另一種應用場景是，用戶在云平臺上租用的云主機在用戶整個企業(yè)IT系統(tǒng)中，處于內(nèi)網(wǎng)的位置，需要通過與用戶其他子網(wǎng)的互聯(lián)連通到互聯(lián)網(wǎng)出口。這樣，客戶原有安全需求，可依然通過其原有安全設施的部署來實現(xiàn)，不因為部分業(yè)務系統(tǒng)遷移到云平臺而喪失防護。

其二是以云平臺可選安全服務項形式，內(nèi)在地提供公共服務。這個思路是，如果在云平臺基礎上，再配置合適的第三方安全設施，可滿足客戶對安全增值服務的需求，即可不必再串接用戶原有安全設備。這也可細分為兩種模式。一是緊耦合的安全資源池模式。此種思路認為，在云環(huán)境中，安全同樣是應該以服務的形式提供給租戶。對數(shù)據(jù)中心而言，自動化、可運維、出錯率少是關鍵。基于此，為嚴肅業(yè)務服務的云應該建立安全資源池。用戶可通過安全業(yè)務編排，編排服務鏈。服務鏈可以通過SDN交付至客戶的邏輯網(wǎng)絡，同時，服務鏈可以隨用戶業(yè)務負載變化。數(shù)據(jù)中心可根據(jù)虛擬網(wǎng)絡功能及處理負載進行收費。緊耦合的另一優(yōu)勢是云環(huán)境下的監(jiān)控和可視化，并針對安全模型進行分析，可以展現(xiàn)至租戶、管理員等。可以為客戶提供網(wǎng)絡行為追蹤回放，安全預警等服務。對于管理員來說，運維排錯，分析預測都是在云環(huán)境中需要的。同時這一模式的難點是，緊耦合模式需要對云平臺進行深度開發(fā)和定制，并與第三方安全廠商緊密合作（接口開放）。

另一模式是松耦合的第三方安全設備接入服務[5]。相對松的耦合形式是，在云平臺出口交換機上，物理上旁路、邏輯上串接安全設備。功能上可滿足業(yè)務需求，但操作上需要人工跨多個設備或平臺界面，對于運維排障工作帶來風險，也難以實現(xiàn)彈性配置、自服務的效果。

更關鍵的現(xiàn)實性或難點在于：安全是個無底洞，第三方安全功能焉能配齊？通常易于部署配置的是防毒類產(chǎn)品（主機層級部署）和平臺層級串接防火墻、負載均衡設備。

第三種設計思路可謂是中間道路，即云平臺第三方增強型公共安全服務+單租戶安全設備混合云組網(wǎng),也就是說,常規(guī)安全服務由云平臺提供,特殊需求則特定部署串接到用戶混合云組網(wǎng)中。

圖1 云服務運營商的安全體系全視角

正如圖1所示，作為云服務運營商，提供傳統(tǒng)IDC的安全內(nèi)容（物理安全、網(wǎng)絡安全），結(jié)合云平臺的安全措施，即可構(gòu)成云服務的常規(guī)服務。對于系統(tǒng)安全、應用安全和數(shù)據(jù)安全這樣在客戶虛機內(nèi)部的安全需求，則根據(jù)第三方安全產(chǎn)品的部署特點和租戶需求的規(guī)模化特點，作適宜的服務提供安排。

2 業(yè)界云安全服務比較

從現(xiàn)行提供云服務的技術(shù)實現(xiàn)來看，業(yè)界主要的安全服務架構(gòu)可分為三類。

第一類是SDN（軟件定義網(wǎng)絡）實現(xiàn)安全。云平臺軟件定義、提供、配置、并可計量安全功能服務，其優(yōu)點是：功能內(nèi)在于云平臺，安全成為各類資源池的一類；成本有優(yōu)勢；自服務便捷。缺點則表現(xiàn)為：軟件實現(xiàn)，性能有局限；且當前可實現(xiàn)功能有局限，不是所有功能都可SDN。通常云平臺都實現(xiàn)了FW；VLAN隔離等安全功能。

第二類是SMN（軟件納管網(wǎng)絡）實現(xiàn)安全。云平臺通過與第三方安全設備（API）的互操作，實現(xiàn)深度融合，從云平臺界面中實現(xiàn)編排配置、服務計量。其優(yōu)點是：自服務便捷。缺點是需與安全設備商逐家溝通，定制開發(fā)；且云平臺如采用安全硬件資源池，投資高；而安全VE版有限。此類方案的代表，云杉可納管綠盟的漏掃（VE版）；天融信、hillstone的防火墻；九州云納管hillstone的防火墻。

第三類是由VLAN/VxLAN 對接外部安全設備。用戶安全設備通過專線或VPN連接專用安全設備，歸入云內(nèi)VLAN/VxLAN實現(xiàn)云內(nèi)流量外出前的安全處理。優(yōu)點是，用戶按需配置安全設備，個性化滿足需求；利舊原有安全設備。缺點表現(xiàn)在：沒有資源池化的復用優(yōu)勢；需要二層/三層網(wǎng)絡互聯(lián)的配置,或較為復雜。

3 B類用戶云安全服務典型案例

在YD云（某運營云服務商云品牌）中的某B類用戶，為滿足等保要求，需要掛載物理的防火墻、WAF、IPS等設備。

初始探討了方案兩種。一是網(wǎng)絡安全設備IPS/IDS/WAF掛接在核心/出口交換機上。用戶的配置公網(wǎng)IP的云主機在安全設備中可以直接進行安全檢查，但其配私網(wǎng)IP及基礎網(wǎng)絡IP的云主機則無法通過安全設備進行保護。

圖2 云平臺核心/出口交換機掛接安全設備

探討方案二是在云平臺萬兆接入交換機上，串聯(lián)網(wǎng)絡安全設備IPS/IDS/WAF。此方案下，用戶配公網(wǎng)IP的云主機流量不經(jīng)過串聯(lián)在接入交換機上的網(wǎng)絡安全設備上，而是隨云平臺原出口流向，走核心交換機出口，安全設備對公網(wǎng)流量起不到保護作用。此時，用戶配置云內(nèi)基礎網(wǎng)絡（平臺私有）IP的云主機因直連接入交換機的私網(wǎng)與云內(nèi)基礎網(wǎng)絡是互通的，此部分流量可享有安全防護。這里要求網(wǎng)絡安全設備提供DNAT，SNAT功能。

對于入流量，IP組為（Internet訪問IP，客戶公網(wǎng)IP）-（SNAT，DNAT）à（網(wǎng)絡安全設備內(nèi)網(wǎng)IP，YD云基礎網(wǎng)絡IP）。在網(wǎng)絡安全設備上記錄響應的信息，在出流量時要做逆變化。SNAT保證出流量時，流量從客戶網(wǎng)絡設備原路返回，而不是從YD云的出口去。DNAT則是入流量時直接訪問YD內(nèi)基礎網(wǎng)絡中的虛機。對于出流量，IP組（基礎網(wǎng)絡IP，客戶網(wǎng)絡設備內(nèi)網(wǎng)IP）--客戶網(wǎng)絡設備進行（SNAT，DNAT）à轉(zhuǎn)化為（網(wǎng)絡設備公網(wǎng)IP，Internet訪問IP）。私有網(wǎng)絡IP VM：私有網(wǎng)絡IP VM通過GRE與安全設備打通后才會受到安全設備的保護。

結(jié)論是，YD云的云內(nèi)網(wǎng)絡無法接入安全設備，安全方案要通過云外網(wǎng)絡安全設備來實現(xiàn)，其組網(wǎng)方案與傳統(tǒng)安全解決方案無異。

圖3 云平臺接入交換機掛接安全設備

物理專線之間的隔離目前比較折中的辦法是通過交換機的ACL規(guī)則實現(xiàn)，但這種方案會造成交換機的CPU使用率過高，網(wǎng)絡工程師不推薦使用。為了分擔CPU負載，最適宜的方案是云平臺核心/出口交換機之上跑三層的路由交換機設上終結(jié)專線，且其EIP邏輯接口上掛ACL。

4 總結(jié)和展望

企業(yè)IT架構(gòu)的云化轉(zhuǎn)型是一種趨勢。這其中安全功能實現(xiàn)是轉(zhuǎn)型中需要銜接好的一個重要功能域。對于云環(huán)境來說，SDN是一個理想的方向，但目前業(yè)界的發(fā)展尚處在探索中，尚未出現(xiàn)統(tǒng)一的標準和盡如人意的解決方案。于是，云內(nèi)云外各承擔一步分安全功能，共同滿足用戶需求是一個現(xiàn)實的路徑。

不論SDN或是硬件耦合參與，云平臺納管安全功能，實現(xiàn)自動化、彈性資源提供都是一個誘人的選擇，這也是YD云將進一步完善服務內(nèi)容的一個努力方向。

[1]張弘.軟件定義的新型網(wǎng)絡節(jié)點設計研究.[D]成都：電子科技大學，2013.

[2]龔向陽.一種面向多樣化網(wǎng)絡業(yè)務融合的SDN網(wǎng)絡架構(gòu).[J]北京：北郵，2013.

[3]趙恒.基于SDN架構(gòu)的電信承載網(wǎng)和BNG設備演進思路.[R]河南：中國電信河南分公司，2013.

[4]CISA 2015培訓教材[D].上海：交大慧谷培訓中心，2015.

[5]H3C.新一代網(wǎng)絡建設理論與實踐[D].北京：電子工業(yè)出版社，2013.