面向多云環境的虛擬私有云安全通信研究

曾理，胡曉勤，龔勛

(四川大學網絡空間安全學院，成都 610065)

0 引言

自云計算概念提出后，云計算的發展主要經歷了三個階段，初級階段中以虛擬化技術為基石，表現為基礎設施與服務資源虛擬化，第二階段中以軟件定義服務為目標，提出了軟件定義網絡以及軟件定義存儲等技術，目前正在步入由混合異構的多種公有云形成的全面多云階段，多云已經成為云計算發展的必經階段[1]。

同時伴隨著云計算發展的是其復雜的安全問題，在傳統網絡結構中，用戶數據放在自己控制的數據中心，攻擊者利用軟件漏洞或惡意軟件對某個用戶進行攻擊，通常只會對該用戶產生影響。然而，在多云計算環境下，面臨著虛擬網絡邊界模糊化與網絡攻擊集中化的風險，一旦攻擊者集中攻擊云端服務，將有可能會對云上大量用戶造成影響，大量用戶的數據面臨著竊取、篡改、丟失等威脅[2]。網絡攻擊僅需要極小的成本就可能造成大范圍的破壞與損失。

目前，為了充分發揮公有云的優勢，同時又具有私有云的安全性與機密性，各大云平臺都推出了虛擬私有云(Virtual Private Cloud，VPC)服務。VPC是基于公有云平臺構建的私有網絡空間，不同的私有網絡間邏輯上完全隔離[3]，由于其靈活部署與安全可靠的優勢，已經成為用戶上云的主要方式。為了避免被單一公有云平臺鎖定，用戶通常會在不同云平臺的虛擬私有云中構建數據中心。但由于各個云平臺的相互競爭關系，都在尋求提供差異化云產品的手段，云平臺底層網絡虛擬化技術有所不同，造成了不同虛擬私有云網絡異構問題[4]。

如今多云策略已經成為云計算的新常態，絕大多數企業都將選擇多個公有云平臺來提高安全合規性、容災備份與業務連續性、跨地域性以及業務多樣性等多方面的能力[5]。多云環境意味企業需要將位于不同云平臺的資源進行整合，實現虛擬私有云跨云組網是云上基礎設施建設的核心訴求。因此，如何保證多云環境下虛擬私有云間的安全通信，實現安全的互聯互通成為了企業成功構建多云數據中心的關鍵問題。

本文將利用現有的虛擬專用網絡(Virtual Private Network，VPN)技術，結合公有云平臺網絡虛擬化技術以及管理策略，研究多云環境下虛擬私有云安全通信。比較了現有的解決方案及其適用場景和優劣性，提出一種跨多個云平臺實現VPC安全通信的方案，通過創建安全的網絡隧道，使用戶可以跨云訪問資源，并提出一種多云環境下的網絡通信管理架構與方法，可管理數據的跨云通信、同步與安全傳輸。

1 相關研究與分析

目前，針對云環境下的網絡通信服務，許多公有云平臺都提出了基本的解決方案，不同云平臺的解決方案在服務形式、應用場景、實現方式上有所不同。

國內的云平臺中，阿里云與騰訊云占據了主要份額，在其VPC的網絡通信方面的解決方案大體相同。訪問VPC內部資源的方式主要方式兩種，一是將VPC內的云資源分配固定的公網IP或者多臺資源配置NAT網關，通過公網IP實現公網間通信。二是利用負載均衡服務，基于端口提供四層和七層負載均衡功能，將訪問流量均衡分發到云資源從而提供對外通信服務，支持租戶從公網通過負載均衡訪問VPC內資源[6]。這兩種方式都只能實現公網到VPC內部的訪問，破壞了VPC資源的私密性，而且在VPC內部資源數量龐大的情況下并不適用。在連接其他數據中心方面，可以通過VPN連接、專線接入和云聯網三種方式。其中VPN連接通過公網加密通道連接，但只能配置連接同一云平臺的其他VPC，不滿足多云平臺業務需求；專線接入需使用物理專線，成本昂貴且靈活性低；云聯網僅可通過云平臺內網連通同一平臺下同一租戶的VPC。

國外的云平臺中，Amazon AWS為其構建的VPC提供了三種通信連接服務[7]，主要方式是在租戶創建的VPC中提供VPN連接服務，分別實現租戶本地數據中心到VPC的連接、同一租戶VPC到VPC的連接以及租戶本地終端到VPC的連接。前兩種屬于站點到站點的VPN 連接，當租戶創建這兩種VPN連接時，AWS要求租戶分別創建連接兩端的網關資源，包括虛擬專用網關和客戶網關[8]。最后一種屬于端到站點的連接，基于SSL協議實現。但其VPN連接都僅限于云內部，無法直接實現跨云平臺間的VPC互通，不能與其他云平臺VPC建立對等連接。

在學術研究領域，對于云環境下的安全通信方向，主要集中在傳統VPN技術方面，旨在提供更安全可靠、效率更高的加密隧道技術。但傳統的VPN部署大部分采用集中式網關方案，在大規模網絡環境中容易產生網絡延遲，引起網絡瓶頸，往往難以直接應用到云計算的虛擬網絡環境。研究人員為此提出了云環境下的VPN部署方式與產品形態[9]，聚焦動態VPN方案，提出了將網絡虛擬化、軟件定義網絡應用到VPN服務的框架[10]，但始終沒有形成云環境下統一通用的VPN服務標準，在虛擬網絡場景下，出現了網絡統一控制困難、管理復雜、安全策略配置繁瑣等問題[11]。

2 多云環境下的虛擬私有云安全通信

2.1 虛擬私有云跨云通信

在多云網絡環境下，實現虛擬私有云跨云組網是云上基礎設施建設的核心訴求，它保證了分布在不同地域、不同云平臺中的計算資源能夠實現在私有網絡中的自由互訪，使企業具備了部署多云資源集群的能力。在虛擬私有云之間實現網絡的安全連接，能夠達成信息的跨云傳輸與跨云資源整合。其面臨的主要挑戰是對跨云連接網絡的安全性、穩定性、配置敏捷性需求。本文將基于VPN技術適用于多云環境來實現該目標。

本文基于VPN技術的VPC網絡通信架構如圖1所示。租戶通常會在云平臺上部署多個VPC，滿足多業務需求，構建成云上數據中心。通常情況下，VPC間默認內網隔離，通過虛擬網絡技術，經由中心虛擬路由與外部通信。本架構在不同的VPC內部部署安全網關節點，可選擇特定VPN服務提供商實現該節點的IPSecVPN功能，內部云資源通過此節點與外部通信。采用這種自定義網關節點的方式，可以解決公有云平臺未提供統一的跨云通信問題，實現與對端不同的云平臺(如華為云、騰訊云、阿里云)網絡互通，并不破壞VPC內部資源的私密性。安全網關節點通過使用隧道技術和加密技術建立專用數據通信通道，可以屏蔽底層的虛擬網絡細節，通過身份認證及加解密的安全機制保證通信流量的機密性與完整性。跨云平臺的通信流量根據匹配安全策略在安全網關節點實現加密，經過公網路由傳輸到目的節點后再進行解密還原為原始數據流，實現安全網絡通信，有助于企業建立多云平臺的云上數據中心。

圖1 多云環境下VPC的網絡通信架構

此架構的優勢在于，實現了跨公有云平臺的VPC通信，適用于多云環境，且具有統一性，彌補了現有云平臺解決方案的不足，且成本可控。面對多云環境，滿足了多云業務需求，可在保證VPC私密性的前提下構建多云數據中心。并且完全不影響數據中心原有的網絡架構，僅針對目標網絡流量進行處理，便捷添加互通網絡站點。租戶可以按業務需求針對不同的VPC靈活配置、按需部署安全網關節點，具有靈活性與細粒度性。

2.2 多云環境下的網絡管理

多云環境隨之帶來的是復雜的管理問題，企業可能會發現云平臺提供的管理工具難以應對各類場景。對于多云網絡管理，出現了虛擬網絡環境下網絡管理復雜，安全策略配置繁瑣，人工技術成本要求過高等問題。因此虛擬私有云的通信需要有一個統一的網絡管理平臺，以避免當租戶擁有多個VPC并部署多臺安全網關時，人為地登錄到不同云平臺，手動為每一臺安全網關單向配置策略。基于以上情況，本文設計一種多云環境下對虛擬私有云網絡通信的統一管理方案，主要提出一種跨云的安全網關管理平臺。以騰訊云與阿里云為例，該方案整體架構如圖2所示。

圖2 多云環境下VPC網絡通信管理架構

面對多云部署場景，通過該平臺可建立獨立自主的安全網關集群，并對這些獨立的網關集群進行聯合統一管理。且可以針對多個云平臺實現跨云管理，避免在單個云平臺內部逐一配置網絡節點，同時整個過程應對租戶透明，隱藏底層異構網絡，自動化實現VPC連通。具有統一性、跨云性與便捷性。

從租戶操作角度，只需要通過管理平臺，授權管理平臺對其云資源的操作。并彈性按需選擇需要建互聯通信的VPC，VPC可分別位于不同云端，即可自動化實現跨云的VPC通信，其實現架構如圖3所示。

圖3 基于統一管理平臺的VPC通信架構

最終整個VPC建立通信過程對租戶是無感知的，具備自動性、便利性與統一性等特點。統一管理平臺的核心功能為管理VPC的連通性，向安全網關節點統一下發連接配置與安全策略。網關節點核心功能為響應保護策略，實現IPSec VPN功能，通過該架構建立安全連接隧道，實現VPC的連通，并加密跨云數據流量。

2.3 功能模塊設計

2.3.1 多云網絡管理平臺組件

多云網絡管理平臺可作為一個SaaS服務，如圖4所示，主要工作包括用戶授權、處理連通需求、配置安全網關與處理狀態消息等。為租戶提供簡易的自動化管理功能，管理VPC間的網絡連通性。

圖4 管理平臺組件的主要工作流程

該組件主要負責獲取云連接租戶的授權、獲取跨云的VPC網絡信息、向安全網關下發安全策略、實現統一的跨云的網關聯動配置等。結合公有云API，關鍵實現工作流程如下。

(1)租戶通過管理平臺，使用安全憑證與云平臺進行身份認證。安全憑證包含SecretId及SecretKey兩部分。SecretId用于標識租戶身份，SecretKey用于加密簽名字符串和云平臺服務器端驗證簽名字符串的密鑰。通過使用TC3-HMAC-SHA256簽名方法，計算派生簽名密鑰，并生成簽名結果，此后每次向云平臺的請求都指定該簽名結果。關鍵偽代碼如下：

(2)完成身份認證后，通過認證對象調用DescribeVpcs方法發起請求，解析返回數據，通過DomainName與CidrBlock字段獲取云平臺內的VPC子網信息。根據租戶的通信需求，處理網絡通信請求，分別調用RunInstances服務支持，使用ImageId字段指定特定的IPSec VPN鏡像創建安全網關節點。并與安全網關協商出IPSec隧道rest_tunnel，用于保護安全網關與管理平臺交互的協議報文；

(3)根據租戶的VPC信息與保護子網信息，配置安全網關節點。自動為安全網關生成能完成VPC通信的安全保護策略SP，包括IKE策略、IPSEC策略以及兩端的連接信息。將SP封裝成RESTful協議報文通過rest_tunnel加密推送到位于不同的云平臺的安全網關。

(4)接收安全網關返回的創建狀態消息statusMessage報文，處理異常狀態，確保成功通信并保留VPC與子網的連通狀態信息。

2.3.2 安全網關節點組件

安全網關節點位于不同云平臺的VPC內部。如圖5所示主要工作包含本地配置、處理安全策略、保護目標流量。由統一管理平臺創建，主要實現跨云隧道建立與數據加密，實現VPC的安全互通。

圖5 安全網關組件主要工作流程

該組件主要負責接收管理平臺的調度，解析管理平臺的安全策略、根據安全策略建立隧道與跨云數據加解密等。結合VPN技術，關鍵實現工作流程如下。

(1)安全網關節點創建成功時，自啟動與管理平臺交互的進程和VPN功能進程，等待管理平臺發起隧道連接請求，建立rest_tunnel隧道。同時向云平臺調用Vpc CreateRoutes接口，更改路由表。將待通信的對端VPC的子網傳入DestinationCidrBlock參數，通過虛擬路由，所有跨云的流量將會經過此節點。

(2)解析管理平臺發送的RESTful報文，處理安全策略SP。根據SP，自動與對端云平臺的安全網關通過IKE協議協商保護子網信息和IPSec隧道，建立安全連接。SP的簡要結構體如下：

(3)此后檢測跨云數據流量，與SP進行匹配，根據SP確定興趣流，通過上一階段協商出的安全聯盟SA，對興趣流IP數據包添加封裝安全載荷ESP，使用對稱密碼算法加密流量后通過IPSec隧道轉發至對端VPC。

3 實驗與分析

本文采用國內主流公有云平臺騰訊云與阿里云進行實驗部署，測試多云環境下跨云平臺通信方案的可行性。如圖6所示，兩個虛擬私有云分別位于不同的云平臺，且位于上海與深圳處于不同的地域，VPC內部的私有網段分別為10.10.0.0/16與172.16.0.0/16，內部普通計算資源僅存在私有內網地址，都部署在子網2內部，此時無法與外部通信。統一管理平臺通過公網對云平臺進行調用管理，將具有IPSecVPN功能的安全網關節點部署在了VPC子網1中，不影響原有的網絡架構。并為安全網關節點分配了公網地址，通過公有云平臺的NAT技術，通過Internet網絡與位于另一個云平臺的網關節點自動建立加密通信隧道，根據匹配安全策略此時可以實現騰訊云VPC的子網2與阿里云VPC的子網2的安全通信。

圖6 騰訊云與阿里云VPC通信

實驗結果如圖7所示，阿里云與騰訊云成功協商SA，并身份認證成功，完成阿里云到騰訊云的加密隧道建立。最終能實現騰訊云服務器10.10.20.10到阿里云服務器172.160.20.10的相互通信，完成了跨云平臺通信。

圖7 實驗結果

4 結語

本文研究了多云環境下虛擬私有云的安全通信，分析了現有公有云平臺的解決方案與相關技術。將VPN技術適用于云環境，提出了跨云平臺的VPC安全通信方案，彌補了現有公有云廠商VPC連接方案的不足。并針對多云管理問題，提出了一種多云環境下的VPC網絡通信管理方法，具有一定的實際意義，有助于多個云平臺之間的資源整合與管理。