摘要:云數據中心是利用云計算技術,自動化地按需提供各類云計算服務的新一代數據中心。
云數據中心是利用云計算技術,自動化地按需提供各類云計算服務的新一代數據中心。作為云業務的載體,云數據中心的業務特性與傳統數據中心差異巨大,主要表現在:其業務模式從以托管和固定計費為主轉為以租賃和按適用計費為主,其業務開通從線下轉向以線上為主,其主要資源類型從專用物理資源轉變為云化、可遷移、可按需調整的虛擬資源,其業務規模和用戶數提高了一個量級,其業務流量從以南北向為主轉而出現大量東西向流量,業務種類多樣,控制流量更為復雜。
云數據中心網絡面臨安全挑戰
鑒于云數據中心的上述業務特性,以及SDN、NFV等新技術的迅猛發展和規模應用,云數據中心網絡相較于傳統數據中心網絡而言,主要面臨以下安全挑戰。
虛擬化技術的發展使得安全邊界難以界定,邏輯網絡拓撲根據業務的需求隨時可變,傳統的基于物理邊界防護的安全架構無法對其進行有效的安全防護。
業務場景更為復雜,對網絡和信息安全的個性化需求更為強烈。而傳統安全硬件設備將軟件與硬件綁定,對外提供固定安全功能,管理員只能通過手工操作界面對其進行簡單配置,無法根據業務應用場景進行靈活的功能調整和定制,不能滿足業務的彈性、按需的安全需求。
在虛擬化網絡軟件耦合的環境下,安全事件的定位與排查更為困難。
虛擬資源的彈性擴展和虛擬網絡安全邊界動態變化要求安全設備具備敏捷與協同防護特性,而現有安全設備和系統各自為政,缺乏有效協同及聯動的手段與機制。
SDN、NFV等引入新的安全風險。SDN控制器成為關鍵節點,一旦控制器被入侵,黑客將可能獲得控制器所覆蓋的整個網絡的控制權;控制器運行異常,也可能會造成下層網絡設備的流控制不一致,導致網絡故障甚至癱瘓。另外,上層應用的資源開放及SDN可編程的特點,將可能引入惡意應用及插件、資源越權訪問等安全風險,導致安全威脅倍增;不同應用間的控制策略相互影響,也可能帶來安全策略相互違背的安全隱患。NFV設備引入 MANO、虛擬化技術,并通過標準API接口開放電信網絡能力,不僅大大增加了安全管理的復雜度,而且增加了安全攻擊面,帶來了NFV可信性、可用性等新的安全風險。
云數據中心安全策略
為了應對這些安全挑戰,云數據中心應采取如下安全策略:
1.重構網絡安全架構,實現按需彈性安全防護。
傳統盒子思想的安全產品架構無法滿足云數據中心的安全運營需求,必須對安全架構進行重構。軟件定義安全(Software Defined Security,SDS)是網絡安全架構重構的一個可行方向。其將安全設備的功能、接入模式、部署方式進行解耦,底層抽象為安全資源池中的資源,頂層統一通過軟件編程方式進行智能化、自動化的編排和管理,實現業務和應用驅動,以適應復雜網絡的安全防護。
對于云數據中心來說,可借鑒軟件定義思想,建立一個集中安全的控制管理架構,通過將安全能力等從底層異構的硬件中抽象出來,成為可由軟件定義的資源,使原來獨立、難以互通的控制組件構成統一的控制平面,即利用通用芯片上的虛擬化技術,實現標準的安全處理流程,將安全策略管理從硬件設備中解耦出來,并通過頂層統一軟件編程方式實現業務和應用驅動,實現基于策略的、自動化的集中管理和控制。由于安全控制面與數據面分離,可以在控制面上根據承載業務的不同安全需求按需配備安全資源,并借助全局視野靈活調整策略,實現安全資源的動態協同防護和智能精細控制。同時借助SDN網絡控制器,以業務鏈的方式調度流量,用邏輯拓撲取代物理拓撲,流量可靈活地按特定次序調配由服務功能處理,實現安全資源的按需訪問,從而適應云計算中心動態按需調整的網絡環境。
2.實施微隔離,實現云數據中心東西流量安全管控。
網絡隔離是基礎防護手段,傳統數據中心的網絡隔離主要是基于設置安全分段、創建子網和虛擬LAN,通過手動配置和維護的ACL 或防火墻規則來進行安全域的隔離。該模式需要將安全策略鎖定至工作負載所處的物理位置,一般是基于IP子網與應用間的映射,但是,僅僅基于子網的策略定義是不夠的,很多時候需要面向IP地址進行更精細的策略定義,策略條目會爆炸性增長。在云數據中心動態化的網絡環境下,隔離策略的配置、調整及過時策略的回收等工作量將呈指數增加,安全運維人員將不堪重負。
為了解決這個問題,云數據中心應組建分布式防火墻資源池,同時基于軟件定義安全的集中安全管理架構,集中實施靈活的基于安全組的安全策略控制。通過與SDN控制器的協同,安全運維人員可靈活實現虛擬機間流量的流轉控制,即使物理IP地址變化,也可以保證其安全策略自動隨工作負載移動。在這種微分段模式下,云數據中心可以真正實現“零信任”的網絡安全控制,通過借助SDN網絡流量的可視性,實施最小限度的訪問權限,并隨時根據安全狀況,調整訪問控制策略,從而控制安全風險在數據中心內部的橫向擴展。
3.提升控制面安全性,應對SDN/NFV技術引入的安全風險。
通過數據平面與控制平面解耦,SDN引入了新的攻擊面及安全風險,SDN控制器面臨的安全風險將遠大于傳統網管系統。SDN的安全防護應在實施傳統安全防護手段并適當提升安全防護等級的基礎上,重點提升SDN控制器自身的安全機制,提高控制平面自身安全健壯性以及南北向的安全控制,主要包括對流規則的合法性和一致性檢測、應用程序的權限控制、抗DDoS攻擊等。NFV的安全防護策略與SDN類似,應采用嚴格認證授權、安全隔離以及策略一致性安全檢測機制,并重點保障VNF的可信性,包括VNF的生命周期安全管理、VNF安全啟動檢查等。
總體而言,云數據中心安全防護應結合SDN/NFV等新技術的發展需求,健全安全體系,加強虛擬化安全、控制面增強安全機制等關鍵技術的實用化和落地部署。同時,充分借鑒軟件定義安全理念,并結合技術成熟度,開展相關安全系統的云化改造,提升安全系統的資源利用效率及整體安全防護協同能力,并探索集中安全控制體系,與云計算管理平臺以及SDN控制器進行協同,實現按需安全防護以及智能精細控制。
京公網安備 11010502049343號