【賽迪網訊】關于云計算數據中心的安全防護,CSA(Cloud Security Alliance,云安全聯盟)在《云計算關鍵領域建設指南》的D7中一共提出8條建議,其中與網絡安全相關的安全風險建議有4條:
云服務提供商提供獲得承諾或授權進行客戶方或外部第三方審計的權利;
云服務提供商技術架構和基礎設施如何滿足服務水平SLA的能力;
云服務提供商為了符合安全要求,必須能夠展示系統、數據、網絡、管理、部署和人員方面的全方位相互“隔離”;
云服務提供商在業務發生波動時調動資源提供系統可用性和性能。
如何去實現上述網絡安全防護的具體部署,各個云計算服務和基礎設施提供商,根據自己的建設方案要求和擅長出發,提出了相應安全解決方案,以此來達到相關的要求。我們從傳統的數據中心安全建設出發,向云數據中心遷移中,結合云計算建設和風險建議原則,探討云計算數據中心的安全部署。
1 傳統數據中心的安全建設模型
傳統數據中心安全部署的一般核心思路是:分區規劃、分層部署。
1.1 分區規劃
分區規劃,就是在網絡中存在不同價值和易受攻擊程度不同的應用或業務單元,按照這些應用或業務單元的情況制定不同的安全策略和信任模型,將網絡劃分為不同區域,以滿足以下需求。
業務需求:以邏輯或數據中心物理區域進行業務規劃,有助于業務在企業的開展與管理, 同一業務劃分在一個安全域內。
數據流:根據數據流特征進行分區規劃,盡量使得數據中心業務流流向可控、同一區域相似性強、流量可監測,便于對數據流進行安全審計和訪問控制。
應用的邏輯功能:不同應用的部署方式有區別,對網絡配置需求不同,按應用邏輯特點進行分區模塊化,便于維護管理差異性應用,安全等級一致的應用邏輯可以在安全域上進行歸并。
IT安全的需求:數據中心分區,有助于區域的統一安全要求標準化管理。
根據上述需求,一般情況下,數據中心網絡劃分為以下的分區(如圖1所示):
核心區:提供各分區模塊互聯
外聯業務區:企業對外業務、互聯網業務部署區
Intranet區: 企業內部業務系統部署區域
測試區:企業新應用上線測試區
運營管理區 :企業IT運營中心
集成區: 企業應用系統之間信息交換區域、信息共享區域
存儲區: 企業數據存儲專區
[page]
圖1 數據中心分區圖
1.2 分層部署
在分區基礎上,按照全面的安全防護部署要求,在每個區域的邊界處,根據實際情況進行相應的安全需求部署,一般的安全部署包括,防DDoS攻擊、流量分析與控制,異構多重防火墻、VPN、入侵防御以及負載均衡等需求。
值得一提的是,在業務的部署過程中,由于設備的功能獨立性,往往需要進行糖葫蘆串式的部署(如圖2左所示),這種部署方式往往會增加部署的復雜性,同時架構的可靠性也大大降低,為此,一些廠商提出網絡安全融合方案,可以將獨立設備組網簡化為網絡安全的集成業務,大大簡化設計和優化管理(如圖2右所示)。
圖2獨立設備與集成部署對比圖
2 云計算數據中心的安全建設模型
較傳統數據中心,云計算的基礎數據中心建設無明顯差別,同樣需要分區標準化、模塊化部署,一般都采用旁掛核心或者匯聚交換機的部署。考慮到云計算的特點,其最大需求是實現計算、存儲等IT資源靈活調度,讓資源得到最充分利用,而實現這一需求的基礎是以數據中心的虛擬機作為主要的計算資源為客戶提供服務。在這種模式下,數據中心建設出現了新的需求。
[page]
較傳統網絡,云計算網絡的流量模型發生了兩個變化:一,從外部到內部的縱向流量加大;二,云業務內部虛擬機之間的橫向流量加大。為保證未來業務開展,整個云計算數據中心必須具有高的吞吐能力和處理能力,在數據轉發和控制的各個節點上不能存在阻塞,同時具備突發流量的承受能力,具體體現在以下兩個方面:
參照云計算數據中心對于核心交換機設備的要求,即必須具備高密度的10G接口提供能力,安全設備接入數據中心,也必須以萬兆級接入、萬兆級性能處理為基礎,并且要具備根據業務需求靈活擴展的能力;
隨著服務器的虛擬化及多租戶業務部署,云計算環境下的網絡流量無序突發沖擊會越來越嚴重,為保證云計算服務的服務質量,安全設備必須具備突發流量時的處理能力,尤其一些對延遲要求嚴格的業務。
在具體的設備選擇上,數據中心的防火墻可以選擇獨立的設備形態(如H3C F5000高端40G獨立盒式防火墻),也可以部署多個Secblade插卡來做性能擴展。在需要部署高性能防火墻時,可以在交換機部署多個插卡實現性能擴展,并可以實現比多臺同等性能的獨立設備組合節能50%以上(如圖3所示)。
圖3 防火墻部署方式
2.2 虛擬化
虛擬資源池化是IT資源發展的重要趨勢,可以極大程度提高資源利用率,降低運營成本。目前服務器、存儲器的虛擬資源池化技術已經日趨成熟,網絡設備的虛擬資源池化也已經成為趨勢,對應的云計算數據中心的防火墻、負載均衡等安全控制設備,也必須支持虛擬化能力,像計算和存儲、網絡一樣能按需提供服務。以防火墻為例,防火墻的虛擬化使用一般應用三種場景。
[page]
1、 一般性應用:不啟用虛擬防火墻
設備根據應用類型,按照業務將防火墻劃分成多個安全域,再根據應用的隔離互訪要求,實現域間安全控制(如圖4所示)。
圖4 一般性防火墻應用
2、 VPN組網環境下,啟用虛擬防火墻,映射到VRF實現轉發隔離
要實現對多個業務VPN的獨立安全策略部署,一種方式是采用多臺物理防火墻,另外一種是采用虛擬防火墻技術,將一臺物理設備基于虛擬設備資源劃分,并實現關鍵特性的多實例配置(如NAT多實例),從而實現不同VPN下的不同轉發和控制策略(如圖5所示)。
圖5 VPN組網防火墻應用
3、 多租戶應用環境(云計算服務提供商 )
每個虛擬設備具備獨立的管理員權限,可以隨時監控、調整策略的配置實現情況;多個虛擬設備的管理員可以同時操作。設備具備多個配置文件,允許每個虛擬設備的配置可以獨立保存,虛擬設備日志可以獨立管理。
[page]
如圖6所示,將一臺安全設備虛擬成多臺安全設備(如防火墻),分配給不同業務系統使用,并且各業務系統可以自主管理各自的虛擬設備,配置各自的安全策略,保證業務系統之間的安全隔離,此時的防火墻作為資源池方式部署在數據中心,與網絡、服務器和存儲一起實現云計算中心端到端的虛擬化資源池(如圖7所示)。
圖7 端到端虛擬資源池化
2.3 VM之間安全防護需求
與傳統的安全防護不同,虛擬機環境下,同臺物理服務器虛擬成多臺VM以后,VM之間的流量交換基于服務器內部的虛擬交換,管理員對于該部分流量既不可控也不可見,但實際上根據需要,不同的VM之間需要劃分到不同的安全域,進行隔離和訪問控制如圖8所示。
圖8 不同VM之間安全需求
要解決虛擬化內部之間的安全防護,可通過EVB協議(如VEPA協議)將虛擬機內部的不同VM之間網絡流量全部交由與服務器相連的物理交換機進行處理,如圖9所示,這將使得安全部署變得同傳統邊界防護一樣簡單。
[page]
圖9 基于EVB的安全防護
需要重點提出,云計算中對于云計算數據中心內服務器/虛擬機的網關選擇問題,一般有兩種方案(如圖所10示)。
該方案可以實現租戶內不同服務器(如Web、APP、DB)的安全域隔離,也可以實現租戶間的安全隔離。由于防火墻為眾多流量的控制點,因此要求它具有較高的轉發性能。
該方案只能實現不同租戶間的安全隔離,無法在防火墻上實現租戶內的不同服務器安全域隔離,對于同一租戶內的不同服務器訪問控制,只能依靠接入交換機(DC Acc)上的ACL來實現。由于網關在交換機上,所以轉發性能較高。
可見,方案一要求防火墻具備非常高的轉發性能,方案二轉發性能高,但無法滿足安全隔離控制要求。因此,對于云計算數據中心服務網關的選擇上,建議根據不同租戶的安全需求進行區分對待,分散防火墻的壓力,同時滿足租戶內的安全域隔離,具體原則如下:
1.對于需要部署防火墻的提供更高級服務的租戶,網關部署在vFW上;
2.對于不需要防火墻防護的普通租戶,網關部署在核心交換機上。
結束語
云計算數據中心網絡安全部署僅僅是云基礎架構中基本的建設環節,要保證云計算中心的安全,還要考慮數據加密、備份,信息的認證授權訪問以及法律、法規合規性要求,只有全面的進行規劃,才能建立全面、完善的云數據中心安全綜合防御體系。
京公網安備 11010502049343號