品高云操作系統(tǒng) V8.0 現(xiàn)已正式上線，本次版本升級(jí)帶來(lái)了云數(shù)據(jù)湖、SDN v4.0、應(yīng)用交付流水線、彈性漏掃服務(wù)、全局業(yè)務(wù)標(biāo)簽、彈性文件系統(tǒng)、加速設(shè)備即服務(wù)、智能化體檢、Power 架構(gòu)服務(wù)化以及微軟 Azure 公有云納管等多個(gè)頗具亮點(diǎn)的新功能特性。聯(lián)系客服小表妹(VX：pingaoyunzzm)了解更多。

本文將通過(guò)對(duì)同子網(wǎng)下不同安全等級(jí)的實(shí)例隔離的操作實(shí)踐，深度分析SDN v4.0網(wǎng)絡(luò)微隔離功能在實(shí)際場(chǎng)景中的應(yīng)用。后續(xù)我們還將邀請(qǐng)產(chǎn)品專家逐一對(duì)品高云操作系統(tǒng) V8.0 中的其他功能進(jìn)行詳解，敬請(qǐng)關(guān)注。

云計(jì)算服務(wù)安全需求分析

云計(jì)算成為數(shù)字化經(jīng)濟(jì)發(fā)展中不可逆轉(zhuǎn)的技術(shù)趨勢(shì)之一，這在業(yè)界已是共識(shí)。然而在云化的進(jìn)程中，企業(yè)用戶通常面臨的最大挑戰(zhàn)就是云的安全性。近年來(lái)，云安全事故時(shí)有發(fā)生，似乎這變成了企業(yè)采用云計(jì)算服務(wù)的最大障礙。早前，云計(jì)算安全聯(lián)盟(CSA)總結(jié)了 9 種威脅云計(jì)算安全的問(wèn)題，其指出共享技術(shù)的安全漏洞很可能存在于所有云計(jì)算的交付模式當(dāng)中。

過(guò)去，在傳統(tǒng)的數(shù)據(jù)中心，每一個(gè)業(yè)務(wù)應(yīng)用集群都有一個(gè)網(wǎng)絡(luò)隔離的防火墻，以保證業(yè)務(wù)運(yùn)行的安全，這也成為了企業(yè)數(shù)據(jù)中心中使用最多的安全設(shè)備。但是，現(xiàn)在用戶已普遍使用了云平臺(tái)(公有云、私有云、混合云等)，云在給用戶帶來(lái)了資源的按需申請(qǐng)、高可靠、高可用、彈性伸縮、智能調(diào)度等優(yōu)勢(shì)的同時(shí)，也讓用戶不得不直面更多的安全需求，如多租戶多應(yīng)用混合部署、虛擬機(jī)(包括容器)規(guī)模體量極大、資源多租戶按需分配、邏輯架構(gòu)與物理架構(gòu)無(wú)關(guān)等狀況。

然而，云內(nèi)流量不可見(jiàn)，不同租戶要求的安全等級(jí)不同，安全策略多樣化大增，導(dǎo)致了傳統(tǒng)的隔離防火墻方案在云環(huán)境中已難有用武之地。當(dāng)用戶面對(duì)如云平臺(tái)內(nèi)部 ARP 攻擊、勒索病毒等安全隱患時(shí)，為保證其中某個(gè)用戶遭受攻擊時(shí)不影響其他用戶，又不得不做更細(xì)粒度的網(wǎng)絡(luò)隔離防護(hù)。當(dāng)然，傳統(tǒng)安全設(shè)備也可以加強(qiáng)東西向防護(hù)，但這需要犧牲云平臺(tái)的動(dòng)態(tài)、彈性、按需分配等技術(shù)優(yōu)勢(shì)，在這樣的背景下，網(wǎng)絡(luò)微隔離技術(shù)應(yīng)運(yùn)而生。

區(qū)別于過(guò)去在安全域間的安全訪問(wèn)控制，微隔離技術(shù)主要用于建立虛擬主機(jī)(容器)間的安全訪問(wèn)機(jī)制，并對(duì)東西向流量進(jìn)行可視化管理，能避免利用云內(nèi)部沒(méi)有防護(hù)的漏洞進(jìn)行內(nèi)部攻擊破壞，是當(dāng)前云計(jì)算安全領(lǐng)域的核心技術(shù)之一。在 2017 年 6 月舉辦的第 23 屆 Gartner 安全與風(fēng)險(xiǎn)管理峰會(huì)上，Gartner 發(fā)布了 2017 年度的 11 個(gè)“最新最酷”的信息安全技術(shù)，微隔離就是其中之一。美國(guó)的微隔離市場(chǎng)發(fā)展較早，用戶接受度高，市場(chǎng)格局趨于穩(wěn)定，但國(guó)內(nèi)微隔離技術(shù)和產(chǎn)品目前才開(kāi)始進(jìn)入快速發(fā)展階段。如今，國(guó)內(nèi)的《微隔離產(chǎn)品安全技術(shù)要求標(biāo)準(zhǔn)》正在制定，專業(yè)的安全廠商也已開(kāi)始布局網(wǎng)絡(luò)微隔離產(chǎn)品，而隨著云計(jì)算與虛擬化技術(shù)的普遍應(yīng)用，微隔離產(chǎn)品與服務(wù)也將會(huì)成為用戶必不可少的安全需求。

品高云網(wǎng)絡(luò)微隔離服務(wù)

在推出 BingoCloudOS V8.0 之前，品高云已具備網(wǎng)絡(luò)安全組、網(wǎng)絡(luò)訪問(wèn)控制列表、路由表、外部網(wǎng)關(guān)、NFV 等網(wǎng)絡(luò)安全服務(wù)能力。隨著云數(shù)據(jù)中心內(nèi)的虛擬機(jī)(VM)越來(lái)越多，VM 之間流量交換的安全風(fēng)險(xiǎn)開(kāi)始成為管理員需要解決的新需求。因此，為了更加全面的保護(hù)云平臺(tái)內(nèi)部資產(chǎn)安全，品高云操作系統(tǒng) V8.0 提供了網(wǎng)絡(luò)微隔離服務(wù)。

品高云網(wǎng)絡(luò)微隔離是為了控制云內(nèi)部更細(xì)粒度的網(wǎng)絡(luò)隔離，實(shí)現(xiàn)不同租戶在使用同一 VPC 相同子網(wǎng)的情況下二層網(wǎng)絡(luò)的隔離，VPC 默認(rèn)的隔離策略如下：

• 同一安全組下實(shí)例間默認(rèn)開(kāi)放網(wǎng)絡(luò)通訊;

• 不同安全組下實(shí)例間二層網(wǎng)絡(luò)默認(rèn)隔離;

• 安全組可授權(quán)其他安全組開(kāi)放網(wǎng)絡(luò)通訊;

• 可通過(guò)安全策略授權(quán)網(wǎng)絡(luò)通訊;

通過(guò)網(wǎng)絡(luò)微隔離，可以實(shí)現(xiàn)同一子網(wǎng)實(shí)例之間更細(xì)粒度的網(wǎng)絡(luò)隔離策略，具體包括：

• 相同子網(wǎng)虛擬機(jī)網(wǎng)絡(luò)隔離，ARP 不可發(fā)現(xiàn);

• 非線性地址空間的二次網(wǎng)絡(luò)隔離;

品高云網(wǎng)絡(luò)微隔離示意圖

功能實(shí)踐——同子網(wǎng)下不同安全等級(jí)的實(shí)例隔離

本文將通過(guò)同子網(wǎng)下兩臺(tái)不同安全級(jí)別的實(shí)例之間的相互訪問(wèn)情況來(lái)驗(yàn)證品高云微隔離服務(wù)。通常來(lái)說(shuō)，在同一子網(wǎng)下，同一用戶的實(shí)例之間可相互發(fā)現(xiàn)，當(dāng)各種網(wǎng)絡(luò)威脅攻擊襲來(lái)時(shí)，低安全級(jí)別實(shí)例更容易遭受威脅，利用微隔離服務(wù)可以限制網(wǎng)絡(luò)威脅染指云平臺(tái)內(nèi)的縱向數(shù)據(jù)流，防止攻擊者進(jìn)行內(nèi)部的大規(guī)模攻擊破壞。

具體步驟為啟用微隔離服務(wù)、創(chuàng)建實(shí)例資源、兩臺(tái)實(shí)例相互訪問(wèn)、微隔離授權(quán)。

1. 登錄品高云管控中心 BCC，進(jìn)入“基礎(chǔ)服務(wù)-云網(wǎng)絡(luò)”，選擇要啟用的云網(wǎng)絡(luò)(私有 VPC 網(wǎng)絡(luò))。

點(diǎn)擊網(wǎng)絡(luò)詳情，選擇子網(wǎng)(192.168.2.0/24)。

進(jìn)入子網(wǎng)詳情，在“微隔離”一項(xiàng)，選擇啟用。

(2)通過(guò)子網(wǎng)(192.168.2.0/24)創(chuàng)建兩臺(tái)實(shí)例，分別命名高安全級(jí)別實(shí)例(192.168.2.6)和低安全級(jí)別實(shí)例(192.168.2.5)。

(3)利用低安全級(jí)別實(shí)例(192.168.2.5)通過(guò) PING 指令連通高安全級(jí)別實(shí)例(192.168.2.6)，發(fā)現(xiàn)兩臺(tái)實(shí)例之間是相互隱藏的。

通過(guò) ARP -n 指令查看已經(jīng)記錄的 MAC 地址表，可以發(fā)現(xiàn) MAC 地址也被隱藏，即實(shí)現(xiàn)了實(shí)例在使用同一 VPC 相同子網(wǎng)創(chuàng)建情況下的二層網(wǎng)絡(luò)隔離。

(4)將高安全級(jí)別實(shí)例(192.168.2.6)通過(guò)安全組的微隔離授權(quán)，開(kāi)放其網(wǎng)絡(luò)通訊。

設(shè)置微隔離授權(quán)后，再次 PING 高安全級(jí)別實(shí)例(192.168.2.6)，此時(shí)，兩臺(tái)虛擬機(jī)已可以相互發(fā)現(xiàn)，網(wǎng)絡(luò)微隔離解除。

目前，微隔離服務(wù)已經(jīng)在 BingoCloudOS V8.0 版本中正式發(fā)布，允許用戶同一子網(wǎng)內(nèi)的虛擬機(jī)互相隱藏，實(shí)現(xiàn)更細(xì)粒度的隔離，也可以在需要時(shí)通過(guò)安全組授權(quán)訪問(wèn)。點(diǎn)擊文末“閱讀原文”可查看更多品高云操作系統(tǒng)功能實(shí)踐。