摘要:云數(shù)據(jù)中心是利用云計(jì)算技術(shù),自動(dòng)化地按需提供各類云計(jì)算服務(wù)的新一代數(shù)據(jù)中心。
云數(shù)據(jù)中心是利用云計(jì)算技術(shù),自動(dòng)化地按需提供各類云計(jì)算服務(wù)的新一代數(shù)據(jù)中心。作為云業(yè)務(wù)的載體,云數(shù)據(jù)中心的業(yè)務(wù)特性與傳統(tǒng)數(shù)據(jù)中心差異巨大,主要表現(xiàn)在:其業(yè)務(wù)模式從以托管和固定計(jì)費(fèi)為主轉(zhuǎn)為以租賃和按適用計(jì)費(fèi)為主,其業(yè)務(wù)開通從線下轉(zhuǎn)向以線上為主,其主要資源類型從專用物理資源轉(zhuǎn)變?yōu)樵苹?、可遷移、可按需調(diào)整的虛擬資源,其業(yè)務(wù)規(guī)模和用戶數(shù)提高了一個(gè)量級(jí),其業(yè)務(wù)流量從以南北向?yàn)橹鬓D(zhuǎn)而出現(xiàn)大量東西向流量,業(yè)務(wù)種類多樣,控制流量更為復(fù)雜。
云數(shù)據(jù)中心網(wǎng)絡(luò)面臨安全挑戰(zhàn)
鑒于云數(shù)據(jù)中心的上述業(yè)務(wù)特性,以及SDN、NFV等新技術(shù)的迅猛發(fā)展和規(guī)模應(yīng)用,云數(shù)據(jù)中心網(wǎng)絡(luò)相較于傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)而言,主要面臨以下安全挑戰(zhàn)。
虛擬化技術(shù)的發(fā)展使得安全邊界難以界定,邏輯網(wǎng)絡(luò)拓?fù)涓鶕?jù)業(yè)務(wù)的需求隨時(shí)可變,傳統(tǒng)的基于物理邊界防護(hù)的安全架構(gòu)無(wú)法對(duì)其進(jìn)行有效的安全防護(hù)。
業(yè)務(wù)場(chǎng)景更為復(fù)雜,對(duì)網(wǎng)絡(luò)和信息安全的個(gè)性化需求更為強(qiáng)烈。而傳統(tǒng)安全硬件設(shè)備將軟件與硬件綁定,對(duì)外提供固定安全功能,管理員只能通過手工操作界面對(duì)其進(jìn)行簡(jiǎn)單配置,無(wú)法根據(jù)業(yè)務(wù)應(yīng)用場(chǎng)景進(jìn)行靈活的功能調(diào)整和定制,不能滿足業(yè)務(wù)的彈性、按需的安全需求。
在虛擬化網(wǎng)絡(luò)軟件耦合的環(huán)境下,安全事件的定位與排查更為困難。
虛擬資源的彈性擴(kuò)展和虛擬網(wǎng)絡(luò)安全邊界動(dòng)態(tài)變化要求安全設(shè)備具備敏捷與協(xié)同防護(hù)特性,而現(xiàn)有安全設(shè)備和系統(tǒng)各自為政,缺乏有效協(xié)同及聯(lián)動(dòng)的手段與機(jī)制。
SDN、NFV等引入新的安全風(fēng)險(xiǎn)。SDN控制器成為關(guān)鍵節(jié)點(diǎn),一旦控制器被入侵,黑客將可能獲得控制器所覆蓋的整個(gè)網(wǎng)絡(luò)的控制權(quán);控制器運(yùn)行異常,也可能會(huì)造成下層網(wǎng)絡(luò)設(shè)備的流控制不一致,導(dǎo)致網(wǎng)絡(luò)故障甚至癱瘓。另外,上層應(yīng)用的資源開放及SDN可編程的特點(diǎn),將可能引入惡意應(yīng)用及插件、資源越權(quán)訪問等安全風(fēng)險(xiǎn),導(dǎo)致安全威脅倍增;不同應(yīng)用間的控制策略相互影響,也可能帶來(lái)安全策略相互違背的安全隱患。NFV設(shè)備引入 MANO、虛擬化技術(shù),并通過標(biāo)準(zhǔn)API接口開放電信網(wǎng)絡(luò)能力,不僅大大增加了安全管理的復(fù)雜度,而且增加了安全攻擊面,帶來(lái)了NFV可信性、可用性等新的安全風(fēng)險(xiǎn)。
云數(shù)據(jù)中心安全策略
為了應(yīng)對(duì)這些安全挑戰(zhàn),云數(shù)據(jù)中心應(yīng)采取如下安全策略:
1.重構(gòu)網(wǎng)絡(luò)安全架構(gòu),實(shí)現(xiàn)按需彈性安全防護(hù)。
傳統(tǒng)盒子思想的安全產(chǎn)品架構(gòu)無(wú)法滿足云數(shù)據(jù)中心的安全運(yùn)營(yíng)需求,必須對(duì)安全架構(gòu)進(jìn)行重構(gòu)。軟件定義安全(Software Defined Security,SDS)是網(wǎng)絡(luò)安全架構(gòu)重構(gòu)的一個(gè)可行方向。其將安全設(shè)備的功能、接入模式、部署方式進(jìn)行解耦,底層抽象為安全資源池中的資源,頂層統(tǒng)一通過軟件編程方式進(jìn)行智能化、自動(dòng)化的編排和管理,實(shí)現(xiàn)業(yè)務(wù)和應(yīng)用驅(qū)動(dòng),以適應(yīng)復(fù)雜網(wǎng)絡(luò)的安全防護(hù)。
對(duì)于云數(shù)據(jù)中心來(lái)說,可借鑒軟件定義思想,建立一個(gè)集中安全的控制管理架構(gòu),通過將安全能力等從底層異構(gòu)的硬件中抽象出來(lái),成為可由軟件定義的資源,使原來(lái)獨(dú)立、難以互通的控制組件構(gòu)成統(tǒng)一的控制平面,即利用通用芯片上的虛擬化技術(shù),實(shí)現(xiàn)標(biāo)準(zhǔn)的安全處理流程,將安全策略管理從硬件設(shè)備中解耦出來(lái),并通過頂層統(tǒng)一軟件編程方式實(shí)現(xiàn)業(yè)務(wù)和應(yīng)用驅(qū)動(dòng),實(shí)現(xiàn)基于策略的、自動(dòng)化的集中管理和控制。由于安全控制面與數(shù)據(jù)面分離,可以在控制面上根據(jù)承載業(yè)務(wù)的不同安全需求按需配備安全資源,并借助全局視野靈活調(diào)整策略,實(shí)現(xiàn)安全資源的動(dòng)態(tài)協(xié)同防護(hù)和智能精細(xì)控制。同時(shí)借助SDN網(wǎng)絡(luò)控制器,以業(yè)務(wù)鏈的方式調(diào)度流量,用邏輯拓?fù)淙〈锢硗負(fù)?,流量可靈活地按特定次序調(diào)配由服務(wù)功能處理,實(shí)現(xiàn)安全資源的按需訪問,從而適應(yīng)云計(jì)算中心動(dòng)態(tài)按需調(diào)整的網(wǎng)絡(luò)環(huán)境。
2.實(shí)施微隔離,實(shí)現(xiàn)云數(shù)據(jù)中心東西流量安全管控。
網(wǎng)絡(luò)隔離是基礎(chǔ)防護(hù)手段,傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)隔離主要是基于設(shè)置安全分段、創(chuàng)建子網(wǎng)和虛擬LAN,通過手動(dòng)配置和維護(hù)的ACL 或防火墻規(guī)則來(lái)進(jìn)行安全域的隔離。該模式需要將安全策略鎖定至工作負(fù)載所處的物理位置,一般是基于IP子網(wǎng)與應(yīng)用間的映射,但是,僅僅基于子網(wǎng)的策略定義是不夠的,很多時(shí)候需要面向IP地址進(jìn)行更精細(xì)的策略定義,策略條目會(huì)爆炸性增長(zhǎng)。在云數(shù)據(jù)中心動(dòng)態(tài)化的網(wǎng)絡(luò)環(huán)境下,隔離策略的配置、調(diào)整及過時(shí)策略的回收等工作量將呈指數(shù)增加,安全運(yùn)維人員將不堪重負(fù)。
為了解決這個(gè)問題,云數(shù)據(jù)中心應(yīng)組建分布式防火墻資源池,同時(shí)基于軟件定義安全的集中安全管理架構(gòu),集中實(shí)施靈活的基于安全組的安全策略控制。通過與SDN控制器的協(xié)同,安全運(yùn)維人員可靈活實(shí)現(xiàn)虛擬機(jī)間流量的流轉(zhuǎn)控制,即使物理IP地址變化,也可以保證其安全策略自動(dòng)隨工作負(fù)載移動(dòng)。在這種微分段模式下,云數(shù)據(jù)中心可以真正實(shí)現(xiàn)“零信任”的網(wǎng)絡(luò)安全控制,通過借助SDN網(wǎng)絡(luò)流量的可視性,實(shí)施最小限度的訪問權(quán)限,并隨時(shí)根據(jù)安全狀況,調(diào)整訪問控制策略,從而控制安全風(fēng)險(xiǎn)在數(shù)據(jù)中心內(nèi)部的橫向擴(kuò)展。
3.提升控制面安全性,應(yīng)對(duì)SDN/NFV技術(shù)引入的安全風(fēng)險(xiǎn)。
通過數(shù)據(jù)平面與控制平面解耦,SDN引入了新的攻擊面及安全風(fēng)險(xiǎn),SDN控制器面臨的安全風(fēng)險(xiǎn)將遠(yuǎn)大于傳統(tǒng)網(wǎng)管系統(tǒng)。SDN的安全防護(hù)應(yīng)在實(shí)施傳統(tǒng)安全防護(hù)手段并適當(dāng)提升安全防護(hù)等級(jí)的基礎(chǔ)上,重點(diǎn)提升SDN控制器自身的安全機(jī)制,提高控制平面自身安全健壯性以及南北向的安全控制,主要包括對(duì)流規(guī)則的合法性和一致性檢測(cè)、應(yīng)用程序的權(quán)限控制、抗DDoS攻擊等。NFV的安全防護(hù)策略與SDN類似,應(yīng)采用嚴(yán)格認(rèn)證授權(quán)、安全隔離以及策略一致性安全檢測(cè)機(jī)制,并重點(diǎn)保障VNF的可信性,包括VNF的生命周期安全管理、VNF安全啟動(dòng)檢查等。
總體而言,云數(shù)據(jù)中心安全防護(hù)應(yīng)結(jié)合SDN/NFV等新技術(shù)的發(fā)展需求,健全安全體系,加強(qiáng)虛擬化安全、控制面增強(qiáng)安全機(jī)制等關(guān)鍵技術(shù)的實(shí)用化和落地部署。同時(shí),充分借鑒軟件定義安全理念,并結(jié)合技術(shù)成熟度,開展相關(guān)安全系統(tǒng)的云化改造,提升安全系統(tǒng)的資源利用效率及整體安全防護(hù)協(xié)同能力,并探索集中安全控制體系,與云計(jì)算管理平臺(tái)以及SDN控制器進(jìn)行協(xié)同,實(shí)現(xiàn)按需安全防護(hù)以及智能精細(xì)控制。