云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)部署

責(zé)任編輯:hli

2012-05-04 11:32:57

摘自:賽迪網(wǎng)

業(yè)務(wù)需求:以邏輯或數(shù)據(jù)中心物理區(qū)域進(jìn)行業(yè)務(wù)規(guī)劃,有助于業(yè)務(wù)在企業(yè)的開展與管理, 同一業(yè)務(wù)劃分在一個(gè)安全域內(nèi)。

【賽迪網(wǎng)訊】關(guān)于云計(jì)算數(shù)據(jù)中心的安全防護(hù),CSA(Cloud Security Alliance,云安全聯(lián)盟)在《云計(jì)算關(guān)鍵領(lǐng)域建設(shè)指南》的D7中一共提出8條建議,其中與網(wǎng)絡(luò)安全相關(guān)的安全風(fēng)險(xiǎn)建議有4條:

云服務(wù)提供商提供獲得承諾或授權(quán)進(jìn)行客戶方或外部第三方審計(jì)的權(quán)利;

云服務(wù)提供商技術(shù)架構(gòu)和基礎(chǔ)設(shè)施如何滿足服務(wù)水平SLA的能力;

云服務(wù)提供商為了符合安全要求,必須能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、管理、部署和人員方面的全方位相互“隔離”;

云服務(wù)提供商在業(yè)務(wù)發(fā)生波動(dòng)時(shí)調(diào)動(dòng)資源提供系統(tǒng)可用性和性能。

如何去實(shí)現(xiàn)上述網(wǎng)絡(luò)安全防護(hù)的具體部署,各個(gè)云計(jì)算服務(wù)和基礎(chǔ)設(shè)施提供商,根據(jù)自己的建設(shè)方案要求和擅長(zhǎng)出發(fā),提出了相應(yīng)安全解決方案,以此來(lái)達(dá)到相關(guān)的要求。我們從傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)出發(fā),向云數(shù)據(jù)中心遷移中,結(jié)合云計(jì)算建設(shè)和風(fēng)險(xiǎn)建議原則,探討云計(jì)算數(shù)據(jù)中心的安全部署。

1 傳統(tǒng)數(shù)據(jù)中心的安全建設(shè)模型

傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是:分區(qū)規(guī)劃、分層部署。

1.1 分區(qū)規(guī)劃

分區(qū)規(guī)劃,就是在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的應(yīng)用或業(yè)務(wù)單元,按照這些應(yīng)用或業(yè)務(wù)單元的情況制定不同的安全策略和信任模型,將網(wǎng)絡(luò)劃分為不同區(qū)域,以滿足以下需求。

業(yè)務(wù)需求:以邏輯或數(shù)據(jù)中心物理區(qū)域進(jìn)行業(yè)務(wù)規(guī)劃,有助于業(yè)務(wù)在企業(yè)的開展與管理, 同一業(yè)務(wù)劃分在一個(gè)安全域內(nèi)。

數(shù)據(jù)流:根據(jù)數(shù)據(jù)流特征進(jìn)行分區(qū)規(guī)劃,盡量使得數(shù)據(jù)中心業(yè)務(wù)流流向可控、同一區(qū)域相似性強(qiáng)、流量可監(jiān)測(cè),便于對(duì)數(shù)據(jù)流進(jìn)行安全審計(jì)和訪問(wèn)控制。

應(yīng)用的邏輯功能:不同應(yīng)用的部署方式有區(qū)別,對(duì)網(wǎng)絡(luò)配置需求不同,按應(yīng)用邏輯特點(diǎn)進(jìn)行分區(qū)模塊化,便于維護(hù)管理差異性應(yīng)用,安全等級(jí)一致的應(yīng)用邏輯可以在安全域上進(jìn)行歸并。

IT安全的需求:數(shù)據(jù)中心分區(qū),有助于區(qū)域的統(tǒng)一安全要求標(biāo)準(zhǔn)化管理。

根據(jù)上述需求,一般情況下,數(shù)據(jù)中心網(wǎng)絡(luò)劃分為以下的分區(qū)(如圖1所示):

核心區(qū):提供各分區(qū)模塊互聯(lián)

外聯(lián)業(yè)務(wù)區(qū):企業(yè)對(duì)外業(yè)務(wù)、互聯(lián)網(wǎng)業(yè)務(wù)部署區(qū)

Intranet區(qū): 企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)部署區(qū)域

測(cè)試區(qū):企業(yè)新應(yīng)用上線測(cè)試區(qū)

運(yùn)營(yíng)管理區(qū) :企業(yè)IT運(yùn)營(yíng)中心

集成區(qū): 企業(yè)應(yīng)用系統(tǒng)之間信息交換區(qū)域、信息共享區(qū)域

存儲(chǔ)區(qū): 企業(yè)數(shù)據(jù)存儲(chǔ)專區(qū)

[page]

  圖1 數(shù)據(jù)中心分區(qū)圖

1.2 分層部署

在分區(qū)基礎(chǔ)上,按照全面的安全防護(hù)部署要求,在每個(gè)區(qū)域的邊界處,根據(jù)實(shí)際情況進(jìn)行相應(yīng)的安全需求部署,一般的安全部署包括,防DDoS攻擊、流量分析與控制,異構(gòu)多重防火墻、VPN、入侵防御以及負(fù)載均衡等需求。

值得一提的是,在業(yè)務(wù)的部署過(guò)程中,由于設(shè)備的功能獨(dú)立性,往往需要進(jìn)行糖葫蘆串式的部署(如圖2左所示),這種部署方式往往會(huì)增加部署的復(fù)雜性,同時(shí)架構(gòu)的可靠性也大大降低,為此,一些廠商提出網(wǎng)絡(luò)安全融合方案,可以將獨(dú)立設(shè)備組網(wǎng)簡(jiǎn)化為網(wǎng)絡(luò)安全的集成業(yè)務(wù),大大簡(jiǎn)化設(shè)計(jì)和優(yōu)化管理(如圖2右所示)。

  圖2獨(dú)立設(shè)備與集成部署對(duì)比圖

2 云計(jì)算數(shù)據(jù)中心的安全建設(shè)模型

較傳統(tǒng)數(shù)據(jù)中心,云計(jì)算的基礎(chǔ)數(shù)據(jù)中心建設(shè)無(wú)明顯差別,同樣需要分區(qū)標(biāo)準(zhǔn)化、模塊化部署,一般都采用旁掛核心或者匯聚交換機(jī)的部署。考慮到云計(jì)算的特點(diǎn),其最大需求是實(shí)現(xiàn)計(jì)算、存儲(chǔ)等IT資源靈活調(diào)度,讓資源得到最充分利用,而實(shí)現(xiàn)這一需求的基礎(chǔ)是以數(shù)據(jù)中心的虛擬機(jī)作為主要的計(jì)算資源為客戶提供服務(wù)。在這種模式下,數(shù)據(jù)中心建設(shè)出現(xiàn)了新的需求。

[page]

較傳統(tǒng)網(wǎng)絡(luò),云計(jì)算網(wǎng)絡(luò)的流量模型發(fā)生了兩個(gè)變化:一,從外部到內(nèi)部的縱向流量加大;二,云業(yè)務(wù)內(nèi)部虛擬機(jī)之間的橫向流量加大。為保證未來(lái)業(yè)務(wù)開展,整個(gè)云計(jì)算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力,在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個(gè)節(jié)點(diǎn)上不能存在阻塞,同時(shí)具備突發(fā)流量的承受能力,具體體現(xiàn)在以下兩個(gè)方面:

參照云計(jì)算數(shù)據(jù)中心對(duì)于核心交換機(jī)設(shè)備的要求,即必須具備高密度的10G接口提供能力,安全設(shè)備接入數(shù)據(jù)中心,也必須以萬(wàn)兆級(jí)接入、萬(wàn)兆級(jí)性能處理為基礎(chǔ),并且要具備根據(jù)業(yè)務(wù)需求靈活擴(kuò)展的能力;

隨著服務(wù)器的虛擬化及多租戶業(yè)務(wù)部署,云計(jì)算環(huán)境下的網(wǎng)絡(luò)流量無(wú)序突發(fā)沖擊會(huì)越來(lái)越嚴(yán)重,為保證云計(jì)算服務(wù)的服務(wù)質(zhì)量,安全設(shè)備必須具備突發(fā)流量時(shí)的處理能力,尤其一些對(duì)延遲要求嚴(yán)格的業(yè)務(wù)。

在具體的設(shè)備選擇上,數(shù)據(jù)中心的防火墻可以選擇獨(dú)立的設(shè)備形態(tài)(如H3C F5000高端40G獨(dú)立盒式防火墻),也可以部署多個(gè)Secblade插卡來(lái)做性能擴(kuò)展。在需要部署高性能防火墻時(shí),可以在交換機(jī)部署多個(gè)插卡實(shí)現(xiàn)性能擴(kuò)展,并可以實(shí)現(xiàn)比多臺(tái)同等性能的獨(dú)立設(shè)備組合節(jié)能50%以上(如圖3所示)。

  圖3 防火墻部署方式

2.2 虛擬化

虛擬資源池化是IT資源發(fā)展的重要趨勢(shì),可以極大程度提高資源利用率,降低運(yùn)營(yíng)成本。目前服務(wù)器、存儲(chǔ)器的虛擬資源池化技術(shù)已經(jīng)日趨成熟,網(wǎng)絡(luò)設(shè)備的虛擬資源池化也已經(jīng)成為趨勢(shì),對(duì)應(yīng)的云計(jì)算數(shù)據(jù)中心的防火墻、負(fù)載均衡等安全控制設(shè)備,也必須支持虛擬化能力,像計(jì)算和存儲(chǔ)、網(wǎng)絡(luò)一樣能按需提供服務(wù)。以防火墻為例,防火墻的虛擬化使用一般應(yīng)用三種場(chǎng)景。

[page]

1、 一般性應(yīng)用:不啟用虛擬防火墻

設(shè)備根據(jù)應(yīng)用類型,按照業(yè)務(wù)將防火墻劃分成多個(gè)安全域,再根據(jù)應(yīng)用的隔離互訪要求,實(shí)現(xiàn)域間安全控制(如圖4所示)。

  圖4 一般性防火墻應(yīng)用

2、 VPN組網(wǎng)環(huán)境下,啟用虛擬防火墻,映射到VRF實(shí)現(xiàn)轉(zhuǎn)發(fā)隔離

要實(shí)現(xiàn)對(duì)多個(gè)業(yè)務(wù)VPN的獨(dú)立安全策略部署,一種方式是采用多臺(tái)物理防火墻,另外一種是采用虛擬防火墻技術(shù),將一臺(tái)物理設(shè)備基于虛擬設(shè)備資源劃分,并實(shí)現(xiàn)關(guān)鍵特性的多實(shí)例配置(如NAT多實(shí)例),從而實(shí)現(xiàn)不同VPN下的不同轉(zhuǎn)發(fā)和控制策略(如圖5所示)。

  圖5 VPN組網(wǎng)防火墻應(yīng)用

3、 多租戶應(yīng)用環(huán)境(云計(jì)算服務(wù)提供商 )

每個(gè)虛擬設(shè)備具備獨(dú)立的管理員權(quán)限,可以隨時(shí)監(jiān)控、調(diào)整策略的配置實(shí)現(xiàn)情況;多個(gè)虛擬設(shè)備的管理員可以同時(shí)操作。設(shè)備具備多個(gè)配置文件,允許每個(gè)虛擬設(shè)備的配置可以獨(dú)立保存,虛擬設(shè)備日志可以獨(dú)立管理。

[page]

如圖6所示,將一臺(tái)安全設(shè)備虛擬成多臺(tái)安全設(shè)備(如防火墻),分配給不同業(yè)務(wù)系統(tǒng)使用,并且各業(yè)務(wù)系統(tǒng)可以自主管理各自的虛擬設(shè)備,配置各自的安全策略,保證業(yè)務(wù)系統(tǒng)之間的安全隔離,此時(shí)的防火墻作為資源池方式部署在數(shù)據(jù)中心,與網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)一起實(shí)現(xiàn)云計(jì)算中心端到端的虛擬化資源池(如圖7所示)。

  圖7 端到端虛擬資源池化

2.3 VM之間安全防護(hù)需求

與傳統(tǒng)的安全防護(hù)不同,虛擬機(jī)環(huán)境下,同臺(tái)物理服務(wù)器虛擬成多臺(tái)VM以后,VM之間的流量交換基于服務(wù)器內(nèi)部的虛擬交換,管理員對(duì)于該部分流量既不可控也不可見,但實(shí)際上根據(jù)需要,不同的VM之間需要?jiǎng)澐值讲煌陌踩?,進(jìn)行隔離和訪問(wèn)控制如圖8所示。

  圖8 不同VM之間安全需求

要解決虛擬化內(nèi)部之間的安全防護(hù),可通過(guò)EVB協(xié)議(如VEPA協(xié)議)將虛擬機(jī)內(nèi)部的不同VM之間網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機(jī)進(jìn)行處理,如圖9所示,這將使得安全部署變得同傳統(tǒng)邊界防護(hù)一樣簡(jiǎn)單。

[page]

  圖9 基于EVB的安全防護(hù)

需要重點(diǎn)提出,云計(jì)算中對(duì)于云計(jì)算數(shù)據(jù)中心內(nèi)服務(wù)器/虛擬機(jī)的網(wǎng)關(guān)選擇問(wèn)題,一般有兩種方案(如圖所10示)。

該方案可以實(shí)現(xiàn)租戶內(nèi)不同服務(wù)器(如Web、APP、DB)的安全域隔離,也可以實(shí)現(xiàn)租戶間的安全隔離。由于防火墻為眾多流量的控制點(diǎn),因此要求它具有較高的轉(zhuǎn)發(fā)性能。

該方案只能實(shí)現(xiàn)不同租戶間的安全隔離,無(wú)法在防火墻上實(shí)現(xiàn)租戶內(nèi)的不同服務(wù)器安全域隔離,對(duì)于同一租戶內(nèi)的不同服務(wù)器訪問(wèn)控制,只能依靠接入交換機(jī)(DC Acc)上的ACL來(lái)實(shí)現(xiàn)。由于網(wǎng)關(guān)在交換機(jī)上,所以轉(zhuǎn)發(fā)性能較高。

可見,方案一要求防火墻具備非常高的轉(zhuǎn)發(fā)性能,方案二轉(zhuǎn)發(fā)性能高,但無(wú)法滿足安全隔離控制要求。因此,對(duì)于云計(jì)算數(shù)據(jù)中心服務(wù)網(wǎng)關(guān)的選擇上,建議根據(jù)不同租戶的安全需求進(jìn)行區(qū)分對(duì)待,分散防火墻的壓力,同時(shí)滿足租戶內(nèi)的安全域隔離,具體原則如下:

1.對(duì)于需要部署防火墻的提供更高級(jí)服務(wù)的租戶,網(wǎng)關(guān)部署在vFW上;

2.對(duì)于不需要防火墻防護(hù)的普通租戶,網(wǎng)關(guān)部署在核心交換機(jī)上。

結(jié)束語(yǔ)

云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全部署僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié),要保證云計(jì)算中心的安全,還要考慮數(shù)據(jù)加密、備份,信息的認(rèn)證授權(quán)訪問(wèn)以及法律、法規(guī)合規(guī)性要求,只有全面的進(jìn)行規(guī)劃,才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)