中國電信股份有限公司北京研究院 | 張鑒

云計算為電信運營商帶來了良好機(jī)遇，為實現(xiàn)精細(xì)化運營、推進(jìn)轉(zhuǎn)型深化提供了利器。而安全性是客戶選擇云計算時的首要考慮因素之一，也是在建設(shè)云計算平臺時的關(guān)鍵問題。

挑戰(zhàn)一：網(wǎng)絡(luò)結(jié)構(gòu)演進(jìn)

云計算的特點是實現(xiàn)計算、存儲等IT資源靈活調(diào)度，讓資源得到最充分利用，而實現(xiàn)這一需求的基礎(chǔ)是以數(shù)據(jù)中心的虛擬機(jī)作為主要的計算資源為客戶提供服務(wù)。較傳統(tǒng)網(wǎng)絡(luò)，云計算網(wǎng)絡(luò)的流量模型發(fā)生了兩個變化：一是從外部到內(nèi)部的縱向流量加大；二是云業(yè)務(wù)內(nèi)部虛擬機(jī)之間的橫向流量加大。為保證未來業(yè)務(wù)開展，整個云計算數(shù)據(jù)中心必須具有高吞吐能力和處理能力，在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個節(jié)點上不能存在阻塞，同時具備突發(fā)流量的承受能力。

挑戰(zhàn)二：虛擬化環(huán)境的安全要求

對于遷移到云計算環(huán)境中的系統(tǒng)而言，網(wǎng)絡(luò)層安全防護(hù)最明顯的變化，是傳統(tǒng)的以物理服務(wù)器為單位劃分安全域的訪問控制方法將不再適用，對于虛擬機(jī)而言，只提供虛擬機(jī)鏡像的邏輯隔離和域名的邏輯隔離。如何實現(xiàn)虛擬安全域的隔離和訪問控制將是設(shè)計網(wǎng)絡(luò)層安全防護(hù)體系的核心問題。

因此對于云計算網(wǎng)絡(luò)層面的安全解決方案要求一個高度可擴(kuò)展的網(wǎng)絡(luò)安全防護(hù)架構(gòu)，能夠?qū)崿F(xiàn)跨越物理和虛擬環(huán)境的保護(hù)，對VM之間的流量進(jìn)行實時查看和威脅檢測，并且不會對服務(wù)器造成額外的負(fù)載。同時，它要求支持更廣泛的網(wǎng)絡(luò)訪問，可以通過用戶、組和應(yīng)用程序進(jìn)行策略設(shè)定，而不是僅僅通過靜態(tài)屬性（IP地址、MAC地址）來管理策略。

適用于云計算環(huán)境的網(wǎng)絡(luò)架構(gòu)

對于云計算數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，目前國際的云計算提供商主要有兩種架構(gòu)方案。

一種網(wǎng)絡(luò)架構(gòu)是以Amazon AWS為代表的全虛擬化架構(gòu)，完全取消物理服務(wù)器的概念，系統(tǒng)僅運行在虛擬機(jī)上。AWS的虛擬化系統(tǒng)是以開源XEN系統(tǒng)為基礎(chǔ)，Amazon進(jìn)行了深入的定制化開發(fā)和整合。

另一種網(wǎng)絡(luò)架構(gòu)就是所謂的Cloud Center架構(gòu)，以Gogrid為代表。這種架構(gòu)在云中采用標(biāo)準(zhǔn)的技術(shù)和協(xié)議建立標(biāo)準(zhǔn)的數(shù)據(jù)中心服務(wù)，與傳統(tǒng)的數(shù)據(jù)中心非常相似，只是在物理服務(wù)器上增加了虛擬機(jī)，另外在多租戶模式等方面有一些差別，優(yōu)點是可以將傳統(tǒng)的技術(shù)和基礎(chǔ)設(shè)施更平滑地轉(zhuǎn)移到云中。

圖 云計算平臺網(wǎng)絡(luò)安全防護(hù)部署示意圖

圖為基于Cloud Center架構(gòu)的云數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)體系的部署示意圖。建議在云數(shù)據(jù)中心邊界部署專業(yè)的抗DDOS攻擊設(shè)備，防火墻建議采用旁掛式部署在核心交換機(jī)之上，啟用雙機(jī)模式。防火墻設(shè)備和抗DDOS攻擊設(shè)備在選型時要充分考慮云數(shù)據(jù)中心的業(yè)務(wù)類型、業(yè)務(wù)容量、業(yè)務(wù)擴(kuò)容性預(yù)期等，從而對設(shè)備架構(gòu)、功能、性能指標(biāo)、可靠性、擴(kuò)展性等進(jìn)行嚴(yán)格的遴選和測試。建議將云平臺中的每個業(yè)務(wù)系統(tǒng)單獨劃分為一個安全域，啟用硬件防火墻上的虛擬防火墻功能，通過VLAN ID將不同安全域綁定到不同的虛擬防火墻，這樣每個業(yè)務(wù)系統(tǒng)可以有獨立安全邊界和獨立的管理員，通過虛擬防火墻可以設(shè)置獨立的安全訪問控制策略。對于虛擬防火墻和虛擬主機(jī)安全產(chǎn)品的選擇，要重點考慮啟用安全特性之后的性能損耗和產(chǎn)品的集中配置管理能力。

對于安全設(shè)備選擇應(yīng)著重考慮以下兩個方面：

● 安全設(shè)備接入數(shù)據(jù)中心，應(yīng)具備萬兆級接入、萬兆級性能處理為基礎(chǔ)，并且要具備根據(jù)業(yè)務(wù)需求靈活擴(kuò)展的能力；

● 隨著服務(wù)器的虛擬化及多租戶業(yè)務(wù)部署，云計算環(huán)境下的網(wǎng)絡(luò)流量無序突發(fā)沖擊會越來越嚴(yán)重，為保證云計算服務(wù)的服務(wù)質(zhì)量，安全設(shè)備必須具備突發(fā)流量時的處理能力，尤其一些對延遲要求嚴(yán)格的業(yè)務(wù)。

虛擬化環(huán)境的網(wǎng)絡(luò)防護(hù)

在云計算數(shù)據(jù)中心中，由于虛擬化技術(shù)打破了物理邊界，使得傳統(tǒng)的基于物理服務(wù)器和物理邊界的網(wǎng)絡(luò)安全防護(hù)體系難以有效的應(yīng)用在虛擬主機(jī)的安全隔離和安全監(jiān)控上。對于虛擬化環(huán)境網(wǎng)絡(luò)防護(hù)需要重點考慮如下兩方面。

虛擬機(jī)安全隔離

傳統(tǒng)的基于物理邊界建立安全域的方法只適用于物理主機(jī)，對于虛擬主機(jī)如何實現(xiàn)有效的安全隔離，是安全防護(hù)需要重點考慮的問題。

虛擬機(jī)安全監(jiān)控

同一物理主機(jī)中的虛擬機(jī)之間的數(shù)據(jù)交互是通過vSwitch實現(xiàn)的，這部分流量不會出現(xiàn)在物理交換機(jī)上，因此傳統(tǒng)的安全設(shè)備無法監(jiān)控虛擬機(jī)之間的數(shù)據(jù)流量，也無法察覺虛擬機(jī)之間的攻擊行為。

對于解決虛擬主機(jī)的安全隔離和安全監(jiān)控問題，目前業(yè)內(nèi)主要有兩種技術(shù)方案。

1) 將虛擬主機(jī)網(wǎng)絡(luò)管理的范圍從服務(wù)器內(nèi)部轉(zhuǎn)移到網(wǎng)絡(luò)設(shè)備

將虛擬機(jī)內(nèi)部的不同VM之間網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機(jī)進(jìn)行處理，這將使得安全部署變得同傳統(tǒng)邊界防護(hù)一樣簡單。

這種思路目前有兩種解決方案，分別是基于VN-Tag（虛擬網(wǎng)絡(luò)標(biāo)簽）的802.1Qbh和基于VEPA（虛擬以太網(wǎng)端口聚合）的802.1Qbg。目前這兩個標(biāo)準(zhǔn)還處于草案階段，尚未正式發(fā)布。

這種解決思路的最大優(yōu)點是，將復(fù)雜的控制功能重新交給技術(shù)成熟的網(wǎng)絡(luò)設(shè)備，可以繼續(xù)沿用傳統(tǒng)的網(wǎng)絡(luò)安全控制機(jī)制，但目前相關(guān)產(chǎn)品的技術(shù)成熟度和商品化程度不夠。

2) 在虛擬化層實施安全隔離和安全監(jiān)控

由于虛擬機(jī)之間的通信在虛擬化層可見，因此虛擬化軟件公司可以將虛擬化層接口開放給合作公司，由第三方開發(fā)虛擬化安全防護(hù)軟件。如VMware在虛擬化層提供了vShield安全套件，可提供虛擬安全邊界、防火墻、流量監(jiān)控、防病毒等安全功能。

此方案不僅解決了虛擬主機(jī)的安全隔離和安全監(jiān)控問題，也提供了客戶虛擬機(jī)的安全保護(hù)能力，同時實現(xiàn)了安全策略配置的自動遷移，應(yīng)該說提供了虛擬主機(jī)安全防護(hù)體系的一攬子解決方案。但此方案也存在一定的缺點，一方面，安全套件在虛擬化層實現(xiàn)，沒有備份，存在單點故障；另一方面，安全套件以軟件形式實現(xiàn)，處理能力相對有限，而且會影響虛擬化層的性能。

綜上，基于虛擬化層的安全套件目前有較為成熟的商業(yè)產(chǎn)品，并且提供了針對虛擬主機(jī)安全防護(hù)體系的一攬子解決方案，因此是目前較為適合的選擇。但由于虛擬化安全套件有單點故障和性能影響等方面的缺陷，因此應(yīng)與傳統(tǒng)的安全設(shè)備和技術(shù)手段相結(jié)合，建立縱深的安全防護(hù)體系。