劉鵬宇

（杭州華三通信技術(shù)有限公司，北京 100052）

新形勢下的安全虛擬化方案

劉鵬宇

（杭州華三通信技術(shù)有限公司，北京 100052）

在云計算數(shù)據(jù)中心的建設(shè)過程中，單個租戶的業(yè)務(wù)需求會不斷的變化，其對于存儲、計算、網(wǎng)絡(luò)等資源的占用可能需要進行實時的調(diào)整，以提升基礎(chǔ)設(shè)施的利用效率。同時，隨著租戶規(guī)模的增加，多租戶在最大化共享云計算基礎(chǔ)資源的時候，如何保證多租戶之間數(shù)據(jù)的安全隔離，成為了云計算用戶關(guān)注的焦點。正是在這種環(huán)境下，虛擬化技術(shù)應(yīng)運而生。在存儲、計算、網(wǎng)絡(luò)虛擬化逐步規(guī)模應(yīng)用的階段，安全產(chǎn)品作為網(wǎng)絡(luò)側(cè)的不可或缺的業(yè)務(wù)，能否匹配數(shù)據(jù)中心虛擬化技術(shù)要求，滿足安全資源按需部署、快速交付、綜合防護的關(guān)鍵需求，其虛擬化架構(gòu)至關(guān)重要。

云計算；多租戶；安全隔離；虛擬化架構(gòu)

1 傳統(tǒng)虛擬化技術(shù)的解析

傳統(tǒng)的防火墻產(chǎn)品在解決虛擬化問題時通常采用以下方案。

在數(shù)據(jù)平面，圍繞轉(zhuǎn)發(fā)表，通過VRF或類似技術(shù)將轉(zhuǎn)發(fā)相關(guān)的表項（如路由表、ARP表）分割成多個邏輯的表，實現(xiàn)報文轉(zhuǎn)發(fā)的隔離。

在管理平面，為不同虛擬防火墻相關(guān)聯(lián)的管理員，實現(xiàn)管理的隔離。

在控制平面，需要針對每種業(yè)務(wù)逐一考慮虛擬化的改造，使其支持虛擬化。

這種虛擬化方案，本質(zhì)上是一種VPN多實例技術(shù)，是在非虛擬化的系統(tǒng)架構(gòu)上，對一些主要安全業(yè)務(wù)進行多實例的改造。這種方式只能對個別安全業(yè)務(wù)實現(xiàn)部分虛擬化，對其它安全業(yè)務(wù)難以進行多實例改造，系統(tǒng)可擴展性差。同時，由于方案缺乏統(tǒng)一的虛擬化架構(gòu)支撐，虛擬化的控制粒度很難精確控制，如無法精確了解每個虛擬防火墻的CPU、內(nèi)存占用情況。

2 新一代虛擬化架構(gòu)

考慮到當(dāng)前虛擬化技術(shù)方案的技術(shù)存在的各種問題，結(jié)合嵌入式安全產(chǎn)品的實際情況，彈性虛擬化安全架構(gòu)橫空出世。這種安全架構(gòu)本質(zhì)上是一種基于容器的、分布式架構(gòu)的1：N的虛擬化技術(shù)，通過彈性虛擬化技術(shù)，可以把一臺物理防火墻虛擬成多臺虛擬防火墻，多臺虛擬防火墻共享物理防火墻的接口、CPU、內(nèi)存、存儲、硬件引擎等資源。多臺虛擬防火墻相互獨立，每個虛擬防火墻實例對外呈現(xiàn)為一個完整的防火墻系統(tǒng)，即獨立的管理員、獨立的日志系統(tǒng)、獨立的安全策略、獨立的組網(wǎng)策略等，如圖1所示。

圖1 安全虛擬化示意圖

基于容器的虛擬化方案是一種輕量級的虛擬化技術(shù)，在一個安全引擎內(nèi)，通過唯一的OS內(nèi)核對系統(tǒng)硬件資源進行管理，每個虛擬防火墻作為一個容器實例運行在同一個內(nèi)核之上。

通過統(tǒng)一的OS內(nèi)核，可以細粒度的控制每個虛擬防火墻容器對CPU、內(nèi)存、存儲等硬件資源的利用率，也可以管理每個虛擬防火墻使用的物理接口、VLAN等資源，有完善的虛擬化資源管理能力。通過統(tǒng)一的調(diào)度接口，每個容器所能使用的資源支持動態(tài)的調(diào)整，比如可以根據(jù)業(yè)務(wù)情況，在不中斷虛擬防火墻業(yè)務(wù)的情況下，在線動態(tài)增加某個虛擬防火墻的內(nèi)存資源。

虛擬防火墻容器有自己獨立的進程上下文運行空間，容器與容器之間的運行空間完全隔離，天然具備了虛擬化特性。容器中，運行的防火墻業(yè)務(wù)系統(tǒng)（包括管理平面、控制平面、數(shù)據(jù)平面）具備獨立完整的業(yè)務(wù)功能。因此，從功能的角度看，虛擬化后的系統(tǒng)和非虛擬化的系統(tǒng)功能一致。

每個虛擬防火墻并不需要運行完整的操作系統(tǒng)，減少了由于完全虛擬化帶來的內(nèi)存開銷。從性能的角度，每個虛擬防火墻可以直接通過內(nèi)核和物理硬件交互，避免了和虛擬設(shè)備交互代理的性能損耗。

全分布式防火墻系統(tǒng)由多個I/O單元、多個交換引擎、多個控制引擎和多個安全處理引擎組成，各個處理引擎之間是主備/負載分擔(dān)的關(guān)系。分布式防火墻可以通過增加引擎提升系統(tǒng)處理能力，如通過增加交換單元擴展系統(tǒng)實際交換容量，通過增加安全處理引擎擴展防火墻的吞吐量、并發(fā)連接、虛擬防火墻數(shù)量等。這種形態(tài)的產(chǎn)品通常適用于對安全業(yè)務(wù)性能要求較高的場景。

在全分布式的產(chǎn)品形態(tài)中，系統(tǒng)的安全引擎可以按需配置，從而支持虛擬防火墻的橫向擴展，一臺物理防火墻系統(tǒng)可以通過增加安全板卡，實現(xiàn)虛擬防火墻數(shù)量的線性提升。因此，虛擬化容量可以實現(xiàn)按需定制，并且不再受單個物理安全處理引擎的處理能力限制。

3 新虛擬化架構(gòu)下的安全產(chǎn)品

H3C推出新一代高端全分布式多業(yè)務(wù)安全網(wǎng)關(guān)——SecPath M9000系列，M9000采用控制、業(yè)務(wù)、數(shù)據(jù)相分離的全分布式架構(gòu)，共有3個款型M9006、M9010和M9014。M9000系列秉承了上述的虛擬化架構(gòu)設(shè)計理念，創(chuàng)新性的實現(xiàn)了基于容器的真正意義上的虛擬防火墻，即安全ONE平臺（SOP）。

SOP之間實現(xiàn)了基于進程的真正相互隔離，而不是傳統(tǒng)的通過路由方式的隔離。每一個SOP系統(tǒng)都有自己獨立的運行空間，包括管理平面、控制平面、數(shù)據(jù)平面、以及完整的安全業(yè)務(wù)功能。每一個SOP均可以獨立的啟動、暫停和關(guān)閉，單個SOP故障不會對其它SOP和整個物理系統(tǒng)產(chǎn)生任何影響。

SOP通過統(tǒng)一的OS內(nèi)核可以對系統(tǒng)的靜態(tài)及動態(tài)的資源進行細粒度的劃分。其中，靜態(tài)資源有內(nèi)存、硬盤、接口、TCAM等，與此相關(guān)的邏輯資源包括并發(fā)會話、VPN隧道、安全策略、安全域、動態(tài)路由、VLAN等；動態(tài)資源有CPU，與此相關(guān)的邏輯資源包括吞吐量、新建速率、抗攻擊能力、VPN處理能力等。

SOP數(shù)量可以按照系統(tǒng)需求的變化動態(tài)調(diào)整?；赟OP的全分布式處理能力，在單個SOP能力不變的前提下，可以通過增加業(yè)務(wù)板的方式來擴展系統(tǒng)SOP數(shù)量的上限。

SOP能力可以根據(jù)用戶需求動態(tài)的進行調(diào)整，當(dāng)業(yè)務(wù)需求變更時可以在不重啟SOP的前提下在線平滑調(diào)整CPU、內(nèi)存等資源，從而保障用戶業(yè)務(wù)完全不受影響。

4 結(jié)束語

在以云計算、彈性計算為典型應(yīng)用的虛擬化數(shù)據(jù)中心中，圍繞著計算資源虛擬化，已隨著虛擬化技術(shù)在云計算數(shù)據(jù)中心的部署逐步深入，安全資源的虛擬化對于運營商建設(shè)網(wǎng)絡(luò)安全端到端虛擬化有著非常重要的作用。

無論是單租戶內(nèi)部的虛擬化實例的資源限制和保障、或者是多租戶之間的數(shù)據(jù)安全隔離和管理完全獨立，及安全資源池性能的隨需擴展等需求，相比較傳統(tǒng)的安全虛擬化技術(shù)，新一代彈性虛擬化架構(gòu)在實現(xiàn)方式上有了質(zhì)的提升，通過合理部署該技術(shù)架構(gòu)，將在簡化網(wǎng)絡(luò)運維，提升安全資源管理方面有積極的作用。

News

第九屆通信運維年會成功召開

11月21日，第九屆中國通信網(wǎng)絡(luò)運維年會在北京成功召開。中國通信企業(yè)協(xié)會副會長兼秘書長苗建華、工業(yè)和信息化部電信管理局副巡視員張迎憲、國務(wù)院國資委專職外部董事張曉鐵、工業(yè)和信息化部科技司調(diào)研員馬民、中國通信企業(yè)協(xié)會通信網(wǎng)絡(luò)運維專業(yè)委員會主任葛鐳、中國電信集團公司、中國移動通信集團公司、中國聯(lián)通網(wǎng)絡(luò)分公司等相關(guān)領(lǐng)導(dǎo)悉數(shù)出席本屆大會。

大會以“提升維護服務(wù)水平 助力寬帶中國戰(zhàn)略”為主題，由中國通信企業(yè)協(xié)會通信網(wǎng)絡(luò)運維專業(yè)委員會主辦，中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司運行維護部擔(dān)當(dāng)輪值主席單位，中國電信集團公司網(wǎng)絡(luò)運行維護事業(yè)部、中國移動通信集團公司網(wǎng)絡(luò)部提供支持，中國通信運維網(wǎng)承辦，華為技術(shù)服務(wù)有限公司協(xié)辦。

Security virtualization for DC clouds

LIU Peng-yu
(H3C Technologies Co., Ltd., Beijing 100052, China)

DC clouds must adapt to the continuous changes of individual tenants' requirements for storage, computing and network resources to improve resource utilization. In addition, DC clouds must provide data isolation among tenants that share cloud resources to improve security. To meet all those needs, DCs are gradually deployed with technologies for virtualizing storage, computing and networking resources. Under this background, security products must have their own virtualization architecture to meet the requirements of DC virtualization, and provide on-demand security resource deployment, fast delivery, and comprehensive protection.

cloud computing; multi-tenant; data isolation; virtualization architecture

TN918

A

1008-5599（2013）12-0074-03

2013-11-16