◆何 軍

（1.上?？萍季W(wǎng)絡(luò)通信有限公司 上海 200233；2.上海大數(shù)據(jù)試驗(yàn)場(chǎng)工程技術(shù)研究中心 上海 200233）

面向大中型企業(yè)多租戶云部署模式的安全服務(wù)設(shè)計(jì)

◆何 軍1、2

（1.上?？萍季W(wǎng)絡(luò)通信有限公司 上海 200233；2.上海大數(shù)據(jù)試驗(yàn)場(chǎng)工程技術(shù)研究中心 上海 200233）

IT系統(tǒng)的云化遷移是一個(gè)趨勢(shì)。租戶面對(duì)遷移計(jì)劃時(shí)，必然對(duì)云服務(wù)商提出安全要求，同時(shí)也會(huì)有原有安全設(shè)備如何有效利舊的考慮。云服務(wù)商面向企業(yè)云化的市場(chǎng)機(jī)遇時(shí)，一方面需要設(shè)計(jì)云平臺(tái)如何提供安全服務(wù)，另一方面也要面對(duì)多租戶的個(gè)性化安全服務(wù)需求，如何經(jīng)濟(jì)有效地去解決問(wèn)題。本文從云服務(wù)商的視角分析了幾種設(shè)計(jì)思路并給出了實(shí)務(wù)上的解決方案。

云化遷移；安全服務(wù)；云平臺(tái)

0 前言

云[1]由概念轉(zhuǎn)為企業(yè)實(shí)務(wù)，應(yīng)該是這三年來(lái)的相當(dāng)明顯的一大趨勢(shì)。一部分云服務(wù)商搭平臺(tái)，推出公有云的云主機(jī)、塊存儲(chǔ)等等服務(wù)[2]，以求先有雞后有蛋。另一部份服務(wù)商則在其傳統(tǒng)系統(tǒng)集成和IT服務(wù)外包客戶的IT架構(gòu)轉(zhuǎn)型時(shí)，順應(yīng)客戶需求的變化，提供混合云的解決方案，配合建設(shè)多租戶云平臺(tái)，有蛋再有雞。

企業(yè)用戶的IT架構(gòu)轉(zhuǎn)型，IT系統(tǒng)中的應(yīng)用服務(wù)遷移到云上時(shí)，一個(gè)問(wèn)題應(yīng)運(yùn)而生：用戶業(yè)務(wù)信息系統(tǒng)原有安全防護(hù)需求如何滿足？原有安全設(shè)備是否隨遷入云？原有安全設(shè)備如何有效利舊？

云服務(wù)商一方面需要設(shè)計(jì)云平臺(tái)的安全性[3]，以提供傳統(tǒng)上已配備的安全服務(wù)功能、虛擬化多租戶帶來(lái)的隔離安全和東西向流量感知與控制等新功能，另一方面也要面對(duì)多租戶的個(gè)性化安全服務(wù)需求，如何經(jīng)濟(jì)有效地去滿足的問(wèn)題。

1 安全服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)

根據(jù)安全功能與云平臺(tái)的耦合緊密程度,可以分為三類(lèi)設(shè)計(jì)。

其一是傳統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)[4]，安全功能在云外存在，把云平臺(tái)視為一個(gè)邏輯大服務(wù)器，以組網(wǎng)技術(shù)，個(gè)性化地實(shí)施用戶安全設(shè)備的串接?？蛻粼涮椎陌踩O(shè)備參與到云中虛擬私有網(wǎng)的組網(wǎng)中去，繼續(xù)發(fā)揮其特定的、高于云平臺(tái)一般性安全配置的安全作用。此方案的核心是求解混合云組網(wǎng)模式。

這可細(xì)分為兩個(gè)常規(guī)的應(yīng)用場(chǎng)景。用戶的一種應(yīng)用場(chǎng)景是，其在云平臺(tái)上租用的云主機(jī)在用戶整個(gè)企業(yè)IT系統(tǒng)中，處于DMZ區(qū)或外網(wǎng)的位置。GRE隧道方式互聯(lián)，適合于云平臺(tái)與企業(yè)內(nèi)網(wǎng)互聯(lián)；物理路由器配策略路由方式，則適合于云平臺(tái)的互聯(lián)網(wǎng)出口也承擔(dān)企業(yè)上網(wǎng)的主通道職責(zé)。因?yàn)橛稍破脚_(tái)軟件構(gòu)建的GRE隧道，其帶寬效率和穩(wěn)定性有不足。相較采用傳統(tǒng)路由器（路由交換機(jī)）操作系統(tǒng)提供的策略路由有優(yōu)勢(shì)。也可考慮使用SDN交換機(jī)，基于VxLAN技術(shù)來(lái)去做Overlay，基于物理交換機(jī)來(lái)按需建隧道。其優(yōu)點(diǎn)第一是隧道數(shù)簡(jiǎn)單；第二是吞吐大，處理能力強(qiáng)，可保證東西向流量的處理。

另一種應(yīng)用場(chǎng)景是，用戶在云平臺(tái)上租用的云主機(jī)在用戶整個(gè)企業(yè)IT系統(tǒng)中，處于內(nèi)網(wǎng)的位置，需要通過(guò)與用戶其他子網(wǎng)的互聯(lián)連通到互聯(lián)網(wǎng)出口。這樣，客戶原有安全需求，可依然通過(guò)其原有安全設(shè)施的部署來(lái)實(shí)現(xiàn)，不因?yàn)椴糠謽I(yè)務(wù)系統(tǒng)遷移到云平臺(tái)而喪失防護(hù)。

其二是以云平臺(tái)可選安全服務(wù)項(xiàng)形式，內(nèi)在地提供公共服務(wù)。這個(gè)思路是，如果在云平臺(tái)基礎(chǔ)上，再配置合適的第三方安全設(shè)施，可滿足客戶對(duì)安全增值服務(wù)的需求，即可不必再串接用戶原有安全設(shè)備。這也可細(xì)分為兩種模式。一是緊耦合的安全資源池模式。此種思路認(rèn)為，在云環(huán)境中，安全同樣是應(yīng)該以服務(wù)的形式提供給租戶。對(duì)數(shù)據(jù)中心而言，自動(dòng)化、可運(yùn)維、出錯(cuò)率少是關(guān)鍵?；诖?，為嚴(yán)肅業(yè)務(wù)服務(wù)的云應(yīng)該建立安全資源池。用戶可通過(guò)安全業(yè)務(wù)編排，編排服務(wù)鏈。服務(wù)鏈可以通過(guò)SDN交付至客戶的邏輯網(wǎng)絡(luò)，同時(shí)，服務(wù)鏈可以隨用戶業(yè)務(wù)負(fù)載變化。數(shù)據(jù)中心可根據(jù)虛擬網(wǎng)絡(luò)功能及處理負(fù)載進(jìn)行收費(fèi)。緊耦合的另一優(yōu)勢(shì)是云環(huán)境下的監(jiān)控和可視化，并針對(duì)安全模型進(jìn)行分析，可以展現(xiàn)至租戶、管理員等?？梢詾榭蛻籼峁┚W(wǎng)絡(luò)行為追蹤回放，安全預(yù)警等服務(wù)。對(duì)于管理員來(lái)說(shuō)，運(yùn)維排錯(cuò)，分析預(yù)測(cè)都是在云環(huán)境中需要的。同時(shí)這一模式的難點(diǎn)是，緊耦合模式需要對(duì)云平臺(tái)進(jìn)行深度開(kāi)發(fā)和定制，并與第三方安全廠商緊密合作（接口開(kāi)放）。

另一模式是松耦合的第三方安全設(shè)備接入服務(wù)[5]。相對(duì)松的耦合形式是，在云平臺(tái)出口交換機(jī)上，物理上旁路、邏輯上串接安全設(shè)備。功能上可滿足業(yè)務(wù)需求，但操作上需要人工跨多個(gè)設(shè)備或平臺(tái)界面，對(duì)于運(yùn)維排障工作帶來(lái)風(fēng)險(xiǎn)，也難以實(shí)現(xiàn)彈性配置、自服務(wù)的效果。

更關(guān)鍵的現(xiàn)實(shí)性或難點(diǎn)在于：安全是個(gè)無(wú)底洞，第三方安全功能焉能配齊？通常易于部署配置的是防毒類(lèi)產(chǎn)品（主機(jī)層級(jí)部署）和平臺(tái)層級(jí)串接防火墻、負(fù)載均衡設(shè)備。

第三種設(shè)計(jì)思路可謂是中間道路，即云平臺(tái)第三方增強(qiáng)型公共安全服務(wù)+單租戶安全設(shè)備混合云組網(wǎng),也就是說(shuō),常規(guī)安全服務(wù)由云平臺(tái)提供,特殊需求則特定部署串接到用戶混合云組網(wǎng)中。

圖1 云服務(wù)運(yùn)營(yíng)商的安全體系全視角

正如圖1所示，作為云服務(wù)運(yùn)營(yíng)商，提供傳統(tǒng)IDC的安全內(nèi)容（物理安全、網(wǎng)絡(luò)安全），結(jié)合云平臺(tái)的安全措施，即可構(gòu)成云服務(wù)的常規(guī)服務(wù)。對(duì)于系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全這樣在客戶虛機(jī)內(nèi)部的安全需求，則根據(jù)第三方安全產(chǎn)品的部署特點(diǎn)和租戶需求的規(guī)?；攸c(diǎn)，作適宜的服務(wù)提供安排。

2 業(yè)界云安全服務(wù)比較

從現(xiàn)行提供云服務(wù)的技術(shù)實(shí)現(xiàn)來(lái)看，業(yè)界主要的安全服務(wù)架構(gòu)可分為三類(lèi)。

第一類(lèi)是SDN（軟件定義網(wǎng)絡(luò)）實(shí)現(xiàn)安全。云平臺(tái)軟件定義、提供、配置、并可計(jì)量安全功能服務(wù)，其優(yōu)點(diǎn)是：功能內(nèi)在于云平臺(tái)，安全成為各類(lèi)資源池的一類(lèi)；成本有優(yōu)勢(shì)；自服務(wù)便捷。缺點(diǎn)則表現(xiàn)為：軟件實(shí)現(xiàn)，性能有局限；且當(dāng)前可實(shí)現(xiàn)功能有局限，不是所有功能都可SDN。通常云平臺(tái)都實(shí)現(xiàn)了FW；VLAN隔離等安全功能。

第二類(lèi)是SMN（軟件納管網(wǎng)絡(luò)）實(shí)現(xiàn)安全。云平臺(tái)通過(guò)與第三方安全設(shè)備（API）的互操作，實(shí)現(xiàn)深度融合，從云平臺(tái)界面中實(shí)現(xiàn)編排配置、服務(wù)計(jì)量。其優(yōu)點(diǎn)是：自服務(wù)便捷。缺點(diǎn)是需與安全設(shè)備商逐家溝通，定制開(kāi)發(fā)；且云平臺(tái)如采用安全硬件資源池，投資高；而安全VE版有限。此類(lèi)方案的代表，云杉可納管綠盟的漏掃（VE版）；天融信、hillstone的防火墻；九州云納管hillstone的防火墻。

第三類(lèi)是由VLAN/VxLAN 對(duì)接外部安全設(shè)備。用戶安全設(shè)備通過(guò)專(zhuān)線或VPN連接專(zhuān)用安全設(shè)備，歸入云內(nèi)VLAN/VxLAN實(shí)現(xiàn)云內(nèi)流量外出前的安全處理。優(yōu)點(diǎn)是，用戶按需配置安全設(shè)備，個(gè)性化滿足需求；利舊原有安全設(shè)備。缺點(diǎn)表現(xiàn)在：沒(méi)有資源池化的復(fù)用優(yōu)勢(shì)；需要二層/三層網(wǎng)絡(luò)互聯(lián)的配置,或較為復(fù)雜。

3 B類(lèi)用戶云安全服務(wù)典型案例

在YD云（某運(yùn)營(yíng)云服務(wù)商云品牌）中的某B類(lèi)用戶，為滿足等保要求，需要掛載物理的防火墻、WAF、IPS等設(shè)備。

初始探討了方案兩種。一是網(wǎng)絡(luò)安全設(shè)備IPS/IDS/WAF掛接在核心/出口交換機(jī)上。用戶的配置公網(wǎng)IP的云主機(jī)在安全設(shè)備中可以直接進(jìn)行安全檢查，但其配私網(wǎng)IP及基礎(chǔ)網(wǎng)絡(luò)IP的云主機(jī)則無(wú)法通過(guò)安全設(shè)備進(jìn)行保護(hù)。

圖2 云平臺(tái)核心/出口交換機(jī)掛接安全設(shè)備

探討方案二是在云平臺(tái)萬(wàn)兆接入交換機(jī)上，串聯(lián)網(wǎng)絡(luò)安全設(shè)備IPS/IDS/WAF。此方案下，用戶配公網(wǎng)IP的云主機(jī)流量不經(jīng)過(guò)串聯(lián)在接入交換機(jī)上的網(wǎng)絡(luò)安全設(shè)備上，而是隨云平臺(tái)原出口流向，走核心交換機(jī)出口，安全設(shè)備對(duì)公網(wǎng)流量起不到保護(hù)作用。此時(shí)，用戶配置云內(nèi)基礎(chǔ)網(wǎng)絡(luò)（平臺(tái)私有）IP的云主機(jī)因直連接入交換機(jī)的私網(wǎng)與云內(nèi)基礎(chǔ)網(wǎng)絡(luò)是互通的，此部分流量可享有安全防護(hù)。這里要求網(wǎng)絡(luò)安全設(shè)備提供DNAT，SNAT功能。

對(duì)于入流量，IP組為（Internet訪問(wèn)IP，客戶公網(wǎng)IP）-（SNAT，DNAT）à（網(wǎng)絡(luò)安全設(shè)備內(nèi)網(wǎng)IP，YD云基礎(chǔ)網(wǎng)絡(luò)IP）。在網(wǎng)絡(luò)安全設(shè)備上記錄響應(yīng)的信息，在出流量時(shí)要做逆變化。SNAT保證出流量時(shí)，流量從客戶網(wǎng)絡(luò)設(shè)備原路返回，而不是從YD云的出口去。DNAT則是入流量時(shí)直接訪問(wèn)YD內(nèi)基礎(chǔ)網(wǎng)絡(luò)中的虛機(jī)。對(duì)于出流量，IP組（基礎(chǔ)網(wǎng)絡(luò)IP，客戶網(wǎng)絡(luò)設(shè)備內(nèi)網(wǎng)IP）--客戶網(wǎng)絡(luò)設(shè)備進(jìn)行（SNAT，DNAT）à轉(zhuǎn)化為（網(wǎng)絡(luò)設(shè)備公網(wǎng)IP，Internet訪問(wèn)IP）。私有網(wǎng)絡(luò)IP VM：私有網(wǎng)絡(luò)IP VM通過(guò)GRE與安全設(shè)備打通后才會(huì)受到安全設(shè)備的保護(hù)。

結(jié)論是，YD云的云內(nèi)網(wǎng)絡(luò)無(wú)法接入安全設(shè)備，安全方案要通過(guò)云外網(wǎng)絡(luò)安全設(shè)備來(lái)實(shí)現(xiàn)，其組網(wǎng)方案與傳統(tǒng)安全解決方案無(wú)異。

圖3 云平臺(tái)接入交換機(jī)掛接安全設(shè)備

物理專(zhuān)線之間的隔離目前比較折中的辦法是通過(guò)交換機(jī)的ACL規(guī)則實(shí)現(xiàn)，但這種方案會(huì)造成交換機(jī)的CPU使用率過(guò)高，網(wǎng)絡(luò)工程師不推薦使用。為了分擔(dān)CPU負(fù)載，最適宜的方案是云平臺(tái)核心/出口交換機(jī)之上跑三層的路由交換機(jī)設(shè)上終結(jié)專(zhuān)線，且其EIP邏輯接口上掛ACL。

4 總結(jié)和展望

企業(yè)IT架構(gòu)的云化轉(zhuǎn)型是一種趨勢(shì)。這其中安全功能實(shí)現(xiàn)是轉(zhuǎn)型中需要銜接好的一個(gè)重要功能域。對(duì)于云環(huán)境來(lái)說(shuō)，SDN是一個(gè)理想的方向，但目前業(yè)界的發(fā)展尚處在探索中，尚未出現(xiàn)統(tǒng)一的標(biāo)準(zhǔn)和盡如人意的解決方案。于是，云內(nèi)云外各承擔(dān)一步分安全功能，共同滿足用戶需求是一個(gè)現(xiàn)實(shí)的路徑。

不論SDN或是硬件耦合參與，云平臺(tái)納管安全功能，實(shí)現(xiàn)自動(dòng)化、彈性資源提供都是一個(gè)誘人的選擇，這也是YD云將進(jìn)一步完善服務(wù)內(nèi)容的一個(gè)努力方向。

[1]張弘.軟件定義的新型網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)計(jì)研究.[D]成都：電子科技大學(xué)，2013.

[2]龔向陽(yáng).一種面向多樣化網(wǎng)絡(luò)業(yè)務(wù)融合的SDN網(wǎng)絡(luò)架構(gòu).[J]北京：北郵，2013.

[3]趙恒.基于SDN架構(gòu)的電信承載網(wǎng)和BNG設(shè)備演進(jìn)思路.[R]河南：中國(guó)電信河南分公司，2013.

[4]CISA 2015培訓(xùn)教材[D].上海：交大慧谷培訓(xùn)中心，2015.

[5]H3C.新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐[D].北京：電子工業(yè)出版社，2013.