朱洪武

(西南民族大學信息與教育技術(shù)中心，四川 成都 610041)

隨著云計算的大規(guī)模普及，大量公司和高校已經(jīng)將傳統(tǒng)的數(shù)據(jù)中心改造為基于虛擬化技術(shù)的軟件定義數(shù)據(jù)中心(SDDC).如今的虛擬化，已經(jīng)不僅是服務(wù)器的虛擬化，網(wǎng)絡(luò)虛擬化、存儲虛擬化、桌面虛擬化以及安全虛擬化等虛擬化技術(shù)及其衍生產(chǎn)品已經(jīng)接踵而至，在我們的生產(chǎn)生活中發(fā)揮著巨大作用.虛擬化技術(shù)已經(jīng)成為軟件定義數(shù)據(jù)中心的靈魂.使用虛擬化技術(shù)，可以更快、更靈活地實現(xiàn)業(yè)務(wù)的開展和支持；可以隨著業(yè)務(wù)需求的變更，動態(tài)地實現(xiàn)資源的調(diào)配；此外，還能避免硬件設(shè)備的重復(fù)投資建設(shè).

以作者所在的高校為例，學校幾年前就將傳統(tǒng)數(shù)據(jù)中心全面改造為基于VMware虛擬化技術(shù)的軟件定義數(shù)據(jù)中心.虛擬化云計算基礎(chǔ)平臺實現(xiàn)了服務(wù)業(yè)務(wù)模塊化、需求自主化、管理一體化和資源使用計量管理.學校協(xié)同辦公、電子郵件、財務(wù)查詢等各大核心業(yè)務(wù)均由數(shù)據(jù)中心提供支撐，同時，又不斷有新業(yè)務(wù)在數(shù)據(jù)中心上線，數(shù)據(jù)中心的業(yè)務(wù)負載和復(fù)雜度直線上升.數(shù)據(jù)中心的穩(wěn)定運行就至關(guān)重要，特別是數(shù)據(jù)中心的業(yè)務(wù)數(shù)據(jù)安全，更是重中之重[1].

1 數(shù)據(jù)中心內(nèi)部存在的網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)的安全威脅，主要來自于黑客攻擊、病毒入侵、惡意用戶和用戶的誤操作.傳統(tǒng)的數(shù)據(jù)中心通常預(yù)先規(guī)劃好網(wǎng)絡(luò)拓撲結(jié)構(gòu)，劃分好VLAN，利用不同的物理網(wǎng)絡(luò)來區(qū)分不同的業(yè)務(wù).業(yè)務(wù)的重要程度不同，對應(yīng)的安全級別也不同.傳統(tǒng)的數(shù)據(jù)中心一般認為安全威脅來自于網(wǎng)絡(luò)外部，數(shù)據(jù)中心內(nèi)部相對安全.如圖1所示，通常只在對外的邊界上設(shè)置防火墻，抵御外部的攻擊.在邊界防火墻上設(shè)置大量規(guī)則，針對每一個獨立應(yīng)用，關(guān)閉其不需要的端口，防止被外部攻擊.而在數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)設(shè)備管控上，通常不采取措施.

圖1 傳統(tǒng)數(shù)據(jù)中心安全邊界Fig.1 Traditional data center security boundary

這是因為，如果要防范數(shù)據(jù)中心內(nèi)部不同的業(yè)務(wù)系統(tǒng)之間的安全威脅，就需要在數(shù)據(jù)中心內(nèi)額外配置防火墻，這將是一筆巨大的開銷.并且，系統(tǒng)管理人員對防火墻的維護也是相當?shù)姆爆?此外，當業(yè)務(wù)狀況進行調(diào)整，不同業(yè)務(wù)對應(yīng)的服務(wù)器的流量訪問發(fā)生改變，就需要重新配置網(wǎng)絡(luò)和防火墻.如果數(shù)據(jù)中心內(nèi)部沒有按照業(yè)務(wù)的需求進行東西向流量的隔離，當一個安全性較低的服務(wù)器被攻擊并感染上木馬或者病毒后，就會迅速感染數(shù)據(jù)中心內(nèi)部其他服務(wù)器，學校的教學和科研將受到影響.

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下，東西向流量之間配置防火墻繁瑣、費時.在虛擬化網(wǎng)絡(luò)中，NSX通過軟件配置就能實現(xiàn)這個功能，大大節(jié)省了人力和財力.傳統(tǒng)物理網(wǎng)絡(luò)通過網(wǎng)段或者VLAN隔離不同網(wǎng)絡(luò)，也僅僅能做到物理服務(wù)器之間隔離，同一臺服務(wù)器上的虛機之間沒法做到隔離.公安部2017年頒布的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第2部分:云計算安全擴展要求》(等保2.0)中明確提到:要求云租戶能夠?qū)崿F(xiàn)虛擬機之間的安全隔離、安全策略能跟隨虛擬機進行遷移等一些列針對云計算、虛擬化環(huán)境的安全要求.不具備網(wǎng)絡(luò)虛擬化功能的數(shù)據(jù)中心很難解決上訴問題.[2-10]

2 基于NSX的解決方案

基于云計算的網(wǎng)絡(luò)虛擬化NSX，在云環(huán)境中提供了一個安全的虛擬化網(wǎng)絡(luò)，將各業(yè)務(wù)、各虛擬機和物理網(wǎng)絡(luò)隔離開.并且，將傳統(tǒng)的網(wǎng)絡(luò)功能轉(zhuǎn)變?yōu)槔密浖姆绞綄崿F(xiàn)，從而提供了轉(zhuǎn)發(fā)效率，減少發(fā)夾彎流量，提升端到端的安全防護.NSX在整個數(shù)據(jù)中心的物理網(wǎng)絡(luò)設(shè)備上，構(gòu)建一個虛擬化交換機，所有的虛擬機通過虛擬網(wǎng)卡連接在這個虛擬交換機上，而這個虛擬交換機橫跨整個集群所有物理服務(wù)器.我們把NSX構(gòu)建的這個虛擬交換機稱之為分布式交換機(Distributed Switch).NSX在虛擬網(wǎng)絡(luò)上可以提供常規(guī)的路由器、負載均衡和防火墻功能外，還能提供傳統(tǒng)物理網(wǎng)絡(luò)所不能實現(xiàn)或不容易現(xiàn)實的一些網(wǎng)絡(luò)安全功能.在安全聯(lián)動方面，NSX提供了安全標準接口，可供第三方安全產(chǎn)品接入，為無代理殺毒等安全解決方案提供了平臺保障.

NSX在已有的VLAN隔離的基礎(chǔ)上，提出了“微分段”的概念.如圖2所示，采用微分段模式，可以為一臺虛擬服務(wù)器或多臺虛擬服務(wù)器定義一個安全組，在安全組之間構(gòu)建防火墻，設(shè)置防火墻安全策略.這樣，就能真正做到虛擬服務(wù)器與虛擬服務(wù)器之間的隔離，精細度更高.還能限制任意兩臺虛擬服務(wù)器之間的訪問，只允許授信虛擬服務(wù)器之間互訪.NSX的微分段是等保2.0的最佳解決方案.

圖2 微分段安全組隔離Fig.2 micro-section security group isolation

NSX微分段能夠得以實現(xiàn)虛擬機級別的安全防護，正是依賴其構(gòu)建在分布式交換機的分布式防火墻.分布式防火墻部署在數(shù)據(jù)中心的虛擬化層ESXi上，和每一臺虛擬服務(wù)器的虛擬網(wǎng)卡相連，做到了集中管理、分布處理，實現(xiàn)了虛擬網(wǎng)卡級別的最細化的安全管控.

我們利用NSX為虛擬服務(wù)器設(shè)置安全組，將具有相同業(yè)務(wù)的虛擬服務(wù)器歸屬到同一個安全組，再針對安全組之間的數(shù)據(jù)往來要求，配置相應(yīng)的防火墻安全規(guī)則，就能實現(xiàn)虛擬服務(wù)器之間的隔離.并且，安全組的規(guī)劃具有動態(tài)性，可以根據(jù)虛擬服務(wù)器名字或者標簽的變化，動態(tài)增減組內(nèi)的虛擬服務(wù)器，虛擬服務(wù)器之間的安全隔離和安全策略也能跟隨虛擬服務(wù)器進行遷移，滿足云計算和虛擬化環(huán)境的安全要求[11].

3 虛擬服務(wù)器隔離實例

當前云環(huán)境下，在同一臺計算主機上，有四臺虛擬服務(wù)器，其中有兩臺服務(wù)器用于學校在線課程，一臺為在線課程登錄播放系統(tǒng)，IP地址:10.240.6.150，一臺為在線課程數(shù)字資源數(shù)據(jù)庫，IP地址:10.240.6.151.另外兩臺服務(wù)器是學校保衛(wèi)處使用，一臺為監(jiān)控錄像的查詢系統(tǒng)，IP地址:10.240.6.152，一臺為監(jiān)控錄像存儲的數(shù)據(jù)庫，IP地址:10.240.6.153.四臺虛擬服務(wù)器都關(guān)聯(lián)到vCloudvRA-V76分段，處于同一VLAN.由于業(yè)務(wù)需求，在線課程登錄播放服務(wù)器和在線課程數(shù)字資源服務(wù)器需要發(fā)布到公網(wǎng)，提供給所有需要進行在線學習的教師和學生使用.而保衛(wèi)處的監(jiān)控查詢和錄像存儲服務(wù)器不需要發(fā)布到公網(wǎng)，只在校園網(wǎng)內(nèi)提供給有權(quán)限的人員使用.處于公網(wǎng)環(huán)境下的服務(wù)器，相對于校園網(wǎng)環(huán)境下的服務(wù)器，面臨著更多的網(wǎng)絡(luò)安全威脅，更容易由于系統(tǒng)本身漏洞或者黑客攻擊等行為，感染病毒或者木馬.如果基于傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)，處于同一網(wǎng)段的這四臺虛擬服務(wù)器通常沒有進行隔離，一旦公網(wǎng)服務(wù)器被病毒感染，很容易就會導(dǎo)致同網(wǎng)段的其他虛擬服務(wù)器也被病毒感染.

3.1 添加標記創(chuàng)建安全組

利用NSX的微分段，我們可以較容易地將在線學習平臺的服務(wù)器和保衛(wèi)處的監(jiān)控錄像平臺的服務(wù)器隔離，禁止兩個不同業(yè)務(wù)之間的服務(wù)器互相訪問，提高虛擬機的安全性，將威脅降到最低.

我們在NSX平臺上，找到這兩個業(yè)務(wù)的四臺虛擬服務(wù)器，四臺服務(wù)器處在同一個VLAN中.為了便于對它們進行業(yè)務(wù)的區(qū)分，可以將四臺服務(wù)器分別添加安全標記.如圖3所示，屬于在線課程業(yè)務(wù)的兩臺虛擬機添加的標記為:在線課程，屬于校園監(jiān)控業(yè)務(wù)的兩臺服務(wù)器添加的標記為:校園監(jiān)控.為虛擬機添加標記的好處在于，當某一個業(yè)務(wù)有多臺虛擬機，并且虛擬機的名稱并不都是容易識別的中文，可以通過添加標記的方式，方便地定位該業(yè)務(wù)的所有虛擬機.并且，當一個業(yè)務(wù)由于擴展的需要，進行二期甚至三期項目建設(shè)，我們也可以通過標記，將不同時期創(chuàng)建的虛擬機進行更細致地區(qū)別.

圖3 虛擬服務(wù)器標記Fig.3 tags of virtual machines

為虛擬服務(wù)器添加標記后，我們就可以對NSX平臺納管的所有虛擬服務(wù)器進行安全組的劃分.我們創(chuàng)建了“在線課程安全組”和“校園監(jiān)控安全組”.其中，“在線課程安全組”成組條件為:虛擬機標記＝“在線課程”，“校園監(jiān)控安全組”的成組條件為:虛擬機標記＝“校園監(jiān)控”.如圖4所示，這四臺虛擬服務(wù)器就分別屬于兩個不同的安全組.

圖4 NSX安全組Fig.4 security groups in NSX

NSX為創(chuàng)建安全組提供了多種成組條件，我們還可以根據(jù)虛擬服務(wù)器的名字和操作系統(tǒng)組成不同的安全組.如果是要根據(jù)業(yè)務(wù)的不同，進行細致隔離，我覺得用標記最方便和直觀.

3.2 為安全組配置防火墻策略

我們利用NSX提供的微分段，是為了隔離在線課程業(yè)務(wù)和校園監(jiān)控業(yè)務(wù)之間的互相通信，所以，我們需要配置一個分布式防火墻策略，禁止“在線課程安全組”和“校園監(jiān)控安全組”之間互相通信.如圖5所示，我們新建一個防火墻策略，策略名稱為“在線課程與校園監(jiān)控”，在此策略下，建立兩個規(guī)則.規(guī)則1:通信源為校園監(jiān)控安全組，通信目標為在線課程安全組，拒絕源到目標的任意服務(wù)的通信.規(guī)則2:通信源為在線課程安全組，通信目標為校園監(jiān)控安全組，拒絕源到目標的任意服務(wù)的通信.

圖5 安全組防火墻策略Fig.5 firewall policies for security groups

如圖6所示，同時啟用防火墻兩個規(guī)則，并發(fā)布生效后，兩個安全組之間的虛擬服務(wù)器相互通信就被立刻禁止，關(guān)閉規(guī)則后，安全組之間的通信恢復(fù).整個過程中，同一個安全組內(nèi)的虛擬服務(wù)器之間的通信不受影響.

圖6 兩個安全組之間的通信情況Fig.6 communication between two security groups

如果只生效規(guī)則1，則為校園監(jiān)控安全組到在線課程安全組的單向通信禁止，如果只生效規(guī)則2，則為在線課程安全組到校園監(jiān)控安全組的單向通信禁止.我們可以根據(jù)業(yè)務(wù)的需求和調(diào)整，在NSX的管理界面進行動態(tài)切換.相對于登錄到防火墻后臺進行設(shè)置，可讀性和易用性均有了大幅度的提高[12].

3.3 安全組成員動態(tài)調(diào)整

如果后期業(yè)務(wù)擴大，需要增加新的服務(wù)器，我們只需要將新創(chuàng)建的服務(wù)器添加對應(yīng)的標記，該服務(wù)器立刻便能加入對應(yīng)的安全組.基于此安全組的防火墻策略也立即對此虛擬服務(wù)器生效.如圖7所示，我們添加一臺操作系統(tǒng)為CentOS7.6的在線課程備用服務(wù)器，IP地址:10.240.6.154，添加“在線課程”標記，此服務(wù)器自動加入了“在線課程安全組”，應(yīng)用了之前啟用的防火墻策略，被禁止與“校園監(jiān)控安全組”之間的相互通信.

圖7 新建虛擬機自動加入安全組應(yīng)用防火墻策略Fig.7 new virtual machine automatically joins security group and applies firewall policy

4 結(jié)語

利用NSX虛擬網(wǎng)絡(luò)提供的微分段，我們可以非常輕松的對同一個VLAN下的不同虛擬服務(wù)器進行隔離.而在傳統(tǒng)網(wǎng)絡(luò)中，是很難實現(xiàn)精細度如此高的隔離，即便能夠做到，也需要大量的硬件設(shè)備和邏輯上的網(wǎng)段劃分.采用物理手段實現(xiàn)的隔離，對于后期服務(wù)器的管理和維護都是一個非常沉重的負擔，對服務(wù)器管理人員也非常不友好.此外，NSX提供的安全標記，還為后期虛擬服務(wù)器和第三方安全產(chǎn)品之間提供了一個標準的組件.比如，我們可以基于這樣的安全標記，實現(xiàn)虛擬服務(wù)器和防病毒軟件的無代理殺毒，實現(xiàn)低資源占用的自動化安全防護等.NSX還有很多的安全功能，亟待云計算平臺的運維管理人員去發(fā)掘.熟悉并合理使用NSX的安全防護功能，能保證數(shù)據(jù)中心的虛擬服務(wù)器高效、穩(wěn)定地運行，保障教學、科研工作持續(xù)穩(wěn)定地開展.