DOI：10.19850/j.cnki.2096-4706.2024.01.039

收稿日期：2023-06-19

基金項目：中國國家鐵路集團有限公司科研項目（P2021S005）

摘? 要：隨著數據中心內部應用及數據存儲增多、網絡內部流量的增大，所面臨的安全性風險也在不斷增加，傳統(tǒng)網絡安全防護技術中可以通過劃分業(yè)務子網、配置防火墻策略等方式，來實現業(yè)務之間的隔離，無法滿足不同業(yè)務虛擬機之間的隔離。在零信任安全背景下，數據中心云計算環(huán)境中產生了新的網絡安全需求，SDN網絡環(huán)境下通過微分段技術可以在數據中心內創(chuàng)建更加精細的安全區(qū)域，進而部署更加靈活的安全策略，提升網絡安全性。

關鍵詞：數據中心；安全隔離；微分段

中圖分類號：TP309.2? 文獻標識碼：A? 文章編號：2096-4706（2024）01-0185-04

Research and Application of Network Security Isolation Technology for Data Center Based on Micro-segmentation

ZUO Yinan

（China Railway Information Technology Group Co.， Ltd.， Beijing? 100038， China）

Abstract： With the increase in internal applications and data storage in data centers， as well as the increase in internal network traffic， the security risks are also constantly increasing. In traditional network security protection technologies， isolation between services can be achieved by dividing business subnets， configuring ACL and other strategies， and it is unable to meet the isolation between different business virtual machines. New network security requirements have emerged in the data center cloud computing environment under in the context of zero-trust security. In the SDN network environment， micro-segmentation technology can be used to create more refined security zones within the data center， so as to deploy more flexible security strategies to enhance network security.

Keywords： data center; security isolation; micro-segmentation

0? 引? 言

隨著信息化建設加快推進，信息網絡規(guī)模不斷擴大，信息基礎設施全天候不間斷運行，重要信息系統(tǒng)安全風險壓力巨大。面對新的安全形勢和安全環(huán)境，進一步強化網絡安全管理、補強網絡安全防護措施，建設和完善網絡安全綜合防御體系，成為網絡安全工作面臨的主要任務。數據中心內部數據存儲以及應用的增多、網絡內部流量的增大[1]，面臨的安全性風險也在不斷增加，傳統(tǒng)網絡安全防護技術中可以通過劃分業(yè)務子網、配置ACL等方式，來實現業(yè)務之間的隔離，但無法滿足不同業(yè)務虛擬機之間需要隔離的需求。因此在零信任安全背景下，數據中心計算環(huán)境中產生了新的網絡安全需求[2]。本文對微分段進行研究，通過微分段技術可以在數據中心內創(chuàng)建更加精細的安全區(qū)域，進而部署更加靈活的安全策略，提升網絡安全性[3]。

1? 數據中心內部安全需求

1.1? 傳統(tǒng)邊界安全技術

在過去的數據中心網絡中，我們的安全策略普遍基于這樣一個認識，即認為數據中心內部產生的流量是安全的，而數據中心外部產生的流量是不安全的[4]，因此我們需在數據中心內、外部部署防火墻對網絡邊界進行隔離。通過對從數據中心外部向數據中心內部的流量（即南北向流量）引流到防火墻上進行分析，以確保只有通過安全策略審核的請求能夠訪問到數據中心內部的資源。這種通過將流量引流到邊界防火墻進行分析的技術也稱作邊界安全技術。

隨著數據存儲、應用的不斷增多，數據中心網絡流量從以前的南北向流量為主轉變?yōu)闁|西向流量為主，對內部流量進行安全管控就變得尤為重要。一旦攻擊者沖破邊界防護，那么數據中心內部的安全將受到嚴重威脅，攻擊者可以隨意攻擊數據中心內部的服務。因此需要針對數據中心內外部的流量做全面的防護，如果將數據中心內部虛擬機間的流量全部繞行集中式防火墻，很難滿足數據中心靈活分布式、可擴展部署的要求和挑戰(zhàn)，容易形成性能和擴容的瓶頸。

1.2? 傳統(tǒng)邊界安全技術面臨的問題

隨著數據、應用的增多，網絡內部流量增大，網絡防護面臨的安全性風險也在不斷增加。傳統(tǒng)技術中可以通過劃分業(yè)務子網、配置防火墻規(guī)則等方式，來實現業(yè)務之間的隔離，但是存在如下問題：通過VLAN、VNI等方式劃分業(yè)務子網實現的業(yè)務隔離是基于子網的，其不能實現同一子網內不同服務器之間的隔離。同時，當不同子網共用同一個網關設備時，由于在網關設備上存在到各子網之間的路由信息，因此這種情況下，也無法實現不同子網內不同服務器之間的隔離。雖然通過配置防火墻規(guī)則可以實現不同服務器之間的隔離，但配置量大、維護復雜，且防火墻訪問控制條目資源有限，無法滿足需求。

2? 微分段—數據中心內部安全隔離技術

微分段（Micro-segmentation），也稱為基于精細分組的安全隔離，是指將數據中心網絡中的服務器按照一定的原則進行分組，然后基于分組來部署流量控制策略，從而達到簡化運維、安全管控的目的。傳統(tǒng)數據中心是基于VLAN/VNI進行子網劃分，粒度比較粗，而微分段可以提供更細粒度、更靈活的分組方式，例如基于IP、MAC、虛擬機名等。這樣就可以進一步細化安全域的大小，實現更精細的業(yè)務隔離，提升網絡安全性[5]。

微分段可以提供比子網粒度更細的分組規(guī)則，并對數據中心的內部網絡進行分組，然后對所有分組之間的流量部署安全策略。這樣就可以實現更精細的業(yè)務策略控制，限制攻擊行為在網絡內部橫向移動的能力，以增強安全性[6]。

2.1? 微分段的優(yōu)勢

微分段可基于IP地址、MAC地址、VM虛擬機名稱等定義分組，相應的安全域劃分更加細致、更靈活，因此具備更精細、靈活的安全隔離效果。微分段可以通過對業(yè)務資源進行分段管理，并采用最低權限原則嚴格控制業(yè)務間互訪關系[7]，來實現零信任安全模型，能夠縮小受攻擊面，防止攻擊者以及異常數據在東西向移動，確保內部業(yè)務安全。

微分段方案實現了分布式的安全控制方案，在接入交換機實現對業(yè)務流量就近進行安全過濾，東西向流量不需要集中轉發(fā)到防火墻后再進行安全隔離，減少了網絡帶寬的消耗，可以防止集中控制點成為流量瓶頸。

2.2? 微分段與VLAN、ACL、防火墻對比

傳統(tǒng)網絡通常依賴防火墻、虛擬局域網（VLAN）和防火墻列表（ACL）用于網絡分段，對業(yè)務流量進行隔離。但是這些技術存在其局限性：

VLAN只能基于子網進行隔離，其不能實現同一子網內不同服務器之間的隔離，是一種非常粗糙的分段方式。

配置ACL規(guī)則可以實現不同服務器之間的隔離。但是數據中心網絡中，服務器的數量非常龐大，若要實現服務器之間的隔離，則需要部署海量的ACL規(guī)則，配置維護相當復雜。同時，網絡設備的ACL資源有限，不能滿足客戶部署海量ACL規(guī)則的需求。

數據中心一般只在對外的網絡邊界上設置防火墻，因為原則上認為入侵風險來自外部，數據中心內部是相對安全的[8]。理論上，也可以在數據中心內每個互聯(lián)節(jié)點上部署防火墻來進行內部隔離，但是這需要部署大量的防火墻，是一筆很大的硬件投資，而且防火墻的設置和維護也是一個巨大的工作量。

以上作為傳統(tǒng)網絡安全隔離基礎技術與微分段進行對比?？梢钥吹轿⒎侄慰梢蕴峁└毩６?、更靈活的分段方式。微分段強調“微”和“分段”。如圖1所示，傳統(tǒng)分段部分的Segment1、Segment2通過Vlan子網劃分將VLAN10與VLAN20內部的虛擬機進行隔離；微分段部分的Segment3、Segment4、Segment5內的虛擬機隔離不再局限于VLAN30、VALN40劃分的子網限制，而是基于IP地址、IP網段、MAC地址、VM名等細粒度進行分段，這種策略下可將網絡按照一定的分組規(guī)則劃分為若干個子網絡，不同子網絡之間通過策略控制流量，從而實現數據報文僅能在約定的節(jié)點之間相互發(fā)送，而不是發(fā)送給所有節(jié)點[9，10]。

2.3? 微分段工作原理

微分段借鑒了安全設備SecurityZone的概念，將數據中心業(yè)務單元按照一定的原則分組，然后通過分組間策略實現流量控制。微分段基于以下兩個元素實現精細分組隔離：EPG（EndPointGroup）基于IP地址、MAC地址、VM名、應用等分組策略，對服務器、虛擬機等承載業(yè)務的實體進行的分組。GBP（GroupBasedPolicy）基于EPG分組的流量控制策略，規(guī)定了分組內部、分組之間的流量控制策略，EPG/GBP實現邏輯如圖2所示。

微分段通過云平臺、SDN控制器與交換機之間的API接口，將EPG分組信息和GBP策略部署在VXLAN網絡的Leaf節(jié)點上，在接入節(jié)點對業(yè)務流量就近進行安全過濾，如圖3所示。

3? 微分段在數據中心運用研究

3.1? 數據中心網絡安全隔離架構

隨著機房資源緊張、計算存儲資源配置分散、云計算和虛擬化技術應用程度不高、信息處理能力不足、不能滿足業(yè)務快速變化需求等一系列問題，為了進一步提升信息基礎設施服務能力，在數據中心局域網內部需采用SDN組網架構。

數據中心網絡架構由云管平臺對接SDN組網的SDN控制器以及傳統(tǒng)組網的物理設備北向接口，從而統(tǒng)一納管數據中心網絡資源，將數據中心、同城/異地數據中心的多個接入單元組成網絡資源池，滿足業(yè)務應用的靈活部署。網絡核心將接入單元、運維管理網絡環(huán)境和外部連接網絡環(huán)境互聯(lián)。多個數據中心間連通東西向流量，實現資源調度；連通南北向流量實現業(yè)務應用信息交換，如圖4所示。

由于網絡業(yè)務的重要性以及網絡結構的復雜性，在SDN的使用上，數據中心在應用類服務區(qū)內因地制宜的使用了接入單元的模式進行組網，如圖5所示。

數據中心應用類服務區(qū)由多個接入單元（POD）組成，接入單元內又進一步通過虛擬化技術劃分為由多個資源組組成的業(yè)務服務平面、分布式存儲平面和云管平面。各接入單元通過連接網絡核心，可實現業(yè)務服務南北向信息交換；通過連接POD核心，可實現接入單元間分布式存儲、云管兩個平面東西向流量的互通，并可動態(tài)的將部署相同應用的不同資源組直接連通，從而實現各業(yè)務應用在資源組中的靈活部署。

3.2? 數據中心云內安全需求

近年來，隨著服務器虛擬化技術不斷發(fā)展，如何進一步對傳統(tǒng)服務資源進行有效整合和再利用成了業(yè)界重點關注和深入研究的方向。在云計算平臺高速發(fā)展的大環(huán)境下，圍繞云計算基礎資源的管理類平臺的設計與優(yōu)化在一定程度上提高了企業(yè)在基礎設施服務層面的納管和交付能力，大幅提升了信息化管理部門在傳統(tǒng)虛擬化和物理環(huán)境方面的工作效率，但面對復雜的應用特別是云邊協(xié)同體系下，探測端、邊緣計算以及云計算分離，云端計算整合的業(yè)務場景中，如何進一步提升異構環(huán)境和多元化應用基礎環(huán)境的交付能力成了難點問題[11]。

3.3? 微分段技術運用

數據中心內部網絡可通過微分段技術，根據應用需要進一步實現不同業(yè)務虛擬機之間的微隔離。通過進一步的下發(fā)，在VXLAN網絡中，微分段提供了比子網粒度更細的分組規(guī)則（比如IP地址或IP段），其部署簡單方便，只需按照規(guī)則將VXLAN網絡中的服務器劃分為不同的分組，然后基于分組來部署流量控制策略，就可以實現服務器與服務器之間的業(yè)務隔離[12]。

在新一代云邊網絡架構中，應用服務區(qū)依據信息系統(tǒng)的安全等級、信息系統(tǒng)所需的資源類型等原則劃分多個接入單元。結合微分段技術，在網絡云化資源池中部署了多個安全平臺服務器、防火墻和網閘等設備，同步運行安全隔離系統(tǒng)、用戶目錄系統(tǒng)、認證授權系統(tǒng)及WEB安全代理等，由這些設備資源所構建而成的云安全平臺就是云內微隔離。

云內微隔離覆蓋云計算網絡，每個網段上都存在計算資源，所有在云化網絡間進行的數據交換都將經過微隔離系統(tǒng)。發(fā)生網絡安全事件時，微隔離可以有效按需調用資源進行阻斷，保障網絡安全事件不擴散，不進入其他網段或者安全域。

應用服務區(qū)內部，在等保要求基礎之上，按照應用具體情況，進行的接入單元的劃分，依靠網絡的靜態(tài)邊界防護技術，可將每個接入單元劃分為前端負載，計算資源，后端數據等資源域。

為了更好地說明以上安全防護措施的方式，我們以圖3中的網絡架構拓撲舉例說明，如Server1部署了應用1的應用服務，Server2部署了應用2的應用服務，Server3部署了應用1的數據庫服務，并創(chuàng)建各自對應的EPG組，服務器與EPG組對應關系，如表1所示。

根據業(yè)務訪問需求，應用1與應用2需進行隔離防護，應用1應用服務需訪問應用1數據庫服務，GBP間訪問策略關系如表2所示。

通過設置GBP組策略，可以在在計算資源中，按照每個應用的安全等級與防護要求，分配不同的資源組，實現不同資源組間的動態(tài)微隔離。如發(fā)生某個應用被滲透攻擊的安全事件時，可最大限度的限制被攻陷計算資源進一步橫向攻擊滲透。

4? 結? 論

微分段與傳統(tǒng)網絡安全隔離技術相結合，形成全新的網絡安全隔離防護架構可提供更精細、靈活的安全隔離及分布式的安全控制，對云內隔離防護具有較高意義，提高了數據中心網絡的安全性和穩(wěn)定性。

參考文獻：

[1] 莊懷東.基于SDN的數據中心網絡流量調度與負載均衡研究 [D].南京：南京航空航天大學，2016.

[2] 諸葛程晨，王群，劉家銀，等.零信任網絡綜述 [J].計算機工程與應用，2022，58（22）：12-29.

[3] 李賀.微分段能為IoT安全帶來什么？ [J].網絡安全和信息化，2020（4）：122-124.

[4] 吳海濤，華銘軒，曹帥，等.SDN網絡安全研究熱點與演進趨勢 [J].通信技術，2021，54（6）：1492-1501.

[5] 陳曉帆，古亮.云環(huán)境下的動態(tài)微分段方法，系統(tǒng)，云服務器及存儲介質：CN201810486085.7 [P].2018-05-18.

[6] 高洋洋.微分段 [EB/OL].（2021-08-05）.https：//support.huawei.com/enterprise.

[7] 段紅秀，湯銘.基于微分段與組標記的安全校園網的設計 [J].電子制作，2021（22）：43-45+67.

[8] 偉慶.虛擬化-SDDC軟件定義數據中心 [EB/OL].（2020-07-23）.https：//www.cnblogs.com/xweiqing/p/13365712.html.

[9] 杰因，麥塔，沙魯巴，等.異構軟件定義網絡環(huán)境中的微分段：CN201780025777.5 [P].2018-12-21.

[10] 馬爾霍特拉，黃學東，蔣力，等.微分段安全語音轉錄：CN202180032695.X [P].2021-04-30.

[11] 王駿翔，徐一言.企業(yè)級云計算平臺服務編排技術的設計與實現 [J].上海船舶運輸科學研究所學報，2021，44（2）：52-57+65.

[12] 薩爾曼，克利格爾，阿布加貝.用于網絡微分段和納分段的安全規(guī)則的自動生成：CN201980080050.6 [P].2019-11-26.

作者簡介：左一男（1982.11—），男，漢族，北京人，高級工程師，碩士研究生，研究方向：通信工程、網絡安全。