安全:探討云計算數(shù)據(jù)中心的安全部署
關(guān)于云計算數(shù)據(jù)中心的安全防護,CSA(Cloud Security Alliance,云安全聯(lián)盟)在《云計算關(guān)鍵領(lǐng)域建設(shè)指南》的D7中一共提出8條建議,其中與網(wǎng)絡(luò)安全相關(guān)的安全風(fēng)險建議有4條:
云服務(wù)提供商提供獲得承諾或授權(quán)進行客戶方或外部第三方審計的權(quán)利;
云服務(wù)提供商技術(shù)架構(gòu)和基礎(chǔ)設(shè)施如何滿足服務(wù)水平SLA的能力;
云服務(wù)提供商為了符合安全要求,必須能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、管理、部署和人員方面的全方位相互“隔離”;
云服務(wù)提供商在業(yè)務(wù)發(fā)生波動時調(diào)動資源提供系統(tǒng)可用性和性能。
如何去實現(xiàn)上述網(wǎng)絡(luò)安全防護的具體部署,各個云計算服務(wù)和基礎(chǔ)設(shè)施提供商,根據(jù)自己的建設(shè)方案要求和擅長出發(fā),提出了相應(yīng)安全解決方案,以此來達到相關(guān)的要求。我們從傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)出發(fā),向云數(shù)據(jù)中心遷移中,結(jié)合云計算建設(shè)和風(fēng)險建議原則,探討云計算數(shù)據(jù)中心的安全部署。
1 傳統(tǒng)數(shù)據(jù)中心的安全建設(shè)模型
傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是:分區(qū)規(guī)劃、分層部署。
1.1 分區(qū)規(guī)劃
分區(qū)規(guī)劃,就是在網(wǎng)絡(luò)中存在不同價值和易受攻擊程度不同的應(yīng)用或業(yè)務(wù)單元,按照這些應(yīng)用或業(yè)務(wù)單元的情況制定不同的安全策略和信任模型,將網(wǎng)絡(luò)劃分為不同區(qū)域,以滿足以下需求。
業(yè)務(wù)需求:以邏輯或數(shù)據(jù)中心物理區(qū)域進行業(yè)務(wù)規(guī)劃,有助于業(yè)務(wù)在企業(yè)的開展與管理, 同一業(yè)務(wù)劃分在一個安全域內(nèi)。
數(shù)據(jù)流:根據(jù)數(shù)據(jù)流特征進行分區(qū)規(guī)劃,盡量使得數(shù)據(jù)中心業(yè)務(wù)流流向可控、同一區(qū)域相似性強、流量可監(jiān)測,便于對數(shù)據(jù)流進行安全審計和訪問控制。
應(yīng)用的邏輯功能:不同應(yīng)用的部署方式有區(qū)別,對網(wǎng)絡(luò)配置需求不同,按應(yīng)用邏輯特點進行分區(qū)模塊化,便于維護管理差異性應(yīng)用,安全等級一致的應(yīng)用邏輯可以在安全域上進行歸并。
IT安全的需求:數(shù)據(jù)中心分區(qū),有助于區(qū)域的統(tǒng)一安全要求標(biāo)準(zhǔn)化管理。
根據(jù)上述需求,一般情況下,數(shù)據(jù)中心網(wǎng)絡(luò)劃分為以下的分區(qū)(如圖1所示):
核心區(qū):提供各分區(qū)模塊互聯(lián)
外聯(lián)業(yè)務(wù)區(qū):企業(yè)對外業(yè)務(wù)、互聯(lián)網(wǎng)業(yè)務(wù)部署區(qū)
Intranet區(qū): 企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)部署區(qū)域
測試區(qū):企業(yè)新應(yīng)用上線測試區(qū)
運營管理區(qū) :企業(yè)IT運營中心
集成區(qū): 企業(yè)應(yīng)用系統(tǒng)之間信息交換區(qū)域、信息共享區(qū)域
存儲區(qū): 企業(yè)數(shù)據(jù)存儲專區(qū)
容災(zāi)備份區(qū): 提供企業(yè)容災(zāi)、業(yè)務(wù)一致性
圖1 數(shù)據(jù)中心分區(qū)圖
#p# 1.2 分層部署
在分區(qū)基礎(chǔ)上,按照全面的安全防護部署要求,在每個區(qū)域的邊界處,根據(jù)實際情況進行相應(yīng)的安全需求部署,一般的安全部署包括,防DDoS攻擊、流量分析與控制,異構(gòu)多重防火墻、VPN、入侵防御以及負載均衡等需求。
值得一提的是,在業(yè)務(wù)的部署過程中,由于設(shè)備的功能獨立性,往往需要進行糖葫蘆串式的部署(如圖2左所示),這種部署方式往往會增加部署的復(fù)雜性, 同時架構(gòu)的可靠性也大大降低,為此,一些廠商提出網(wǎng)絡(luò)安全融合方案,可以將獨立設(shè)備組網(wǎng)簡化為網(wǎng)絡(luò)安全的集成業(yè)務(wù),大大簡化設(shè)計和優(yōu)化管理(如圖2右所 示)。
圖2獨立設(shè)備與集成部署對比圖
#p# 2 云計算數(shù)據(jù)中心的安全建設(shè)模型
較傳統(tǒng)數(shù)據(jù)中心,云計算的基礎(chǔ)數(shù)據(jù)中心建設(shè)無明顯差別,同樣需要分區(qū)標(biāo)準(zhǔn)化、模塊化部署,一般都采用旁掛核心或者匯聚交換機的部署。考慮到云計算的特點,其最大需求是實現(xiàn)計算、存儲等IT資源靈活調(diào)度,讓資源得到最充分利用,而實現(xiàn)這一需求的基礎(chǔ)是以數(shù)據(jù)中心的虛擬機作為主要的計算資源為客戶提供服務(wù)。在這種模式下,數(shù)據(jù)中心建設(shè)出現(xiàn)了新的需求。
2.1 高性能要求
較傳統(tǒng)網(wǎng)絡(luò),云計算網(wǎng)絡(luò)的流量模型發(fā)生了兩個變化:一,從外部到內(nèi)部的縱向流量加大;二,云業(yè)務(wù)內(nèi)部虛擬機之間的橫向流量加大。為保證未來業(yè)務(wù)開展,整個云計算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力,在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個節(jié)點上不能存在阻塞,同時具備突發(fā)流量的承受能力,具體體現(xiàn)在以下兩個方面:
參照云計算數(shù)據(jù)中心對于核心交換機設(shè)備的要求,即必須具備高密度的10G接口提供能力,安全設(shè)備接入數(shù)據(jù)中心,也必須以萬兆級接入、萬兆級性能處理為基礎(chǔ),并且要具備根據(jù)業(yè)務(wù)需求靈活擴展的能力;
隨著服務(wù)器的虛擬化及多租戶業(yè)務(wù)部署,云計算環(huán)境下的網(wǎng)絡(luò)流量無序突發(fā)沖擊會越來越嚴(yán)重,為保證云計算服務(wù)的服務(wù)質(zhì)量,安全設(shè)備必須具備突發(fā)流量時的處理能力,尤其一些對延遲要求嚴(yán)格的業(yè)務(wù)。
在具體的設(shè)備選擇上,數(shù)據(jù)中心的防火墻可以選擇獨立的設(shè)備形態(tài)(如H3C F5000高端40G獨立盒式防火墻),也可以部署多個Secblade插卡來做性能擴展。在需要部署高性能防火墻時,可以在交換機部署多個插卡實現(xiàn)性能擴展,并可以實現(xiàn)比多臺同等性能的獨立設(shè)備組合節(jié)能50%以上(如圖3所示)。
圖3 防火墻部署方式
2.2 虛擬化
虛擬資源池化是IT資源發(fā)展的重要趨勢,可以極大程度提高資源利用率,降低運營成本。目前服務(wù)器、存儲器的虛擬資源池化技術(shù)已經(jīng)日趨成熟,網(wǎng)絡(luò)設(shè)備的虛擬資源池化也已經(jīng)成為趨勢,對應(yīng)的云計算數(shù)據(jù)中心的防火墻、負載均衡等安全控制設(shè)備,也必須支持虛擬化能力,像計算和存儲、網(wǎng)絡(luò)一樣能按需提供服務(wù)。以防火墻為例,防火墻的虛擬化使用一般應(yīng)用三種場景。
#p#
1、 一般性應(yīng)用:不啟用虛擬防火墻
設(shè)備根據(jù)應(yīng)用類型,按照業(yè)務(wù)將防火墻劃分成多個安全域,再根據(jù)應(yīng)用的隔離互訪要求,實現(xiàn)域間安全控制(如圖4所示)。
圖4 一般性防火墻應(yīng)用
2、VPN組網(wǎng)環(huán)境下,啟用虛擬防火墻,映射到VRF實現(xiàn)轉(zhuǎn)發(fā)隔離
要實現(xiàn)對多個業(yè)務(wù)VPN的獨立安全策略部署,一種方式是采用多臺物理防火墻,另外一種是采用虛擬防火墻技術(shù),將一臺物理設(shè)備基于虛擬設(shè)備資源劃分,并實現(xiàn)關(guān)鍵特性的多實例配置(如NAT多實例),從而實現(xiàn)不同VPN下的不同轉(zhuǎn)發(fā)和控制策略(如圖5所示)。
圖5 VPN組網(wǎng)防火墻應(yīng)用
#p#
3、 多租戶應(yīng)用環(huán)境(云計算服務(wù)提供商 )
每個虛擬設(shè)備具備獨立的管理員權(quán)限,可以隨時監(jiān)控、調(diào)整策略的配置實現(xiàn)情況;多個虛擬設(shè)備的管理員可以同時操作。設(shè)備具備多個配置文件,允許每個虛擬設(shè)備的配置可以獨立保存,虛擬設(shè)備日志可以獨立管理。
圖6 多租戶防火墻應(yīng)用
如圖6所示,將一臺安全設(shè)備虛擬成多臺安全設(shè)備(如防火墻),分配給不同業(yè)務(wù)系統(tǒng)使用,并且各業(yè)務(wù)系統(tǒng)可以自主管理各自的虛擬設(shè)備,配置各自的安全策略,保證業(yè)務(wù)系統(tǒng)之間的安全隔離,此時的防火墻作為資源池方式部署在數(shù)據(jù)中心,與網(wǎng)絡(luò)、服務(wù)器和存儲一起實現(xiàn)云計算中心端到端的虛擬化資源池(如圖7所示)。
圖7 端到端虛擬資源池化
#p#
2.3 VM之間安全防護需求
與傳統(tǒng)的安全防護不同,虛擬機環(huán)境下,同臺物理服務(wù)器虛擬成多臺VM以后,VM之間的流量交換基于服務(wù)器內(nèi)部的虛擬交換,管理員對于該部分流量既不可控也不可見,但實際上根據(jù)需要,不同的VM之間需要劃分到不同的安全域,進行隔離和訪問控制如圖8所示。
圖8 不同VM之間安全需求
要解決虛擬化內(nèi)部之間的安全防護,可通過EVB協(xié)議(如VEPA協(xié)議)將虛擬機內(nèi)部的不同VM之間網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機進行處理,如圖9所示,這將使得安全部署變得同傳統(tǒng)邊界防護一樣簡單。
圖9 基于EVB的安全防護
#p#
需要重點提出,云計算中對于云計算數(shù)據(jù)中心內(nèi)服務(wù)器/虛擬機的網(wǎng)關(guān)選擇問題,一般有兩種方案(如圖所10示)。
圖10 兩種網(wǎng)關(guān)選擇
該方案可以實現(xiàn)租戶內(nèi)不同服務(wù)器(如Web、APP、DB)的安全域隔離,也可以實現(xiàn)租戶間的安全隔離。由于防火墻為眾多流量的控制點,因此要求它具有較高的轉(zhuǎn)發(fā)性能。
該方案只能實現(xiàn)不同租戶間的安全隔離,無法在防火墻上實現(xiàn)租戶內(nèi)的不同服務(wù)器安全域隔離,對于同一租戶內(nèi)的不同服務(wù)器訪問控制,只能依靠接入交換機(DC Acc)上的ACL來實現(xiàn)。由于網(wǎng)關(guān)在交換機上,所以轉(zhuǎn)發(fā)性能較高。
可見,方案一要求防火墻具備非常高的轉(zhuǎn)發(fā)性能,方案二轉(zhuǎn)發(fā)性能高,但無法滿足安全隔離控制要求。因此,對于云計算數(shù)據(jù)中心服務(wù)網(wǎng)關(guān)的選擇上,建議根據(jù)不同租戶的安全需求進行區(qū)分對待,分散防火墻的壓力,同時滿足租戶內(nèi)的安全域隔離,具體原則如下:
1. 對于需要部署防火墻的提供更高級服務(wù)的租戶,網(wǎng)關(guān)部署在vFW上;
2. 對于不需要防火墻防護的普通租戶,網(wǎng)關(guān)部署在核心交換機上。
總結(jié):云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全部署僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié),要保證云計算中心的安全,還要考慮數(shù)據(jù)加密、備份,信息的認(rèn)證授權(quán)訪問以及法律、法規(guī)合規(guī)性要求,只有全面的進行規(guī)劃,才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。
