四、云朵內(nèi)的安全設(shè)計(jì)思路---云導(dǎo)流方案

云朵內(nèi)不同于傳統(tǒng)的安全設(shè)計(jì)思路就是云導(dǎo)流方案。它實(shí)現(xiàn)了云朵內(nèi)以流為核心，重塑信息系統(tǒng)邏輯網(wǎng)絡(luò)拓?fù)涞倪^(guò)程，同時(shí)，定義了該信息系統(tǒng)的安全屬性，即部署的網(wǎng)絡(luò)安全措施。

云導(dǎo)流方案包括三個(gè)核心的組成部分：策略管理平臺(tái)、安全資源池、導(dǎo)流網(wǎng)絡(luò)。

1、流量引導(dǎo)與控制模塊(CFC：云導(dǎo)流模塊)

流引導(dǎo)的范圍就是導(dǎo)流控制的網(wǎng)絡(luò)。該網(wǎng)絡(luò)與虛擬機(jī)緊挨著，保證進(jìn)出VM的流能得到正確的引導(dǎo)；該網(wǎng)絡(luò)與安全資源池相鄰，保證引導(dǎo)的數(shù)據(jù)包進(jìn)入相應(yīng)的資源池，并把處理完的流量再?gòu)男乱龑?dǎo)到正確的目的地。該網(wǎng)絡(luò)與策略管理平臺(tái)路由可達(dá)，保證執(zhí)行的是正確的策略。

CFC模塊包括如下幾個(gè)組成部分：

• 交換機(jī)：負(fù)責(zé)數(shù)據(jù)包的實(shí)際轉(zhuǎn)發(fā)，與策略管理平臺(tái)互通，保證流的正確去向。
• 導(dǎo)流網(wǎng)絡(luò)的邊界交換機(jī)：對(duì)于進(jìn)入的流，從安全策略服務(wù)器獲得該業(yè)務(wù)流路由定義的標(biāo)簽，并為流的所有數(shù)據(jù)包打上該標(biāo)簽，讓后續(xù)的交換機(jī)知道如何路由到下一跳；對(duì)于出去的流，摘掉這個(gè)標(biāo)簽，恢復(fù)原有的數(shù)據(jù)包，不影響系統(tǒng)、安全設(shè)備對(duì)數(shù)據(jù)包的處理；
• 導(dǎo)流網(wǎng)絡(luò)的內(nèi)部交換機(jī)：根據(jù)數(shù)據(jù)包的標(biāo)簽轉(zhuǎn)發(fā)下一跳，而不是根據(jù)流的目的IP；
• 導(dǎo)流網(wǎng)絡(luò)包括物理的交換機(jī)與虛擬平臺(tái)內(nèi)的虛擬交換機(jī)，兩者可以支持不同的協(xié)議，只要能夠識(shí)別統(tǒng)一的標(biāo)簽。
• 安全虛擬機(jī)(SVM)：在每個(gè)物理服務(wù)器內(nèi)部有一個(gè)安全虛擬機(jī)，負(fù)責(zé)該服務(wù)器內(nèi)的所有的VM的監(jiān)控流量引導(dǎo)；安全虛擬機(jī)在物理服務(wù)器加入到資源池時(shí)，自動(dòng)安裝，并與策略管理平臺(tái)實(shí)時(shí)通信，部署在本服務(wù)器上VM的安全策略。

流引導(dǎo)的實(shí)現(xiàn)是策略服務(wù)器與交換機(jī)的協(xié)議互通，對(duì)流進(jìn)行重新路由。根據(jù)安全設(shè)備對(duì)流處理的要求，流引導(dǎo)需要兩種方式：流監(jiān)控與流過(guò)濾。

流監(jiān)控：不需要改變流原來(lái)的路由，需要將全部的流量復(fù)制一份交給安全設(shè)備處理即可。我們處理的方式是在虛擬交換機(jī)上進(jìn)行端口鏡像，將虛擬網(wǎng)卡的流量復(fù)制到安全虛擬機(jī)，經(jīng)過(guò)處理后，再經(jīng)過(guò)另外的物理網(wǎng)卡直接送到安全資源池。

流監(jiān)控主要是滿(mǎn)足并行接入的安全設(shè)備，如IDS、網(wǎng)絡(luò)審計(jì)、異常流量監(jiān)控等。

流過(guò)濾：需要對(duì)流的路由進(jìn)行修改，讓流“繞彎”進(jìn)入安全設(shè)備，處理后再返回目標(biāo)。實(shí)現(xiàn)流過(guò)濾引導(dǎo)的分兩部分流量：

• 南北流量：進(jìn)入虛擬化池之前，在導(dǎo)流網(wǎng)絡(luò)的邊界交換機(jī)上就開(kāi)始進(jìn)行流的引導(dǎo)，經(jīng)過(guò)安全處理后再送到服務(wù)器虛擬化池的交換機(jī)上，最后進(jìn)入VM；
• 東西流量：導(dǎo)流網(wǎng)絡(luò)包括虛擬交換機(jī)，所以流從VM出來(lái)進(jìn)入，在虛擬交換機(jī)的入口上就打上標(biāo)簽，轉(zhuǎn)發(fā)到安全資源池，處理后重新導(dǎo)流，轉(zhuǎn)發(fā)到實(shí)際的目的地。

#p#

在流過(guò)濾時(shí)，需要支持流引導(dǎo)協(xié)議。選擇什么協(xié)議呢？

流引導(dǎo)協(xié)議的核心就是在導(dǎo)流網(wǎng)路(流引導(dǎo)控制區(qū)域)內(nèi)，將原來(lái)的網(wǎng)絡(luò)層參數(shù)封裝起來(lái)，按照安全策略服務(wù)器重新定義路由的標(biāo)簽，并讓交換機(jī)按照標(biāo)簽進(jìn)行包轉(zhuǎn)發(fā)，而不是根據(jù)目的IP轉(zhuǎn)發(fā)。能夠?qū)崿F(xiàn)這種“重新路由”的協(xié)議很多，最為直接的是SDN，因?yàn)镾DN協(xié)議設(shè)計(jì)時(shí)，已經(jīng)將轉(zhuǎn)發(fā)控制器與轉(zhuǎn)發(fā)交換機(jī)分離，SDN控制器可以根據(jù)多個(gè)參數(shù)去定義新的路由轉(zhuǎn)發(fā)策略，而不僅僅是訪(fǎng)問(wèn)控制列表ACL的五元組。下圖是Openflow3.1協(xié)議支持路由組合的控制要素。

能實(shí)現(xiàn)導(dǎo)流網(wǎng)絡(luò)內(nèi)重新路由的還有很多成熟的路由協(xié)議，如BGP、MPLS、GRE、vxLAN(虛擬擴(kuò)展LAN)、EVB(一種Vlan嵌套技術(shù))等，其核心都是設(shè)立引導(dǎo)控制區(qū)域，在域內(nèi)重新封裝域內(nèi)路由的通道技術(shù)。

CFC模塊把流引導(dǎo)控制協(xié)議設(shè)計(jì)為接口模塊，不同協(xié)議作為一個(gè)互通接口模塊可選擇。可以根據(jù)用戶(hù)具體的網(wǎng)絡(luò)情況，選擇一個(gè)該網(wǎng)絡(luò)統(tǒng)一支持的協(xié)議作為流引導(dǎo)控制協(xié)議。由于SDN交換機(jī)需要硬件升級(jí)，需要網(wǎng)絡(luò)改造，因此，對(duì)現(xiàn)有網(wǎng)絡(luò)中建議采用MPLS\EVB等成熟型協(xié)議，對(duì)于新建網(wǎng)絡(luò)建議SDN協(xié)議。無(wú)論采用哪種協(xié)議，都要注意網(wǎng)絡(luò)內(nèi)物理交換機(jī)與虛擬交換機(jī)要支持同一種協(xié)議，否則標(biāo)記不通用，就會(huì)影響通道路由的落地。

2、安全資源池管理模塊 (VSP：虛擬安全池管理平臺(tái))

流量引導(dǎo)到安全資源池，需要進(jìn)一步送到相應(yīng)的安全措施上去處理，具體送到那個(gè)地址的設(shè)備上處理，以及處理結(jié)果的正確輸出，就需要安全資源池管理模塊了。

安全資源池管理平臺(tái)是管理該類(lèi)安全資源的服務(wù)平臺(tái)，如同該安全資源的負(fù)載均衡管理模塊，具體完成功能如下：

• 物理資源池管理，動(dòng)態(tài)增加、刪除物理設(shè)備，了解每個(gè)物理設(shè)備的運(yùn)行動(dòng)態(tài)與處理能力；物理資源池化管理可以兼容多個(gè)廠(chǎng)家、多種型號(hào)的設(shè)備，不關(guān)心物理接口，只關(guān)心處理能力；

• 虛擬資源池管理：管理安全虛擬機(jī)，負(fù)責(zé)動(dòng)態(tài)生成與關(guān)閉，動(dòng)態(tài)調(diào)整虛擬機(jī)的資源分配；虛擬資源池化管理也可以兼容不同廠(chǎng)家的安全軟件，可以組合增加安全識(shí)別能力；

• 業(yè)務(wù)處理能力的動(dòng)態(tài)調(diào)配。當(dāng)某業(yè)務(wù)的流量動(dòng)態(tài)增加或減少到一定的閾值，可以動(dòng)態(tài)調(diào)整其占用的物理資源或虛擬資源，保證其處理能力平滑升級(jí)。

安全資源池化管理，不僅兼容各個(gè)廠(chǎng)家的設(shè)備，而且可以同時(shí)采用物理設(shè)備與虛擬設(shè)備，讓用戶(hù)真正實(shí)現(xiàn)“自來(lái)水”一樣地安全使用安全資源，完成了繼計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源虛擬化之后的新突破，安全資源的虛擬化，讓云計(jì)算服務(wù)為用戶(hù)提供的是更加完整的IT服務(wù)方案。

#p#

3、業(yè)務(wù)系統(tǒng)安全策略管理平臺(tái) (BSM：業(yè)務(wù)安全管理平臺(tái))

有了安全資源處理，有了云導(dǎo)流控制，我們就可以把用戶(hù)的安全策略落實(shí)到位了。業(yè)務(wù)安全策略管理平臺(tái)是與導(dǎo)流方案的控制核心，它主要提供如下幾方面的服務(wù)：

• 業(yè)務(wù)系統(tǒng)安全策略管理：安全策略的定義、修改，以及該業(yè)務(wù)系統(tǒng)安全狀態(tài)的監(jiān)控；
• 與虛擬化管理平臺(tái)互通，跟蹤虛擬機(jī)的動(dòng)態(tài)信息，運(yùn)行狀態(tài)；
• 與云導(dǎo)流模塊互通，下發(fā)安全策略到交換機(jī)上，在安全虛擬機(jī)內(nèi)；
• 與安全資源池模塊互通，了解安全資源動(dòng)態(tài)與分配情況。

BSM是云朵內(nèi)安全運(yùn)維管理的總平臺(tái)，除了與其他管理模塊互聯(lián)，落實(shí)業(yè)務(wù)安全策略之外，更為主要的就是運(yùn)維人員的操作接口，從使用者角度，BSM應(yīng)該實(shí)現(xiàn)幾個(gè)功能模塊：

• 業(yè)務(wù)系統(tǒng)管理，安全域的劃分
• 安全資源管理，策略配置管理
• 安全域邊界流量監(jiān)控，發(fā)現(xiàn)邏輯安全域之間的異常流量
• 安全事件報(bào)警、跟蹤處理平臺(tái)
• 安全日志審計(jì)管理平臺(tái)
• 為某業(yè)務(wù)管理運(yùn)維人員(租戶(hù))提供安全運(yùn)維管理通道

BSM為用戶(hù)建立統(tǒng)一的安全管理平臺(tái)SOC提供支持，BSM的安全事件監(jiān)控模塊就成為SOC在云朵內(nèi)的一個(gè)采集引擎。也作為安全服務(wù)平臺(tái)，為某業(yè)務(wù)系統(tǒng)的安全運(yùn)維提供遠(yuǎn)程接入服務(wù)。

小結(jié)

本方案有如下優(yōu)點(diǎn)：

1、  全程保障：實(shí)現(xiàn)虛擬機(jī)遷移過(guò)程中，安全策略不中斷，不開(kāi)安全保障的“天窗”。服務(wù)器虛擬化管理，保障VM遷移過(guò)程中，業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)不中斷是其重要特點(diǎn)。業(yè)務(wù)不中斷，安全保障就不能中斷，這是云計(jì)算服務(wù)安全解決方案設(shè)計(jì)的最基本要求。本方案在設(shè)計(jì)時(shí)，在每個(gè)物理服務(wù)器內(nèi)設(shè)立安全虛擬機(jī)，保障VM遷移到那個(gè)物理服務(wù)器上，都立即接手該VM的安全策略部署，無(wú)需安全虛擬機(jī)跟隨遷移；

2、跨平臺(tái)：VMWare平臺(tái)提高很好的服務(wù)，但價(jià)格昂貴，KVM\XEN等 平臺(tái)開(kāi)源，但需要用戶(hù)自己的技術(shù)運(yùn)維能力較強(qiáng)。隨著用戶(hù)在云上的業(yè)務(wù)量逐步增大，用戶(hù)大多會(huì)嘗試各種虛擬化管理平臺(tái)，降低云服務(wù)的建設(shè)與運(yùn)維成本。跨平臺(tái) 就成了必然的需求。本方案沒(méi)有采用專(zhuān)用接口，在各種虛擬化管理平臺(tái)上移植非常容易，而上層的業(yè)務(wù)安全策略、安全資源池管理都可以不同改動(dòng)就直接使用。從用 戶(hù)的角度看，跨平臺(tái)遷移時(shí)，業(yè)務(wù)安全策略保持不變，可以大大地降低遷移以及運(yùn)維的成本；

3、兼 容性：采用安全資源池管理，不僅兼容各個(gè)廠(chǎng)家的硬件安全設(shè)備，而且可以兼容未來(lái)的安全軟件模式，延長(zhǎng)了用戶(hù)現(xiàn)有的安全設(shè)備使用壽命，保護(hù)了用戶(hù)原有的投 資。由于安全資源管理池化，可以隨著用戶(hù)業(yè)務(wù)對(duì)安全資源的需求增加，而逐步升級(jí)安全資源的處理能力，避免一次性建設(shè)的大幅投資；

4、不擠占業(yè)務(wù)資源：安全資源單獨(dú)管理，不與業(yè)務(wù)VM在同一個(gè)服務(wù)器資源池，不影響業(yè)務(wù)系統(tǒng)自己的日常調(diào)度與遷移策略，管理簡(jiǎn)單化，IT資源條塊分割化明顯，易管理，好好維護(hù)；安全與業(yè)務(wù)分離還有一個(gè)明確優(yōu)點(diǎn)，就是攻擊者攻擊安全設(shè)備的機(jī)會(huì)降低，若安全措施自身癱瘓，無(wú)疑是災(zāi)難性的；

5、網(wǎng)絡(luò)平滑升級(jí)：方案支持SDN、MPLS多種協(xié)議，流量引導(dǎo)方式多樣化，大大降低了對(duì)網(wǎng)絡(luò)平臺(tái)的要求，讓用戶(hù)網(wǎng)絡(luò)規(guī)劃避免受到安全管理的“綁架”，延長(zhǎng)設(shè)備壽命周期，降低整體運(yùn)營(yíng)成本。