关于云计算数据中心的安全防护,CSA(Cloud Security Alliance,云安全联盟)在《云计算关键领域建设指南》的D7中一共提出8条建议,其中与网络安全相关的安全风险建议有4条:
云服务提供商提供获得承诺或授权进行客户方或外部第三方审计的权利;
云服务提供商技术架构和基础设施如何满足服务水平SLA的能力;
云服务提供商为了符合安全要求,必须能够展示系统、数据、网络、管理、部署和人员方面的全方位相互“隔离”;
云服务提供商在业务发生波动时调动资源提供系统可用性和性能。
如何去实现上述网络安全防护的具体部署,各个云计算服务和基础设施提供商,根据自己的建设方案要求和擅长出发,提出了相应安全解决方案,以此来达到相关的要求。我们从传统的数据中心安全建设出发,向云数据中心迁移中,结合云计算建设和风险建议原则,探讨云计算数据中心的安全部署。
1 传统数据中心的安全建设模型
传统数据中心安全部署的一般核心思路是:分区规划、分层部署。
1.1 分区规划
分区规划,就是在网络中存在不同价值和易受攻击程度不同的应用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信任模型,将网络划分为不同区域,以满足以下需求。
业务需求:以逻辑或数据中心物理区域进行业务规划,有助于业务在企业的开展与管理, 同一业务划分在一个安全域内。
数据流:根据数据流特征进行分区规划,尽量使得数据中心业务流流向可控、同一区域相似性强、流量可监测,便于对数据流进行安全审计和访问控制。
应用的逻辑功能:不同应用的部署方式有区别,对网络配置需求不同,按应用逻辑特点进行分区模块化,便于维护管理差异性应用,安全等级一致的应用逻辑可以在安全域上进行归并。
IT安全的需求:数据中心分区,有助于区域的统一安全要求标准化管理。
根据上述需求,一般情况下,数据中心网络划分为以下的分区(如图1所示):
• 核心区:提供各分区模块互联
• 外联业务区:企业对外业务、互联网业务部署区
• Intranet区: 企业内部业务系统部署区域
• 测试区:企业新应用上线测试区
• 运营管理区 :企业IT运营中心
• 集成区: 企业应用系统之间信息交换区域、信息共享区域
• 存储区: 企业数据存储专区
• 容灾备份区: 提供企业容灾、业务一致性
图1 数据中心分区图
1.2 分层部署
在分区基础上,按照全面的安全防护部署要求,在每个区域的边界处,根据实际情况进行相应的安全需求部署,一般的安全部署包括,防DDoS攻击、流量分析与控制,异构多重防火墙、VPN、入侵防御以及负载均衡等需求。
值得一提的是,在业务的部署过程中,由于设备的功能独立性,往往需要进行糖葫芦串式的部署(如图2左所示),这种部署方式往往会增加部署的复杂性,同时架构的可靠性也大大降低,为此,一些厂商提出网络安全融合方案,可以将独立设备组网简化为网络安全的集成业务,大大简化设计和优化管理(如图2右所示)。
图2独立设备与集成部署对比图
2 云计算数据中心的安全建设模型
较传统数据中心,云计算的基础数据中心建设无明显差别,同样需要分区标准化、模块化部署,一般都采用旁挂核心或者汇聚交换机的部署。考虑到云计算的特点,其最大需求是实现计算、存储等IT资源灵活调度,让资源得到最充分利用,而实现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供服务。在这种模式下,数据中心建设出现了新的需求。
2.1 高性能要求
较传统网络,云计算网络的流量模型发生了两个变化:一,从外部到内部的纵向流量加大;二,云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高的吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力,具体体现在以下两个方面:
参照云计算数据中心对于核心交换机设备的要求,即必须具备高密度的10G接口提供能力,安全设备接入数据中心,也必须以万兆级接入、万兆级性能处理为基础,并且要具备根据业务需求灵活扩展的能力;
随着服务器的虚拟化及多租户业务部署,云计算环境下的网络流量无序突发冲击会越来越严重,为保证云计算服务的服务质量,安全设备必须具备突发流量时的处理能力,尤其一些对延迟要求严格的业务。
在具体的设备选择上,数据中心的防火墙可以选择独立的设备形态(如H3C F5000高端40G独立盒式防火墙),也可以部署多个Secblade插卡来做性能扩展。在需要部署高性能防火墙时,可以在交换机部署多个插卡实现性能扩展,并可以实现比多台同等性能的独立设备组合节能50%以上(如图3所示)。
图3 防火墙部署方式
2.2 虚拟化
虚拟资源池化是IT资源发展的重要趋势,可以极大程度提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势,对应的云计算数据中心的防火墙、负载均衡等安全控制设备,也必须支持虚拟化能力,像计算和存储、网络一样能按需提供服务。以防火墙为例,防火墙的虚拟化使用一般应用三种场景。
1、 一般性应用:不启用虚拟防火墙
设备根据应用类型,按照业务将防火墙划分成多个安全域,再根据应用的隔离互访要求,实现域间安全控制(如图4所示)。
图4 一般性防火墙应用
2、 VPN组网环境下,启用虚拟防火墙,映射到VRF实现转发隔离
要实现对多个业务VPN的独立安全策略部署,一种方式是采用多台物理防火墙,另外一种是采用虚拟防火墙技术,将一台物理设备基于虚拟设备资源划分,并实现关键特性的多实例配置(如NAT多实例),从而实现不同VPN下的不同转发和控制策略(如图5所示)。
图5 VPN组网防火墙应用
3、 多租户应用环境(云计算服务提供商 )
每个虚拟设备具备独立的管理员权限,可以随时监控、调整策略的配置实现情况;多个虚拟设备的管理员可以同时操作。设备具备多个配置文件,允许每个虚拟设备的配置可以独立保存,虚拟设备日志可以独立管理。
图6 多租户防火墙应用
如图6所示,将一台安全设备虚拟成多台安全设备(如防火墙),分配给不同业务系统使用,并且各业务系统可以自主管理各自的虚拟设备,配置各自的安全策略,保证业务系统之间的安全隔离,此时的防火墙作为资源池方式部署在数据中心,与网络、服务器和存储一起实现云计算中心端到端的虚拟化资源池(如图7所示)。
图7 端到端虚拟资源池化
2.3 VM之间安全防护需求
与传统的安全防护不同,虚拟机环境下,同台物理服务器虚拟成多台VM以后,VM之间的流量交换基于服务器内部的虚拟交换,管理员对于该部分流量既不可控也不可见,但实际上根据需要,不同的VM之间需要划分到不同的安全域,进行隔离和访问控制如图8所示。
图8 不同VM之间安全需求
要解决虚拟化内部之间的安全防护,可通过EVB协议(如VEPA协议)将虚拟机内部的不同VM之间网络流量全部交由与服务器相连的物理交换机进行处理,如图9所示,这将使得安全部署变得同传统边界防护一样简单。
图9 基于EVB的安全防护
需要重点提出,云计算中对于云计算数据中心内服务器/虚拟机的网关选择问题,一般有两种方案(如图所10示)。
图10 两种网关选择
该方案可以实现租户内不同服务器(如Web、APP、DB)的安全域隔离,也可以实现租户间的安全隔离。由于防火墙为众多流量的控制点,因此要求它具有较高的转发性能。
该方案只能实现不同租户间的安全隔离,无法在防火墙上实现租户内的不同服务器安全域隔离,对于同一租户内的不同服务器访问控制,只能依靠接入交换机(DC Acc)上的ACL来实现。由于网关在交换机上,所以转发性能较高。
可见,方案一要求防火墙具备非常高的转发性能,方案二转发性能高,但无法满足安全隔离控制要求。因此,对于云计算数据中心服务网关的选择上,建议根据不同租户的安全需求进行区分对待,分散防火墙的压力,同时满足租户内的安全域隔离,具体原则如下:
1. 对于需要部署防火墙的提供更高级服务的租户,网关部署在vFW上;
2. 对于不需要防火墙防护的普通租户,网关部署在核心交换机上。
结束语
云计算数据中心网络安全部署仅仅是云基础架构中基本的建设环节,要保证云计算中心的安全,还要考虑数据加密、备份,信息的认证授权访问以及法律、法规合规性要求,只有全面的进行规划,才能建立全面、完善的云数据中心安全综合防御体系。