探讨云计算数据中心的安全部署
关于云计算数据中心的安全防护,CSA云安全联盟在《云计算关键领域建设指南》中一共提出8条建议,其中与网络安全相关的安全风险建议有4条:
如何去实现上述网络安全防护的具体部署,各个云计算服务和基础设施提供商,根据自己的建设方案要求和擅长出发,提出了相应安全解决方案,以此来达到相关的要求。我们从传统的数据中心安全建设出发,向云数据中心迁移中,结合云计算建设和风险建议原则,探讨云计算数据中心的安全部署。
1 传统数据中心的安全建设模型
传统数据中心安全部署的一般核心思路是:分区规划、分层部署。
1.1 分区规划
分区规划,就是在网络中存在不同价值和易受攻击程度不同的应用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信任模型,将网络划分为不同区域,以满足以下需求。
根据上述需求,一般情况下,数据中心网络划分为以下的分区:
1.2 分层部署
在分区基础上,按照全面的安全防护部署要求,在每个区域的边界处,根据实际情况进行相应的安全需求部署,一般的安全部署包括,防ddos攻击、流量分析与控制,异构多重防火墙、VPN、入侵防御以及负载均衡等需求。
值得一提的是,在业务的部署过程中,由于设备的功能独立性,往往需要进行糖葫芦串式的部署(如下图左所示),这种部署方式往往会增加部署的复杂性,同时架构的可靠性也大大降低,为此,一些厂商提出网络安全融合方案,可以将独立设备组网简化为网络安全的集成业务,大大简化设计和优化管理(如下图右所示)。
2 云计算数据中心的安全建设模型
较传统数据中心,云计算的基础数据中心建设无明显差别,同样需要分区标准化、模块化部署,一般都采用旁挂核心或者汇聚交换机的部署。考虑到云计算的特点,其最大需求是实现计算、存储等IT资源灵活调度,让资源得到最充分利用,而实现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供服务。在这种模式下,数据中心建设出现了新的需求。
2.1 高性能要求
较传统网络,云计算网络的流量模型发生了两个变化:一、从外部到内部的纵向流量加大;二、云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高的吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力,具体体现在以下两个方面:
在具体的设备选择上,数据中心的防火墙可以选择独立的设备形态,也可以部署多个Sec blade插卡来做性能扩展。在需要部署高性能防火墙时,可以在交换机部署多个插卡实现性能扩展,并可以实现比多台同等性能的独立设备组合节能50%以上。
2.2 虚拟化
虚拟资源池化是IT资源发展的重要趋势,可以极大程度提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势,对应的云计算数据中心的防火墙、负载均衡等安全控制设备,也必须支持虚拟化能力,像计算和存储、网络一样能按需提供服务。以防火墙为例,防火墙的虚拟化使用一般应用三种场景。
1、 一般性应用:不启用虚拟防火墙:设备根据应用类型,按照业务将防火墙划分成多个安全域,再根据应用的隔离互访要求,实现域间安全控制。
2、 VPN组网环境下,启用虚拟防火墙,映射到VRF实现转发隔离:要实现对多个业务VPN的独立安全策略部署,一种方式是采用多台物理防火墙,另外一种是采用虚拟防火墙技术,将一台物理设备基于虚拟设备资源划分,并实现关键特性的多实例配置(如NAT多实例),从而实现不同VPN下的不同转发和控制策略。
3、 多租户应用环境(云计算服务提供商 ):每个虚拟设备具备独立的管理员权限,可以随时监控、调整策略的配置实现情况;多个虚拟设备的管理员可以同时操作。设备具备多个配置文件,允许每个虚拟设备的配置可以独立保存,虚拟设备日志可以独立管理。将一台安全设备虚拟成多台安全设备(如防火墙),分配给不同业务系统使用,并且各业务系统可以自主管理各自的虚拟设备,配置各自的安全策略,保证业务系统之间的安全隔离,此时的防火墙作为资源池方式部署在数据中心,与网络、服务器和存储一起实现云计算中心端到端的虚拟化资源池。
2.3 VM之间安全防护需求
与传统的安全防护不同,虚拟机环境下,同台物理服务器虚拟成多台VM以后,VM之间的流量交换基于服务器内部的虚拟交换,管理员对于该部分流量既不可控也不可见,但实际上根据需要,不同的VM之间需要划分到不同的安全域,进行隔离和访问控制。
要解决虚拟化内部之间的安全防护,可通过EVB协议(如VEPA协议)将虚拟机内部的不同VM之间网络流量全部交由与服务器相连的物理交换机进行处理,这将使得安全部署变得同传统边界防护一样简单。
需要重点提出,云计算中对于云计算数据中心内服务器/虚拟机的网关选择问题,一般有两种方案(如图所示)。
可见,方案一要求防火墙具备非常高的转发性能,方案二转发性能高,但无法满足安全隔离控制要求。因此,对于云计算数据中心服务网关的选择上,建议根据不同租户的安全需求进行区分对待,分散防火墙的压力,同时满足租户内的安全域隔离,具体原则如下:
结束语
云计算数据中心网络安全部署仅仅是云基础架构中基本的建设环节,要保证云计算中心的安全,还要考虑数据加密、备份,信息的认证授权访问以及法律、法规合规性要求,只有全面的进行规划,才能建立全面、完善的云数据中心安全综合防御体系。