总第6期
2016年4月刊
Focus    焦点
Focus    焦点
云数据中心安全设计与实现
文/龚一斌
分享

作为承载应用的核心,数据中心的规划与建设一直是IT基础设施建设关注的重点。随着应用模式的变迁以及科技的发展,数据中心的建设模式也在不断变革,从诞生至今,数据中心的建设模式经历了四个阶段。

1、 大型机时代

70年代~80年代早期,数据中心的建设围绕大型机开展,资源高度集中,利用分时机制实现多任务处理,满足多业务并发处理需求。大型机运行专属操作系统,建设&运维成本高昂,应用系统开发周期长。

2、 小型机&服务器时代

80年代中期~90年代,随着服务器及小型机的普及,数据中心建设出现资源小型化趋势,利用标准化的服务器构建数据中心,能够有效降低应用开发与部署成本。由于服务器低成本的设计需求,其可靠性与传统大型机存在一定的差距,部分高可靠性应用采取独立的小型机模式部署。此时期资源分配的最小单位为服务器/小型机,资源通常根据应用系统的建设需求条带化分配部署,不同应用系统的资源无法灵活调度/共享,资源利用率低。

3、 虚拟化数据中心

二十一世纪伊始,计算&存储虚拟化技术的发展为数据中心的建设提供了新的方向,利用虚拟化技术将资源分片,通过资源共享的方式提升计算&存储设备的利用率,能够大幅降低数据中心建设与运行成本。采用虚拟化技术构建的数据中心能够根据业务需求灵活分配计算&存储资源,但网络、安全资源&策略的管理仍然独立于计算&存储资源,应用的交付仍然需要人工部署对应的网络&安全资源&策略,无法满足应用运行环境按需自动化交付的需求。

4、 云数据中心

随着网络虚拟化、SDN等技术的发展与成熟,数据中心开始利用云平台将基础设施进一步整合,计算、存储、网络资源一体化管理,根据应用需求按需自动交付,满足应用运行环境快速部署的需求。云数据中心的出现进一步简化了数据中心运维,降低数据中心的运营成本。安全作为数据中心建设不可或缺的一环,如何进行集中管理与交付成为云数据中心建设重点关注的内容。

一、云数据中心面临的安全挑战

云计算技术的发展带来了新一轮的IT技术变革,赋予了应用灵活性、扩展性、快速交付的能力,但同时也给安全策略的部署与管理带来巨大的挑战。

1、 网络边界模糊

图1 传统数据中心安全业务部署模型

传统数据中心(如图1)业务采用分区、分层部署的模型,每一个业务分区/分层间存在物理网络边界,安全设备通常以物理形态部署在不同的分区/分层边界处进行安全管控。

图2 云数据中心逻辑拓扑

云数据中心(如图2)所有计算资源共享同一套物理网络,不同业务分区通过逻辑网络(VLAN或VxLAN)进行隔离,业务计算资源(VM)可根据需求动态迁移、伸缩,业务分区间网络边界变得模糊,传统基于物理边界进行安全策略部署的模式已不再适用。

2、 流量监控困难

云数据中心计算资源采用虚拟化技术部署,为提高数据交换效率,同一台物理服务器内部不同虚拟机(VM)间互访的流量通常通过内置的vSwitch直接进行交换转发,传统基于物里网络设备进行流量监控的方法无法监控到同一台服务器内部虚拟机间的流量。

3、 策略动态跟随

虚拟机(VM)动态迁移技术可让虚拟机在不关机且持续提供服务的前提下从一台物理服务器迁移到另一台物理服务器,在计算资源重新规划调整的情况下可保证业务的连续运行与数据的一致性,在云数据中心的运维过程中得到普遍的应用。虚拟机迁移前后所在的网络位置可能产生变化,如何保证虚拟机迁移后对应的网络安全策略跟随虚机动态生效是云数据中心安全资源&策略部署时所必须考虑的问题。

4、 安全按需交付

资源动态按需交付是云数据中心的基础需求,同网络、计算、存储资源一样,云数据中心安全资源也需要能够根据应用部署的需求按需灵活交付。传统基于物理拓扑路径部署独立安全设备的模式存在安全能力无法动态复用、物理安全设备容易成为性能瓶颈的问题,已无法满足云数据中心围绕应用需求动态弹性交付安全资源的需求,安全资源的虚拟化与安全业务部署的物理解耦技术成为云数据中心安全策略部署的关键需求。

5、 安全管理边界

以租代建模式不仅可以减少用户直接投资,降低建设、运行成本,灵活满足业务发展对IT基础设施的需求,而且在云服务提供商专业技术&运营团队的支持下,业务运行稳定性和可靠性可以得到有效的保障,已被越来越多的客户所认可采纳。安全问题是用户在业务上云规划时所关注的首要问题,厘清安全管理边界,明确双方安全管理职责与协调机制,确保各自职责范围内的安全技术与管理措施得到有效的执行,这些是云服务提供商和租用云服务的客户所需要共同考虑的问题。安全管理边界的明晰,不仅可以确保云数据中心承载租户业务的安全运行,而且在安全事件处理时可以有效整合双方资源,快速定位解决存在的安全问题,避免事后责任追查与归属时的推诿问题。

6、 安全等保合规

信息安全建设是一项长期而复杂的系统工程,涉及网络、主机、操作系统、业务系统等多个层面,只有从各层面建立起完整的安全保护体系,才能真正保证整个信息系统的安全性。等级保护作为我国信息安全保障工作的基本制度,同时也是一系列基本标准、技术标准的集合,通过规范化的技术措施与安全评估有效保证了业务系统的安全性,在政务、医疗、教育、金融、能源等领域得到有效的推行。在业务系统上云时,如何保证迁移到云上的业务系统仍然能够满足等保合规要求是这类客户关注的重点。由于云计算技术在我国的应用还处于发展阶段,云数据中心应用的虚拟化、SDN等新兴技术引入了新的风险点,相关技术仍在不断地发展变化,云安全等保相关标准还在补充完善,云数据中心安全建设需要紧密跟踪云等保相关标准工作的进展,确保云平台及云上承载的业务系统全面符合等保合规要求。

二、云数据中心安全设计与实现

云数据中心安全防护设计需要充分考虑云计算的特点与需求,基于对安全威胁的分析明确安全需求,充分利用现有成熟的安全控制措施,结合云计算的特点和最新技术进行综合考虑,以满足风险管理及合规性要求,保障和促进云计算业务的发展。

1、 云数据中心安全体系架构(如图3)

图3 云数据中心安全体系架构

云数据中心安全规划与建设需要关注下面几个部分:

  • 云平台基础设施安全

云平台涵盖构建云数据中心的网络设备、安全设备、计算资源、存储资源以及对应的管理设施(Portal门户、OpenStack、网络管理、安全管理、SDN控制器等),云平台一旦被攻破,其上承载的所有应用安全都将受到威胁,云平台作为一个整体需要部署对应的安全设施与策略进行安全管控与防护,确保基础设施的运行安全。

  • 租户安全

租户安全是云数据中心区别于传统数据中心安全业务部署与管理的关键需求,涉及租户应用系统的安全运行防护、租户间安全隔离、地址重叠(VPC)、租户内应用系统间安全隔离、租户应用系统不同组件间安全访问控制等多个方面。租户应用系统的安全运行防护包括网络安全、主机安全、虚拟化安全、应用安全、数据安全、安全审计多个方面,云数据中心的安全建设需要使安全防护能力能够根据租户的安全防护需求灵活调度,全面满足租户应用系统安全运行防护需求。

  • 物理安全

云数据中心面临的物理层安全风险与传统数据中心基本相同,主要包括物理主机、网络、存储等基础设施安全,物理通信线路安全、电力安全、温湿控制系统安全、消防安全等需要考虑的因素。

  • 容灾备份

容灾备份作为数据中心建设的基本需求,主要解决自然突发灾害时应用系统的持续性需求,确保应用及数据的安全,在云数据中心安全建设时也需要重点关注。

  • 安全运维管理&安全保障体系

"三分技术,七分管理",有效的运维管理是保障安全的重要手段。云数据中心安全建设对数据安全、隐私保护提出了更高的要求,在数据管理权与所有权分离的状态下这些问题显得更加突出。结合云数据中心的运营与运行特点,建立对应的安全运维管理与安全保障体系是云数据中心安全运营的必要措施。

2、 云数据中心安全交付模式

随着OpenStack开源社区的发展,越来越多的厂家开始考虑将自己的产品/解决方案与OpenStack融合,为客户提供基于OpenStack云平台的解决方案,OpenStack成为事实上的云平台标准框架。由于各厂家基础设施实现的差异性,通常会提供自己的控制器实现其所提供的网络/安全设备的集中管理与控制。基于OpenStack云平台框架进行安全业务部署时通常存在下面两种模式:

图4 网络&安全控制器融合部署模式

  • 网络&安全控制器融合部署模式(如图4)

当构建云数据中心的网络、安全设备为同一厂商提供时通常采用网络&安全控制器融合部署模式,唯一的控制器通过Neutron插件与基于OpenStack的云平台对接,提供标准的网络与安全服务。由于当前OpenStack定义的标准化安全服务仅包括防火墙、负载均衡、VPN等传统网络安全服务,入侵检测、防病毒、Web安全、数据库审计、运维审计等应用层安全服务通常采用云平台直接与控制器北向私有借口对接的方式提供。通过单一控制器提供网络&安全一体化交付的模式,云平台与控制器对接简单,能够快速集成与交付网络&安全基础设施。

图5 网络&安全控制器分离部署模式

  • 网络&安全控制器分离部署模式(如图5)

当构建云数据中心的网络、安全设备为不同厂商提供时通常采用网络&安全控制器分离部署模式,网络控制器通过注册Neutron中的网络部分插件与基于OpenStack的云平台对接,实现网络的自动化交付;安全控制器通过注册Neutron中安全业务相关插件与云平台对接,实现安全业务的自动化交付。网络、安全控制器分离部署模式下,云平台需要分别与网络控制器和安全控制器对接,且需要协调网络设备实现安全业务部署所需的流量牵引联动处理,业务整合部署相对单一控制器模式要更加复杂,网络&安全基础设施的集成往往需要花费更多的时间。

3、 云数据中心安全解决方案

针对云数据中心所带来的安全挑战,SDN和NFV作为新一代网络技术,既可通过独自层面去解决不同的网络问题,满足不同角度的业务需求,又能够紧密结合服务链技术,实现安全资源灵活调度、动态扩展、按需快速交付,全面满足用户对业务安全部署的要求。

图6 以“SDN+NFV+服务链”为依托的云数据中心安全解决方案

H3C云数据中心安全解决方案(如图6)以“SDN+NFV+服务链”技术为依托,聚焦应用安全灵活调度安全资源,具备安全可视、可控、安全资源自动化部署、弹性扩展、平台开放等特点。

  • 全面地安全防护服务

除防火墙、负载均衡、VPN等基础网络安全服务,H3C云数据中心安全解决方案还集成了入侵检测、防病毒、WAF、网页防篡改、数据库审计、运维审计等服务,结合虚拟网络隔离技术,全面满足用户安全等保合规建设需求。

  • 弹性可扩展安全资源池

通过服务链技术按需灵活调度业务流量,使安全资源的部署与物理网络位置解耦。基于容器的硬件虚拟化技术,为虚拟设备独立运行提供资源保障,结合IRF双机堆叠技术,提供安全可靠的安全服务。系统全面兼容硬件、NFV方式的安全资源池,安全资源可在线扩容,现网业务运行不受影响。

  • 安全业务自动化部署

通过SDN与服务链技术的结合,VCFC控制器可实现网络、安全资源的一体化管理与调度,云数据中心安全业务部署所需的安全资源分配、业务流量调度、安全策略部署得以集中交付,轻松实现安全业务的自动化部署。

  • 安全可视化管理

通过与天机系统的集成,可实现安全拓扑、业务风险、安全合规等可视化管理,安全运维管理变得简单。

  • 开放的技术平台

除了H3C自研的CAS虚拟化平台,H3C云数据中心安全解决方案全面兼容KVM、VMWare等主流虚拟化平台,能够与CloudOS、基于OpenStack的第三方云平台、第三方私有云平台对接,通过控制器开放API与服务链代理技术支持第三方安全设备的纳管,实现云安全资源的集中交付。

三、结束语

云计算模式当前已得到业界普遍认同,成为信息技术领域新的发展方向。随着云计算的大量应用,云环境的安全问题也日益突出。在云计算时代,每天新增的数据量非常巨大,需要处理的数据成倍增加,各种应用千变万化,给安全管理带来了很大的挑战。建立自动化、虚拟化、可动态弹性伸缩的云安全防护体系已是大势所趋。伴随SDN、NFV、服务链技术的不断演进,安全大数据分析技术的突破发展,云安全的防护体系将不断完善,最终促使云计算得以更加健康、有序的发展。

关闭