虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全設(shè)計(jì)

1、虛擬化數(shù)據(jù)中心給網(wǎng)絡(luò)安全帶來了一些挑戰(zhàn)，尤其是虛擬機(jī)的遷移，計(jì)算集群主機(jī)的加入與離開等都是傳統(tǒng)數(shù)據(jù)中心所沒有的。為解決這些問題虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)需要引入新思路和新技術(shù)，如VLAN擴(kuò)展，安全策略上移，網(wǎng)絡(luò)安全策略跟隨虛擬機(jī)動(dòng)態(tài)遷移等。虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全設(shè)計(jì)數(shù)據(jù)中心虛擬化是指采用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池，主要包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)三種資源。虛擬化后的數(shù)據(jù)中心不再象傳統(tǒng)數(shù)據(jù)中心那樣割裂的看待某臺(tái)設(shè)備或某條鏈路，而是將整個(gè)數(shù)據(jù)中心的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施當(dāng)作可按需分割的資源集中調(diào)配。數(shù)據(jù)中心虛擬化，從主機(jī)等計(jì)算資源的角度看，包含多合一與一分多兩個(gè)方向（如圖1所示），都提供了計(jì)算資源被按需

2、調(diào)配的手段。由于虛擬化的數(shù)據(jù)中心是計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)三種資源深度融合而成，因此主機(jī)虛擬化技術(shù)能夠順利實(shí)現(xiàn)必須由合適的網(wǎng)絡(luò)安全策略與之匹配，否則一切都無從談起。前者出現(xiàn)較早，主要包括集群計(jì)算等技術(shù)，以提升計(jì)算性能為主；而后者主要是近幾年出現(xiàn)的在一臺(tái)物理X86系統(tǒng)上的多操作系統(tǒng)同時(shí)并存的技術(shù)，以縮短業(yè)務(wù)部署時(shí)間，提高資源使用效率為主要目的。圖1計(jì)算虛擬化的兩種表現(xiàn)形式虛擬化后數(shù)據(jù)中心面臨的安全問題傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注業(yè)務(wù)流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)?/p>

3、三維空間，即增加網(wǎng)絡(luò)安全策略（如圖2所示），網(wǎng)絡(luò)安全策略能夠滿足主機(jī)順暢的加入、離開集群，或者是動(dòng)態(tài)遷移到其它物理服務(wù)器，并且實(shí)現(xiàn)海量用戶、多業(yè)務(wù)的隔離。2、網(wǎng)絡(luò)安全策略可支撐計(jì)算集群中成員靈活的加入、離開或者遷移;3、網(wǎng)絡(luò)安全策略可跟隨虛擬機(jī)自動(dòng)遷移。在上述三個(gè)需求中，第一個(gè)需求是對(duì)現(xiàn)有網(wǎng)絡(luò)安全策略的增強(qiáng)。后兩個(gè)需求則需要一些新的規(guī)劃準(zhǔn)則或技術(shù)來實(shí)現(xiàn)，這給當(dāng)前網(wǎng)絡(luò)安全策略帶來了挑戰(zhàn)。應(yīng)對(duì)之道VLAN擴(kuò)展虛擬化數(shù)據(jù)中心作為集中資源對(duì)外服務(wù)，面對(duì)的是成倍增長(zhǎng)的用戶，承載的服務(wù)是海量的，尤其是面向公眾用戶的運(yùn)營(yíng)云平臺(tái)。數(shù)據(jù)中心管理人員不但要考慮云主機(jī)（虛擬機(jī)或者物理機(jī)）的安全，還需要考慮在云平臺(tái)中

4、大量用戶、不同業(yè)務(wù)之間的安全識(shí)別與隔離。要實(shí)現(xiàn)海量用戶的識(shí)別與安全隔離，需要為虛擬化數(shù)據(jù)中心的每一個(gè)租戶提供一個(gè)唯一的標(biāo)識(shí)。目前看開，VLAN是最好的選擇，但由于VLAN數(shù)最多只能達(dá)到4096，無法滿足虛擬化數(shù)據(jù)中心業(yè)務(wù)開展，因此需要對(duì)VLAN進(jìn)行擴(kuò)展。如圖3所示，VLAN擴(kuò)展的有以下兩個(gè)實(shí)現(xiàn)途徑。QhiQVPLS；許LS空汕対arylai*Svari-CVlan:.|&AxHE?P1滑干冏圖3VLAN擴(kuò)展兩種思路rEjn用戶湎:米用VLAN嵌套的方式將VLAN的數(shù)量擴(kuò)展到160萬個(gè)。內(nèi)層標(biāo)簽稱為用戶VLAN即CVLAN，外層標(biāo)簽成為運(yùn)營(yíng)VLAN,即SVLAN,例如100個(gè)CVLAN不同的同一

5、類用戶可以封裝同一個(gè)相同SVLAN，極大的擴(kuò)展VLAN的數(shù)量。該方法配置簡(jiǎn)單，易維護(hù)。但其缺點(diǎn)是接入的用戶規(guī)模較小。VPLS:用戶VLAN封裝在不同VPLAS通道內(nèi)，不同的用戶封裝不同的VPLS通道即可實(shí)現(xiàn)海量用戶之間良好的安全控制。其優(yōu)點(diǎn)是接入規(guī)模大，可伸縮性強(qiáng)，易于跨地域數(shù)據(jù)中心之間平滑擴(kuò)展。不足之處是VPLS會(huì)導(dǎo)致數(shù)據(jù)中心內(nèi)配置較復(fù)雜，使數(shù)據(jù)中心之間擴(kuò)展復(fù)雜度變大。在實(shí)際選擇時(shí)，可以根據(jù)數(shù)據(jù)中心對(duì)外服務(wù)的業(yè)務(wù)特點(diǎn)，對(duì)照上述兩種方式的優(yōu)缺點(diǎn)，選擇合適的實(shí)現(xiàn)方式。隔離手段與網(wǎng)關(guān)選擇虛擬化數(shù)據(jù)中心關(guān)注的重點(diǎn)是實(shí)現(xiàn)整體資源的靈活調(diào)配,因此在考慮網(wǎng)絡(luò)安全控制時(shí)必須考慮網(wǎng)絡(luò)安全能支撐計(jì)算資源調(diào)配的靈

6、活性，只有將二者結(jié)合才能實(shí)現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全的最佳配置?？紤]虛擬化數(shù)據(jù)中心的安全部署時(shí)，建議按照先關(guān)注靈活性、再關(guān)注安全控制的思路進(jìn)行。無論是集群計(jì)算還是虛擬機(jī)遷移都涉及到主機(jī)調(diào)配，當(dāng)主機(jī)資源在同一個(gè)二層網(wǎng)絡(luò)內(nèi)被調(diào)配時(shí)，多數(shù)應(yīng)用才能保持連續(xù)性，因此為滿足計(jì)算資源的靈活調(diào)配，應(yīng)該構(gòu)建二層網(wǎng)絡(luò)，否則一旦跨網(wǎng)段將導(dǎo)致應(yīng)用中斷或長(zhǎng)時(shí)間的業(yè)務(wù)影響?？梢?，網(wǎng)絡(luò)安全控制不能阻斷二層網(wǎng)絡(luò)內(nèi)主機(jī)的靈活調(diào)配?；谏鲜鏊枷?，網(wǎng)絡(luò)安全控制點(diǎn)盡量上移，并且服務(wù)器網(wǎng)關(guān)盡量不設(shè)在防火墻上。因?yàn)榉阑饓儆趶?qiáng)控制設(shè)施，網(wǎng)關(guān)一旦在防火墻上靈活性將大大的受到限制。如圖4所示，以數(shù)據(jù)中心主流的B/S服務(wù)模式為例，網(wǎng)絡(luò)安全策略可

7、按如下規(guī)劃:y將二層網(wǎng)絡(luò)向上擴(kuò)大，創(chuàng)造一個(gè)適合主機(jī)調(diào)配的二層網(wǎng)絡(luò)環(huán)境。選擇網(wǎng)關(guān)IP地址的落點(diǎn)與主機(jī)分組隔離方案。圖4左圖方案中不設(shè)置防火墻，主機(jī)網(wǎng)關(guān)地址落在匯聚交換機(jī)上。承載業(yè)務(wù)的WEB、APP、DB主機(jī)劃分為同一個(gè)VLAN（即VLAN1）內(nèi)。針對(duì)VLAN部署安全策略，忽略交換機(jī)端口差異性，WEB、APP、DB之間互訪不受限制。承載WEB、APP、DB的主機(jī)可以在VLAN1內(nèi)被靈活調(diào)配。該方案極大的滿足了虛擬化數(shù)據(jù)中心主機(jī)調(diào)配的靈活性，但完全忽視了網(wǎng)絡(luò)安全控制，因此適合封閉的內(nèi)部數(shù)據(jù)中心并且追求性能與高效業(yè)務(wù)部署，如互聯(lián)網(wǎng)企業(yè)的大型虛擬化數(shù)據(jù)中心。圖4右圖為得到普遍應(yīng)用的虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全

8、方案。承載業(yè)務(wù)的WEB、APP、DB主機(jī)劃分為三個(gè)VLAN內(nèi)，屬于相同VLAN內(nèi)的主機(jī)可在對(duì)應(yīng)的二層網(wǎng)絡(luò)內(nèi)靈活調(diào)配。以下重點(diǎn)討論主機(jī)網(wǎng)關(guān)設(shè)在不同位置時(shí)如何實(shí)現(xiàn)WEB、APP、DB之間互訪控制。服務(wù)器群的網(wǎng)關(guān)設(shè)在防火墻上，防火墻通過VRRP提供冗余，冗余備份組通過靜態(tài)路由下一跳指向IRF2交換機(jī)三層接口，防火墻進(jìn)行虛擬化，分割成多個(gè)防火墻實(shí)例提供網(wǎng)絡(luò)安全服務(wù)，對(duì)每塊防火墻劃分三個(gè)邏輯實(shí)例，每一對(duì)虛擬防火墻工作在主備方式；可工作在雙主用模式，防火墻實(shí)例分布在兩臺(tái)上面，從而達(dá)到負(fù)載分擔(dān)和冗余備份的能力。此時(shí)，三組服務(wù)器的網(wǎng)關(guān)地址各不相同，各組服務(wù)器內(nèi)的虛擬機(jī)只能在本VLAN內(nèi)遷移，如WEB、APP、

9、DB三種服務(wù)器分別對(duì)應(yīng)在VLAN2、VLAN3、VLAN4內(nèi)。防火墻做服務(wù)器網(wǎng)關(guān)，L2分區(qū)之間互訪必須經(jīng)由防火墻對(duì)互訪流量做狀態(tài)檢測(cè)，并WEB、APP、DB之間完全由防火墻實(shí)現(xiàn)訪問控制，屬于強(qiáng)隔離措施。此方式適合業(yè)務(wù)相對(duì)穩(wěn)定，流量模型固定的業(yè)務(wù)；并且業(yè)務(wù)之間隔離度高的環(huán)境。如銀行的核心信貸、資金管理系統(tǒng)，企業(yè)的ERP系統(tǒng)等。采用IRF2后匯聚交換機(jī)仍然是L2與L3的分界點(diǎn)，面向服務(wù)器一側(cè)工作在三層模式，面向網(wǎng)絡(luò)一側(cè)工作在二層模式。匯聚交換機(jī)作為WEB/AP/DB服務(wù)器的網(wǎng)關(guān)，WEB/AP/DB服務(wù)器二層分區(qū)之間互訪經(jīng)由匯聚交換機(jī)ACL做訪問控制；防火墻作為邊界安全控制設(shè)備。將防火墻和交換機(jī)劃分

10、VRF（虛擬路由轉(zhuǎn)發(fā)表），同一業(yè)務(wù)在同一VRF內(nèi)，WEB/APP/DB則分布到同一VRF的不同二層分區(qū)內(nèi)。同一業(yè)務(wù)的WEB/APP/DB通過交換機(jī)三層轉(zhuǎn)發(fā)訪問，并以ACL進(jìn)行訪問控制；不同業(yè)務(wù)之間的訪問，跨VRF通過防火墻控制。另外，對(duì)于某個(gè)三層接口（網(wǎng)段），當(dāng)需要訪問另一個(gè)網(wǎng)段并且需要經(jīng)過防火墻時(shí)，就配置一條以防火墻為下一跳的“弱策略路由”，當(dāng)防火墻失效，則該策略路由也失效。在緊急情況，旁路防火墻，即可保證網(wǎng)絡(luò)的聯(lián)通狀態(tài)。此方式適合虛擬化環(huán)境下虛擬機(jī)遷移的需求，對(duì)業(yè)務(wù)調(diào)整頻繁的業(yè)務(wù)是一種很好的應(yīng)對(duì)策略，同時(shí)，由于不同應(yīng)用之間的隔離采用交換機(jī)ACL實(shí)現(xiàn)，因此適合業(yè)務(wù)安全隔離要求一般，主機(jī)調(diào)配靈

11、活性要求稍高的環(huán)境。如大企業(yè)的業(yè)務(wù)開發(fā)中心等。安全策略動(dòng)態(tài)遷移虛擬化數(shù)據(jù)中新帶來的最大挑戰(zhàn)就是網(wǎng)絡(luò)安全策略要跟隨虛擬機(jī)自動(dòng)遷移。在創(chuàng)建虛擬機(jī)或虛擬機(jī)遷移時(shí)，虛擬機(jī)主機(jī)需要能夠正常運(yùn)行，除了在服務(wù)器上的資源合理調(diào)度，其網(wǎng)絡(luò)連接的合理調(diào)度也是必須的。EdgeSwitch?pSrvSwitchB耳置f)NIC1S2連接從原B不合適,乂其網(wǎng)絡(luò)PrMGrou)Frot砲申LilqeSwitchl圖5網(wǎng)絡(luò)安全配置自動(dòng)遷移ProtGru町PTatGnxp由pSRvl上vSwi口組接入到Edge遷移后不障虛要同步調(diào)整相關(guān)的網(wǎng)絡(luò)虛擬化軟件能保證虛擬機(jī)在服務(wù)器上的快速遷移，相應(yīng)的網(wǎng)絡(luò)連接配置遷移也需要實(shí)時(shí)完成。即

12、網(wǎng)絡(luò)具有“隨需而動(dòng)”的自如圖5所示,虛擬機(jī)1從pSrvI上遷的某個(gè)端口組接入到EdgeSwSwitch2。若遷移后對(duì)應(yīng)的Edg能正常使用。尤其是原先對(duì)虛擬機(jī)1上業(yè)務(wù)運(yùn)行服務(wù)質(zhì)量。因此在發(fā)生虛擬機(jī)創(chuàng)建或遷j安全配置。并且，為了保證虛擬機(jī)的業(yè)務(wù)連續(xù)性，除了虛-SwitcV2上vSwitchchA動(dòng)化能力。但在VEBvSwtich模式下，通常會(huì)出現(xiàn)多個(gè)虛擬機(jī)的配置都重復(fù)下發(fā)到一個(gè)物理接口上，很難做到針對(duì)每一個(gè)虛擬機(jī)的精細(xì)化網(wǎng)絡(luò)安全配置管理。因此只有先精細(xì)化區(qū)分流量（比如源IP、源MAC、VLAN等），再進(jìn)行針對(duì)性的網(wǎng)絡(luò)安全配置遷移與本地配置自動(dòng)化去部署。目前業(yè)界最優(yōu)的解決方法就是在主機(jī)鄰接物理交換機(jī)采用vPort的概念。一個(gè)虛擬機(jī)幫定一個(gè)或幾個(gè)特定的vPort，虛擬機(jī)遷移時(shí)，只需在對(duì)應(yīng)的鄰接物理交換機(jī)上將虛擬機(jī)對(duì)應(yīng)的網(wǎng)絡(luò)配置Profile綁定到vPort上即可，而不會(huì)對(duì)其它虛擬機(jī)的vPort產(chǎn)生影響。目前正在形成標(biāo)準(zhǔn)的VDP方案對(duì)網(wǎng)絡(luò)安全配置自動(dòng)遷移提供了良好的支撐能力。鄰接交換機(jī)使用VDP協(xié)議發(fā)現(xiàn)虛擬機(jī)實(shí)例，并向網(wǎng)管系統(tǒng)獲取對(duì)應(yīng)的網(wǎng)絡(luò)安全配置Profile并部署到相應(yīng)的vPort接口上。同時(shí)，虛擬機(jī)遷移前的接入位置物理交換機(jī)也會(huì)通