圖1 計算虛擬化的兩種表現(xiàn)形式
虛擬化后數(shù)據(jù)中心面臨的安全問題
傳 統(tǒng)數(shù)據(jù)中心網(wǎng)絡安全包含縱向安全策略和橫向安全策略���,無論是哪種策略,傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡安全都只關注業(yè)務流量的訪問控制�����,將流量安全控制作為唯一的規(guī)劃考 慮因素��。而虛擬化數(shù)據(jù)中心的網(wǎng)絡安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間��,即增加網(wǎng)絡安全策略(如圖2所示)��,網(wǎng)絡安全策略能夠滿足主機順暢的加入�、離開 集群,或者是動態(tài)遷移到其它物理服務器����,并且實現(xiàn)海量用戶、多業(yè)務的隔離��。����。
圖2 數(shù)據(jù)中心虛擬化安全模型
虛擬化數(shù)據(jù)中心對網(wǎng)絡安全提出三點需求:
1、在保證不同用戶或不同業(yè)務之間流量訪問控制�����,還要支持多租戶能力;
2����、網(wǎng)絡安全策略可支撐計算集群中成員靈活的加入、離開或者遷移;
3��、網(wǎng)絡安全策略可跟隨虛擬機自動遷移���。
在上述三個需求中����,第一個需求是對現(xiàn)有網(wǎng)絡安全策略的增強。后兩個需求則需要一些新的規(guī)劃準則或技術來實現(xiàn)����,這給當前網(wǎng)絡安全策略帶來了挑戰(zhàn)。
應對之道
VLAN擴展
虛擬化數(shù)據(jù)中心作為集中資源對外服務��,面對的是成倍增長的用戶����,承載的服務是海量的,尤其是面向公眾用戶的運營云平臺���。數(shù)據(jù)中心管理人員不但要考慮云主機(虛擬機或者物理機)的安全�����,還需要考慮在云平臺中大量用戶���、不同業(yè)務之間的安全識別與隔離。
要 實現(xiàn)海量用戶的識別與安全隔離�,需要為虛擬化數(shù)據(jù)中心的每一個租戶提供一個唯一的標識����。目前看開���,VLAN是最好的選擇,但由于VLAN數(shù)最多只能達到 4096����,無法滿足虛擬化數(shù)據(jù)中心業(yè)務開展,因此需要對VLAN進行擴展�����。如圖3所示��,VLAN擴展的有以下兩個實現(xiàn)途徑�����。
圖3 VLAN擴展兩種思路
QinQ:采用VLAN嵌套的方式將VLAN的數(shù)量擴展到160萬個�。內(nèi)層標簽稱為用戶VLAN即C-VLAN,外層標簽成為運營VLAN��,即 S-VLAN���,例如100個C-VLAN不同的同一類用戶可以封裝同一個相同S-VLAN��,極大的擴展VLAN的數(shù)量��。該方法配置簡單�,易維護。但其缺點 是接入的用戶規(guī)模較小���。
VPLS:用戶VLAN封裝在不同VPLAS通道內(nèi)��,不同的用戶封裝不同的VPLS通道即可實現(xiàn)海量用戶之間良好 的安全控制�。其優(yōu)點是接入規(guī)模大�����, 可伸縮性強����,易于跨地域數(shù)據(jù)中心之間平滑擴展。不足之處是VPLS會導致數(shù)據(jù)中心內(nèi)配置較復雜��,使數(shù)據(jù)中心之間擴展復雜度變大�。
在實際選擇時,可以根據(jù)數(shù)據(jù)中心對外服務的業(yè)務特點�,對照上述兩種方式的優(yōu)缺點,選擇合適的實現(xiàn)方式�。
隔離手段與網(wǎng)關選擇
虛擬化數(shù)據(jù)中心關注的重點是實現(xiàn)整體資源的靈活調(diào)配,因此在考慮網(wǎng)絡安全控制時必須考慮網(wǎng)絡安全能支撐計算資源調(diào)配的靈活性,只有將二者結合才能實現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡安全的最佳配置?����?紤]虛擬化數(shù)據(jù)中心的安全部署時�����,建議按照先關注靈活性�����、再關注安全控制的思路進行��。
無論是集群計算還是虛擬機遷移都涉及到主機調(diào)配�����,當主機資源在同一個二層網(wǎng)絡內(nèi)被調(diào)配時��,多數(shù)應用才能保持連續(xù)性����,因此為滿足計算資源的靈活調(diào)配����,應該構建二層網(wǎng)絡�����,否則一旦跨網(wǎng)段將導致應用中斷或長時間的業(yè)務影響�?����?梢?����,網(wǎng)絡安全控制不能阻斷二層網(wǎng)絡內(nèi)主機的靈活調(diào)配�。
基于上述思想,網(wǎng)絡安全控制點盡量上移���,并且服務器網(wǎng)關盡量不設在防火墻上��。因為防火墻屬于強控制設施����,網(wǎng)關一旦在防火墻上靈活性將大大的受到限制�����。
如圖4所示,以數(shù)據(jù)中心主流的B/S服務模式為例����,網(wǎng)絡安全策略可按如下規(guī)劃:
圖4 主機網(wǎng)關地址落點選擇
Ÿ 將二層網(wǎng)絡向上擴大��,創(chuàng)造一個適合主機調(diào)配的二層網(wǎng)絡環(huán)境���。
Ÿ 選擇網(wǎng)關IP地址的落點與主機分組隔離方案�。
圖 4左圖方案中不設置防火墻���,主機網(wǎng)關地址落在匯聚交換機上�����。承載業(yè)務的WEB��、APP�����、DB主機劃分為同一個VLAN(即VLAN1)內(nèi)����。針對 VLAN部署安全策略,忽略交換機端口差異性���, WEB�、APP��、DB之間互訪不受限制�����。承載WEB����、APP、DB的主機可以在VLAN1內(nèi)被靈活調(diào)配�����。該方案極大的滿足了虛擬化數(shù)據(jù)中心主機調(diào)配的靈活 性����,但完全忽視了網(wǎng)絡安全控制,因此適合封閉的內(nèi)部數(shù)據(jù)中心并且追求性能與高效業(yè)務部署�����,如互聯(lián)網(wǎng)企業(yè)的大型虛擬化數(shù)據(jù)中心。
圖4右圖為得到普遍應用的虛擬化數(shù)據(jù)中心網(wǎng)絡安全方案�。承載業(yè)務的WEB、APP�、DB主機劃分為三個VLAN內(nèi),屬于相同VLAN內(nèi)的主機可在對應的二層網(wǎng)絡內(nèi)靈活調(diào)配�。以下重點討論主機網(wǎng)關設在不同位置時如何實現(xiàn)WEB、APP��、DB之間互訪控制�。
主機網(wǎng)關設在防火墻上
服 務器群的網(wǎng)關設在防火墻上�,防火墻通過VRRP提供冗余,冗余備份組通過靜態(tài)路由下一跳指向IRF2交換機三層接口�����,防火墻進行虛擬化�,分割成多 個防火墻實例提供網(wǎng)絡安全服務,對每塊防火墻劃分三個邏輯實例���,每一對虛擬防火墻工作在主備方式;可工作在雙主用模式��,防火墻實例分布在兩臺上面�����,從而達 到負載分擔和冗余備份的能力���。此時��,三組服務器的網(wǎng)關地址各不相同�,各組服務器內(nèi)的虛擬機只能在本VLAN內(nèi)遷移�,如WEB、APP�、DB三種服務器分別 對應在VLAN 2、VLAN3��、VLAN4內(nèi)�。防火墻做服務器網(wǎng)關,L2分區(qū)之間互訪必須經(jīng)由防火墻對互訪流量做狀態(tài)檢測�����,并WEB���、APP���、DB之間完全由防火墻實現(xiàn) 訪問控制�����,屬于強隔離措施����。
此方式適合業(yè)務相對穩(wěn)定�,流量模型固定的業(yè)務;并且業(yè)務之間隔離度高的環(huán)境。如銀行的核心信貸����、資金管理系統(tǒng),企業(yè)的ERP系統(tǒng)等�����。
主機網(wǎng)關設在匯聚交換機上
采 用IRF2后匯聚交換機仍然是L2與L3的分界點�����,面向服務器一側工作在三層模式�����,面向網(wǎng)絡一側工作在二層模式���。匯聚交換機作為WEB/AP /DB服務器的網(wǎng)關��,WEB/AP/DB服務器二層分區(qū)之間互訪經(jīng)由匯聚交換機ACL做訪問控制;防火墻作為邊界安全控制設備�����。
將防火墻 和交換機劃分VRF(虛擬路由轉(zhuǎn)發(fā)表)����,同一業(yè)務在同一VRF內(nèi)���,WEB/APP/DB則分布到同一VRF的不同二層分區(qū)內(nèi)���。同一業(yè)務的 WEB/APP/DB通過交換機三層轉(zhuǎn)發(fā)訪問,并以ACL進行訪問控制;不同業(yè)務之間的訪問���,跨VRF通過防火墻控制���。另外,對于某個三層接口(網(wǎng)段)�, 當需要訪問另一個網(wǎng)段并且需要經(jīng)過防火墻時,就配置一條以防火墻為下一跳的“弱策略路由”����,當防火墻失效�,則該策略路由也失效����。在緊急情況,旁路防火墻�����, 即可保證網(wǎng)絡的聯(lián)通狀態(tài)����。
此方式適合虛擬化環(huán)境下虛擬機遷移的需求,對業(yè)務調(diào)整頻繁的業(yè)務是一種很好的應對策略����,同時�,由于不同應用之間的隔離采用交換機ACL實現(xiàn),因此適合業(yè)務安全隔離要求一般���,主機調(diào)配靈活性要求稍高的環(huán)境�����。如大企業(yè)的業(yè)務開發(fā)中心等�。
安全策略動態(tài)遷移
虛擬化數(shù)據(jù)中新帶來的最大挑戰(zhàn)就是網(wǎng)絡安全策略要跟隨虛擬機自動遷移。在創(chuàng)建虛擬機或虛擬機遷移時�����,虛擬機主機需要能夠正常運行�,除了在服務器上的資源合理調(diào)度,其網(wǎng)絡連接的合理調(diào)度也是必須的���。
圖5 網(wǎng)絡安全配置自動遷移
如 圖5所示�����,虛擬機1從pSrv1上遷移到pSrv2上��,其網(wǎng)絡連接從原來的由pSRV1上vSwitchA的某個端口組接入到Edge Switch1�,變成由pSRV2上vSwitchB的某個端口組接入到Edge Switch2��。若遷移后對應的Edge Switch的網(wǎng)絡安全配置不合適�����,會造成虛擬機1遷移后不能正常使用。尤其是原先對虛擬機1的訪問設置了安全隔離ACL��,以屏蔽非法訪問保障虛擬機1上 業(yè)務運行服務質(zhì)量�。因此在發(fā)生虛擬機創(chuàng)建或遷移時,需要同步調(diào)整相關的網(wǎng)絡安全配置���。并且�,為了保證虛擬機的業(yè)務連續(xù)性���,除了虛擬化軟件能保證虛擬機在服 務器上的快速遷移���,相應的網(wǎng)絡連接配置遷移也需要實時完成。即網(wǎng)絡具有“隨需而動”的自動化能力����。
但在VEB vSwtich模式下,通常會出現(xiàn)多個虛擬機的配置都重復下發(fā)到一個物理接口上��,很難做到針對每一個虛擬機的精細化網(wǎng)絡安全配置管理����。因此只有先精細化區(qū) 分流量(比如源IP、源MAC�、VLAN等),再進行針對性的網(wǎng)絡安全配置遷移與本地配置自動化去部署�����。目前業(yè)界最優(yōu)的解決方法就是在主機鄰接物理交換機 采用vPort的概念�����。一個虛擬機幫定一個或幾個特定的vPort�����,虛擬機遷移時�����,只需在對應的鄰接物理交換機上將虛擬機對應的網(wǎng)絡配置Profile綁 定到vPort上即可��,而不會對其它虛擬機的vPort產(chǎn)生影響�����。
目前正在形成標準的VDP方案對網(wǎng)絡安全配置自動遷移提供了良好的支撐能力��。
鄰 接交換機使用VDP協(xié)議發(fā)現(xiàn)虛擬機實例�����,并向網(wǎng)管系統(tǒng)獲取對應的網(wǎng)絡安全配置Profile并部署到相應的vPort接口上。同時��,虛擬機遷移前 的接入位置物理交換機也會通過VDP解關聯(lián)通告�,去部署相應的profile對應的本地配置。加入VDP后�,完全不依賴網(wǎng)管系統(tǒng)對虛擬機接入物理網(wǎng)絡的定 位能力,提高網(wǎng)絡配置遷移的準確性和實時性����。
虛擬化數(shù)據(jù)中心是當前與未來的發(fā)展方向,而網(wǎng)絡安全作為基礎的承載保障平臺面臨一些新的挑戰(zhàn)����,一方面我們對現(xiàn)有技術進行優(yōu)化改進以適應這種挑戰(zhàn),另一方面新技術與方案也在不斷的出現(xiàn)來應對挑戰(zhàn)����。只有這樣才能多快好省的構造虛擬化數(shù)據(jù)中心的網(wǎng)絡安全。
