云計算數(shù)據(jù)中心網(wǎng)絡安全防護部署

    關于云計算數(shù)據(jù)中心的安全防護，CSA(Cloud Security Alliance，云安全聯(lián)盟)在《云計算關鍵領域建設指南》的D7中一共提出8條建議，其中與網(wǎng)絡安全相關的安全風險建議有4條：

    云服務提供商提供獲得承諾或授權進行客戶方或外部第三方審計的權利；

    云服務提供商技術架構和基礎設施如何滿足服務水平SLA的能力；

    云服務提供商為了符合安全要求，必須能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡、管理、部署和人員方面的全方位相互"隔離"；

    云服務提供商在業(yè)務發(fā)生波動時調動資源提供系統(tǒng)可用性和性能。

    如何去實現(xiàn)上述網(wǎng)絡安全防護的具體部署，各個云計算服務和基礎設施提供商，根據(jù)自己的建設方案要求和擅長出發(fā)，提出了相應安全解決方案，以此來達到相關的要求。我們從傳統(tǒng)的數(shù)據(jù)中心安全建設出發(fā)，向云數(shù)據(jù)中心遷移中，結合云計算建設和風險建議原則，探討云計算數(shù)據(jù)中心的安全部署。

1 傳統(tǒng)數(shù)據(jù)中心的安全建設模型

    傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是：分區(qū)規(guī)劃、分層部署。

    1.1 分區(qū)規(guī)劃

    分區(qū)規(guī)劃，就是在網(wǎng)絡中存在不同價值和易受攻擊程度不同的應用或業(yè)務單元，按照這些應用或業(yè)務單元的情況制定不同的安全策略和信任模型，將網(wǎng)絡劃分為不同區(qū)域，以滿足以下需求。

    業(yè)務需求：以邏輯或數(shù)據(jù)中心物理區(qū)域進行業(yè)務規(guī)劃，有助于業(yè)務在企業(yè)的開展與管理, 同一業(yè)務劃分在一個安全域內。

    數(shù)據(jù)流：根據(jù)數(shù)據(jù)流特征進行分區(qū)規(guī)劃，盡量使得數(shù)據(jù)中心業(yè)務流流向可控、同一區(qū)域相似性強、流量可監(jiān)測，便于對數(shù)據(jù)流進行安全審計和訪問控制。

    應用的邏輯功能：不同應用的部署方式有區(qū)別，對網(wǎng)絡配置需求不同，按應用邏輯特點進行分區(qū)模塊化，便于維護管理差異性應用，安全等級一致的應用邏輯可以在安全域上進行歸并。

    IT安全的需求：數(shù)據(jù)中心分區(qū)，有助于區(qū)域的統(tǒng)一安全要求標準化管理。

    根據(jù)上述需求，一般情況下，數(shù)據(jù)中心網(wǎng)絡劃分為以下的分區(qū)：

    ·核心區(qū)：提供各分區(qū)模塊互聯(lián)

    ·外聯(lián)業(yè)務區(qū)：企業(yè)對外業(yè)務、互聯(lián)網(wǎng)業(yè)務部署區(qū)

    ·Intranet區(qū)： 企業(yè)內部業(yè)務系統(tǒng)部署區(qū)域

    ·測試區(qū)：企業(yè)新應用上線測試區(qū)

    ·運營管理區(qū) ：企業(yè)IT運營中心

    ·集成區(qū)： 企業(yè)應用系統(tǒng)之間信息交換區(qū)域、信息共享區(qū)域

    ·存儲區(qū)： 企業(yè)數(shù)據(jù)存儲專區(qū)

    ·容災備份區(qū)： 提供企業(yè)容災、業(yè)務一致性

    1.2 分層部署

    在分區(qū)基礎上，按照全面的安全防護部署要求，在每個區(qū)域的邊界處，根據(jù)實際情況進行相應的安全需求部署，一般的安全部署包括，防DDoS攻擊、流量分析與控制，異構多重防火墻、VPN、入侵防御以及負載均衡等需求。

    值得一提的是，在業(yè)務的部署過程中，由于設備的功能獨立性，往往需要進行糖葫蘆串式的部署，這種部署方式往往會增加部署的復雜性，同時架構的可靠性也大大降低，為此，一些廠商提出網(wǎng)絡安全融合方案，可以將獨立設備組網(wǎng)簡化為網(wǎng)絡安全的集成業(yè)務，大大簡化設計和優(yōu)化管理。

2 云計算數(shù)據(jù)中心的安全建設模型

    較傳統(tǒng)數(shù)據(jù)中心，云計算的基礎數(shù)據(jù)中心建設無明顯差別，同樣需要分區(qū)標準化、模塊化部署，一般都采用旁掛核心或者匯聚交換機的部署。考慮到云計算的特點，其最大需求是實現(xiàn)計算、存儲等IT資源靈活調度，讓資源得到最充分利用，而實現(xiàn)這一需求的基礎是以數(shù)據(jù)中心的虛擬機作為主要的計算資源為客戶提供服務。在這種模式下，數(shù)據(jù)中心建設出現(xiàn)了新的需求。

    2.1 高性能要求

    較傳統(tǒng)網(wǎng)絡，云計算網(wǎng)絡的流量模型發(fā)生了兩個變化：一，從外部到內部的縱向流量加大；二，云業(yè)務內部虛擬機之間的橫向流量加大。為保證未來業(yè)務開展，整個云計算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力，在數(shù)據(jù)轉發(fā)和控制的各個節(jié)點上不能存在阻塞，同時具備突發(fā)流量的承受能力，具體體現(xiàn)在以下兩個方面：

    ·參照云計算數(shù)據(jù)中心對于核心交換機設備的要求，即必須具備高密度的10G接口提供能力，安全設備接入數(shù)據(jù)中心，也必須以萬兆級接入、萬兆級性能處理為基礎，并且要具備根據(jù)業(yè)務需求靈活擴展的能力；

    ·隨著服務器的虛擬化及多租戶業(yè)務部署，云計算環(huán)境下的網(wǎng)絡流量無序突發(fā)沖擊會越來越嚴重，為保證云計算服務的服務質量，安全設備必須具備突發(fā)流量時的處理能力，尤其一些對延遲要求嚴格的業(yè)務。

    在具體的設備選擇上，數(shù)據(jù)中心的防火墻可以選擇獨立的設備形態(tài)（如H3C F5000高端40G獨立盒式防火墻），也可以部署多個Secblade插卡來做性能擴展。在需要部署高性能防火墻時，可以在交換機部署多個插卡實現(xiàn)性能擴展，并可以實現(xiàn)比多臺同等性能的獨立設備組合節(jié)能50%以上。

    2.2 虛擬化

    虛擬資源池化是IT資源發(fā)展的重要趨勢，可以極大程度提高資源利用率，降低運營成本。目前服務器、存儲器的虛擬資源池化技術已經(jīng)日趨成熟，網(wǎng)絡設備的虛擬資源池化也已經(jīng)成為趨勢，對應的云計算數(shù)據(jù)中心的防火墻、負載均衡等安全控制設備，也必須支持虛擬化能力，像計算和存儲、網(wǎng)絡一樣能按需提供服務。以防火墻為例，防火墻的虛擬化使用一般應用三種場景。

    1、 一般性應用：不啟用虛擬防火墻

    設備根據(jù)應用類型，按照業(yè)務將防火墻劃分成多個安全域，再根據(jù)應用的隔離互訪要求，實現(xiàn)域間安全控制。

    2、 VPN組網(wǎng)環(huán)境下，啟用虛擬防火墻，映射到VRF實現(xiàn)轉發(fā)隔離

    要實現(xiàn)對多個業(yè)務VPN的獨立安全策略部署，一種方式是采用多臺物理防火墻，另外一種是采用虛擬防火墻技術，將一臺物理設備基于虛擬設備資源劃分，并實現(xiàn)關鍵特性的多實例配置（如NAT多實例），從而實現(xiàn)不同VPN下的不同轉發(fā)和控制策略（如圖所示）。

圖1 VPN組網(wǎng)防火墻應用

    3、 多租戶應用環(huán)境（云計算服務提供商 ）

    每個虛擬設備具備獨立的管理員權限，可以隨時監(jiān)控、調整策略的配置實現(xiàn)情況；多個虛擬設備的管理員可以同時操作。設備具備多個配置文件，允許每個虛擬設備的配置可以獨立保存，虛擬設備日志可以獨立管理。

    如圖2所示，將一臺安全設備虛擬成多臺安全設備（如防火墻），分配給不同業(yè)務系統(tǒng)使用，并且各業(yè)務系統(tǒng)可以自主管理各自的虛擬設備，配置各自的安全策略，保證業(yè)務系統(tǒng)之間的安全隔離，此時的防火墻作為資源池方式部署在數(shù)據(jù)中心，與網(wǎng)絡、服務器和存儲一起實現(xiàn)云計算中心端到端的虛擬化資源池（如圖所示）。

圖2 端到端虛擬資源池化

    2.3 VM之間安全防護需求

    與傳統(tǒng)的安全防護不同，虛擬機環(huán)境下，同臺物理服務器虛擬成多臺VM以后，VM之間的流量交換基于服務器內部的虛擬交換，管理員對于該部分流量既不可控也不可見，但實際上根據(jù)需要，不同的VM之間需要劃分到不同的安全域。

    要解決虛擬化內部之間的安全防護，可通過EVB協(xié)議（如VEPA協(xié)議）將虛擬機內部的不同VM之間網(wǎng)絡流量全部交由與服務器相連的物理交換機進行處理，如圖9所示，這將使得安全部署變得同傳統(tǒng)邊界防護一樣簡單。

    需要重點提出，云計算中對于云計算數(shù)據(jù)中心內服務器/虛擬機的網(wǎng)關選擇問題，一般有兩種方案（如圖所示）。

圖3 兩種網(wǎng)關選擇

    該方案可以實現(xiàn)租戶內不同服務器（如Web、APP、DB）的安全域隔離，也可以實現(xiàn)租戶間的安全隔離。由于防火墻為眾多流量的控制點，因此要求它具有較高的轉發(fā)性能。

    該方案只能實現(xiàn)不同租戶間的安全隔離，無法在防火墻上實現(xiàn)租戶內的不同服務器安全域隔離，對于同一租戶內的不同服務器訪問控制，只能依靠接入交換機（DC Acc）上的ACL來實現(xiàn)。由于網(wǎng)關在交換機上，所以轉發(fā)性能較高。

    可見，方案一要求防火墻具備非常高的轉發(fā)性能，方案二轉發(fā)性能高，但無法滿足安全隔離控制要求。因此，對于云計算數(shù)據(jù)中心服務網(wǎng)關的選擇上，建議根據(jù)不同租戶的安全需求進行區(qū)分對待，分散防火墻的壓力，同時滿足租戶內的安全域隔離，具體原則如下：

    1. 對于需要部署防火墻的提供更高級服務的租戶，網(wǎng)關部署在vFW上；

    2. 對于不需要防火墻防護的普通租戶，網(wǎng)關部署在核心交換機上。

結束語

    云計算數(shù)據(jù)中心網(wǎng)絡安全部署僅僅是云基礎架構中基本的建設環(huán)節(jié)，要保證云計算中心的安全，還要考慮數(shù)據(jù)加密、備份，信息的認證授權訪問以及法律、法規(guī)合規(guī)性要求，只有全面的進行規(guī)劃，才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標題：云計算數(shù)據(jù)中心網(wǎng)絡安全防護部署

本文網(wǎng)址：http://m.hanmeixuan.com/html/support/1112159685.html