中國電信股份有限公司北京研究院 | 張鑒

云計算為電信運營商帶來了良好機遇，為實現(xiàn)精細化運營、推進轉(zhuǎn)型深化提供了利器。而安全性是客戶選擇云計算時的首要考慮因素之一，也是在建設云計算平臺時的關鍵問題。

挑戰(zhàn)一：網(wǎng)絡結(jié)構(gòu)演進

云計算的特點是實現(xiàn)計算、存儲等IT資源靈活調(diào)度，讓資源得到最充分利用，而實現(xiàn)這一需求的基礎是以數(shù)據(jù)中心的虛擬機作為主要的計算資源為客戶提供服務。較傳統(tǒng)網(wǎng)絡，云計算網(wǎng)絡的流量模型發(fā)生了兩個變化：一是從外部到內(nèi)部的縱向流量加大；二是云業(yè)務內(nèi)部虛擬機之間的橫向流量加大。為保證未來業(yè)務開展，整個云計算數(shù)據(jù)中心必須具有高吞吐能力和處理能力，在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個節(jié)點上不能存在阻塞，同時具備突發(fā)流量的承受能力。

挑戰(zhàn)二：虛擬化環(huán)境的安全要求

對于遷移到云計算環(huán)境中的系統(tǒng)而言，網(wǎng)絡層安全防護最明顯的變化，是傳統(tǒng)的以物理服務器為單位劃分安全域的訪問控制方法將不再適用，對于虛擬機而言，只提供虛擬機鏡像的邏輯隔離和域名的邏輯隔離。如何實現(xiàn)虛擬安全域的隔離和訪問控制將是設計網(wǎng)絡層安全防護體系的核心問題。

因此對于云計算網(wǎng)絡層面的安全解決方案要求一個高度可擴展的網(wǎng)絡安全防護架構(gòu)，能夠?qū)崿F(xiàn)跨越物理和虛擬環(huán)境的保護，對VM之間的流量進行實時查看和威脅檢測，并且不會對服務器造成額外的負載。同時，它要求支持更廣泛的網(wǎng)絡訪問，可以通過用戶、組和應用程序進行策略設定，而不是僅僅通過靜態(tài)屬性（IP地址、MAC地址）來管理策略。

適用于云計算環(huán)境的網(wǎng)絡架構(gòu)

對于云計算數(shù)據(jù)中心網(wǎng)絡架構(gòu)，目前國際的云計算提供商主要有兩種架構(gòu)方案。

一種網(wǎng)絡架構(gòu)是以Amazon AWS為代表的全虛擬化架構(gòu)，完全取消物理服務器的概念，系統(tǒng)僅運行在虛擬機上。AWS的虛擬化系統(tǒng)是以開源XEN系統(tǒng)為基礎，Amazon進行了深入的定制化開發(fā)和整合。

另一種網(wǎng)絡架構(gòu)就是所謂的Cloud Center架構(gòu)，以Gogrid為代表。這種架構(gòu)在云中采用標準的技術和協(xié)議建立標準的數(shù)據(jù)中心服務，與傳統(tǒng)的數(shù)據(jù)中心非常相似，只是在物理服務器上增加了虛擬機，另外在多租戶模式等方面有一些差別，優(yōu)點是可以將傳統(tǒng)的技術和基礎設施更平滑地轉(zhuǎn)移到云中。

圖 云計算平臺網(wǎng)絡安全防護部署示意圖

圖為基于Cloud Center架構(gòu)的云數(shù)據(jù)中心網(wǎng)絡安全防護體系的部署示意圖。建議在云數(shù)據(jù)中心邊界部署專業(yè)的抗DDOS攻擊設備，防火墻建議采用旁掛式部署在核心交換機之上，啟用雙機模式。防火墻設備和抗DDOS攻擊設備在選型時要充分考慮云數(shù)據(jù)中心的業(yè)務類型、業(yè)務容量、業(yè)務擴容性預期等，從而對設備架構(gòu)、功能、性能指標、可靠性、擴展性等進行嚴格的遴選和測試。建議將云平臺中的每個業(yè)務系統(tǒng)單獨劃分為一個安全域，啟用硬件防火墻上的虛擬防火墻功能，通過VLAN ID將不同安全域綁定到不同的虛擬防火墻，這樣每個業(yè)務系統(tǒng)可以有獨立安全邊界和獨立的管理員，通過虛擬防火墻可以設置獨立的安全訪問控制策略。對于虛擬防火墻和虛擬主機安全產(chǎn)品的選擇，要重點考慮啟用安全特性之后的性能損耗和產(chǎn)品的集中配置管理能力。

對于安全設備選擇應著重考慮以下兩個方面：

● 安全設備接入數(shù)據(jù)中心，應具備萬兆級接入、萬兆級性能處理為基礎，并且要具備根據(jù)業(yè)務需求靈活擴展的能力；

● 隨著服務器的虛擬化及多租戶業(yè)務部署，云計算環(huán)境下的網(wǎng)絡流量無序突發(fā)沖擊會越來越嚴重，為保證云計算服務的服務質(zhì)量，安全設備必須具備突發(fā)流量時的處理能力，尤其一些對延遲要求嚴格的業(yè)務。

虛擬化環(huán)境的網(wǎng)絡防護

在云計算數(shù)據(jù)中心中，由于虛擬化技術打破了物理邊界，使得傳統(tǒng)的基于物理服務器和物理邊界的網(wǎng)絡安全防護體系難以有效的應用在虛擬主機的安全隔離和安全監(jiān)控上。對于虛擬化環(huán)境網(wǎng)絡防護需要重點考慮如下兩方面。

虛擬機安全隔離

傳統(tǒng)的基于物理邊界建立安全域的方法只適用于物理主機，對于虛擬主機如何實現(xiàn)有效的安全隔離，是安全防護需要重點考慮的問題。

虛擬機安全監(jiān)控

同一物理主機中的虛擬機之間的數(shù)據(jù)交互是通過vSwitch實現(xiàn)的，這部分流量不會出現(xiàn)在物理交換機上，因此傳統(tǒng)的安全設備無法監(jiān)控虛擬機之間的數(shù)據(jù)流量，也無法察覺虛擬機之間的攻擊行為。

對于解決虛擬主機的安全隔離和安全監(jiān)控問題，目前業(yè)內(nèi)主要有兩種技術方案。

1) 將虛擬主機網(wǎng)絡管理的范圍從服務器內(nèi)部轉(zhuǎn)移到網(wǎng)絡設備

將虛擬機內(nèi)部的不同VM之間網(wǎng)絡流量全部交由與服務器相連的物理交換機進行處理，這將使得安全部署變得同傳統(tǒng)邊界防護一樣簡單。

這種思路目前有兩種解決方案，分別是基于VN-Tag（虛擬網(wǎng)絡標簽）的802.1Qbh和基于VEPA（虛擬以太網(wǎng)端口聚合）的802.1Qbg。目前這兩個標準還處于草案階段，尚未正式發(fā)布。

這種解決思路的最大優(yōu)點是，將復雜的控制功能重新交給技術成熟的網(wǎng)絡設備，可以繼續(xù)沿用傳統(tǒng)的網(wǎng)絡安全控制機制，但目前相關產(chǎn)品的技術成熟度和商品化程度不夠。

2) 在虛擬化層實施安全隔離和安全監(jiān)控

由于虛擬機之間的通信在虛擬化層可見，因此虛擬化軟件公司可以將虛擬化層接口開放給合作公司，由第三方開發(fā)虛擬化安全防護軟件。如VMware在虛擬化層提供了vShield安全套件，可提供虛擬安全邊界、防火墻、流量監(jiān)控、防病毒等安全功能。

此方案不僅解決了虛擬主機的安全隔離和安全監(jiān)控問題，也提供了客戶虛擬機的安全保護能力，同時實現(xiàn)了安全策略配置的自動遷移，應該說提供了虛擬主機安全防護體系的一攬子解決方案。但此方案也存在一定的缺點，一方面，安全套件在虛擬化層實現(xiàn)，沒有備份，存在單點故障；另一方面，安全套件以軟件形式實現(xiàn)，處理能力相對有限，而且會影響虛擬化層的性能。

綜上，基于虛擬化層的安全套件目前有較為成熟的商業(yè)產(chǎn)品，并且提供了針對虛擬主機安全防護體系的一攬子解決方案，因此是目前較為適合的選擇。但由于虛擬化安全套件有單點故障和性能影響等方面的缺陷，因此應與傳統(tǒng)的安全設備和技術手段相結(jié)合，建立縱深的安全防護體系。