雲資料中心網路安全服務架構研討論文
雲資料中心網路安全服務架構研討論文
摘要:隨著虛擬化技術的快速發展,近年來網際網路領域實現了較為長足的進步,雲資料中心的廣泛建設便屬於這種進步的直觀體現,這也使得近年來我國圍繞雲資料中心開展的研究大量湧現。基於此,本文簡單分析了雲資料中心網路安全服務需求、雲資料中心網路安全服務架構思路,並詳細論述了雲資料中心網路安全服務架構應用例項,希望由此能夠為相關業內人士帶來一定啟發。
關鍵詞:雲資料中心;網路安全服務;分散式網路架構;虛擬化技術
0前言
雲資料中心(SDDC)的實現離不開成熟的虛擬化技術支援,雲資料中心物理資源抽象化、資源池化的實現也得益於計算虛擬化、網路虛擬化、儲存虛擬化,雲資料中心服務因此具備彈性、敏捷性以及高效性優勢。而為了最大發揮這種優勢、推動我國雲資料中心實現進一步發展,正是本文圍繞雲資料中心網路安全服務架構開展具體研究的原因所在。
1雲資料中心網路安全服務需求分析
雲資料中心具備的彈性、敏捷性以及高效性優勢使得其對網路安全存在較高需求,這就使得雲資料中心的安全服務必須統一到管理平臺上,因此其網路安全服務需求可以概括為以下兩個方面。
1.1特性需求
由於安全服務必須統一到雲資料中心管理平臺上,這就使得雲資料中心的彈性、敏捷性以及高效性將對安全服務提出一定需求,這種需求的具體表現如下所示:
(1)敏捷性。安全服務需要靈活部署於雲資料中心,整個資料中心、具體業務應用均需要納入安全服務保障,且安全服務需保證自身啟停不對中心日常業務執行造成影響,因此敏捷性需求必須得到關注。
(2)彈性。安全服務需具備動態調整能力以滿足業務變化需要,這一動態調整應脫離管理員干涉、基於具體服務規則開展。
(3)高效性。需保證安全服務可由所有使用者分享,以此實現統一管理、資源高效利用[1]。
1.2具體需求
除特性需求外,雲資料中心網路安全服務的具體需求也應得到關注,這類需求的主要內容如下所示:
(1)業務跟隨。需保證安全服務隨使用者虛擬機器遷移而遷移,以此實現安全防護、業務流量的全過程跟隨。
(2)服務擴充套件。安全服務需結合攻擊演變隨時擴充套件與調整,能否在現有基礎上更新、擴充套件將直接影響安全服務效用發揮。
(3)支援多型別資料中心。安全服務需滿足不同雲資料中心需要,這使得其需要獨立於管理平臺,必要時捨棄Hypervisor技術支援,不同雲資料中的相同安全保障將由此實現。
2雲資料中心網路安全服務架構思路
簡單瞭解雲資料中心網路安全服務需求後,本文提出了分散式網路安全虛擬化架構思路,而結合該思路明確的雲資料中心網路安全服務架構具體組成同樣具備較高參考意義。
2.1基本思路
部署於使用者虛擬網路的邊界、在所有需要安全服務的物理機上啟動虛擬化安全裝置屬於現階段存在的兩種虛擬化安全裝置網路部署方式,前者本質上屬於個體物理安全裝置的虛擬化,後者則屬於多臺裝置管理器與網路裝置的虛擬化,但考慮到兩種方式均無法較好滿足雲資料中心網路安全服務架構需要,因此本文提出了一種分散式網路安全虛擬化架構思路。該架構主要由資料中心管理平臺、安全服務控制平面、安全服務平面、物理伺服器叢集組成,由此即可實現流量視覺化、微隔離、安全服務、支援業務遷移、全網行為分析等安全服務[2]。雲資料中心分散式網路安全虛擬化架構的具體組成如下所示:
(1)安全服務控制平面。主要由NBI、生命週期管理、使用者資產輪詢、安全管理介面、安全策略管理、日誌監控、擴充套件服務管理組成,其中NBI負責對外提供北向介面,而透過這些功能即可實現實時的使用者資產配置獲取,管理員也能夠由此開展高質量的安全服務管理。
(2)安全服務平面。主要由安全服務虛機、擴充套件服務虛機、虛擬機器、虛擬網路、Hypervisor組成,虛擬機器在其中負責整合複雜功能、擴充套件服務模組以形成服務鏈,而Hypervisor則能夠為全服務虛擬機器的執行提供支援。
2.2具體組成
結合更深入分析,確定了由引流平面和安全服務平面分離組成並運行於虛擬機器的控制平面(支援高可用性)、採用分散式部署並執行在虛擬機器上的安全服務平面、應用SDN引流和虛擬交換機的引流平面,而服務模組的'擴充套件則透過啟動虛擬機器實現,這一雲資料中心網路安全服務架構思路不僅滿足了上文提及的全部需求,安全服務更被賦予了統一管理和開放介面特性。流量視覺化、微隔離、安全服務、支援業務遷移、全網行為分析屬於該架構具備的主要服務能力,如安全服務能夠提供L2到L7的安全服務,防火牆、應用識別、攻擊防護、URL過濾等均屬於安全服務的具體組成,可見該架構的完善性[3]。
3雲資料中心網路安全服務架構應用例項
為提升研究實踐價值,本文圍繞上述雲資料中心網路安全服務架構在不同型別雲資料中心的應用進行了詳細論述,該架構在不同雲資料中心基於不同安全需求開展的靈活適配具備較高借鑑價值。
3.1VMware資料中心
在VMware資料中心的網路安全服務架構應用中,該架構實現了與vCenter的協調管理,vCenter、安全服務控制平面、物理伺服器叢集、安全服務平面屬於架構的具體應用,而在VSS/VDS(虛擬交換機)的引流支援下,該網路安全服務架構可支援ESXiHypervisor,L2至L7的安全服務也將由此實現。結合VMware資料中心特點,網路安全服務架構特別準備了擴充套件日誌分析模組,該模組主要負責流量日誌的分析處理,而分析處理的結果將自動送至資料中心日誌伺服器。
3.2OpenStack資料中心
對於應用網路安全服務架構的OpenStack資料中心來說,OpenStack、安全服務控制平面、安全服務平面、物理伺服器叢集屬於該架構的主要構成,其中OpenStack主要由FWaaSplugin、Neutron、Cinder、Nova組成,由此即可實現使用者網路資訊的獲取和生命週期管理。在OpenStack資料中心的網路安全服務架構應用中,使用OpenSwitch引流、支援KVMhypervisor屬於該部署的主要特點,由此實現的多租戶場景支援、線上部署、L2至L7安全服務提供也應得到關注。
3.3自主開發雲平臺
自主雲平臺開發同樣屬於本文研究分散式網路安全虛擬化架構的典型應用,自主開發管理平臺、安全服務控制平面、SDN控制器、物理伺服器叢集、安全服務平面屬於該應用的具體組成,而在管理API支援下,該架構可實現使用者和網路資訊的獲取、高水平生命週期管理。透過呼叫SDN控制器QPI實現映象引流、支援ZENhypervisor與KVM,則使得整個架構能夠在檢測到虛擬機器攻擊行為後在最短時間內實現虛擬機器隔離,整個平臺的安全效能自然將由此實現大幅提升。
4結論
綜上所述,本文研究的雲資料中心網路安全服務架構具備較高推廣潛力,而在此基礎上,文中涉及的分散式網路安全虛擬化架構在VMware資料中心、OpenStack資料中心、自主開發雲平臺中的實際應用,則證明了設計思想的可行性。因此本文建議相關業內人士關注本文滲透的設計思想,並由此推動我國雲資料中心的更好發展。
參考文獻:
[1]張小梅,馬錚,朱安南等.雲資料中心安全防護解決方案[J].郵電設計技術,2016.
[2]姚帥,陸蓓.基於SDN技術的雲資料中心演進方案研究及試點[J].電信技術,2015.
[3]張旭輝.運營商雲資料中心網路安全技術研究綜述[J].中國新通訊,2015.