云计算数据中心网络安全防护部署

　　2 云计算数据中心的安全建设模型

　　较传统数据中心，云计算的基础数据中心建设无明显差别，同样需要分区标准化、模块化部署，一般都采用旁挂核心或者汇聚交换机的部署。考虑到云计算的特点，其最大需求是实现计算、存储等IT资源灵活调度，让资源得到最充分利用，而实现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供服务。在这种模式下，数据中心建设出现了新的需求。

　　2.1 高性能要求

　　较传统网络，云计算网络的流量模型发生了两个变化：一，从外部到内部的纵向流量加大;二，云业务内部虚拟机之间的横向流量加大。为保证未来业务开展，整个云计算数据中心必须具有高的吞吐能力和处理能力，在数据转发和控制的各个节点上不能存在阻塞，同时具备突发流量的承受能力，具体体现在以下两个方面：

　　· 参照云计算数据中心对于核心交换机设备的要求，即必须具备高密度的10G接口提供能力，安全设备接入数据中心，也必须以万兆级接入、万兆级性能处理为基础，并且要具备根据业务需求灵活扩展的能力;

　　· 随着服务器的虚拟化及多租户业务部署，云计算环境下的网络流量无序突发冲击会越来越严重，为保证云计算服务的服务质量，安全设备必须具备突发流量时的处理能力，尤其一些对延迟要求严格的业务。

　　在具体的设备选择上，数据中心的防火墙可以选择独立的设备形态(如H3C F5000高端40G独立盒式防火墙)，也可以部署多个Secblade插卡来做性能扩展。在需要部署高性能防火墙时，可以在交换机部署多个插卡实现性能扩展，并可以实现比多台同等性能的独立设备组合节能50%以上(如图3所示)。

　　图3 防火墙部署方式

　　2.2 虚拟化

　　虚拟资源池化是IT资源发展的重要趋势，可以极大程度提高资源利用率，降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟，网络设备的虚拟资源池化也已经成为趋势，对应的云计算数据中心的防火墙、负载均衡等安全控制设备，也必须支持虚拟化能力，像计算和存储、网络一样能按需提供服务。以防火墙为例，防火墙的虚拟化使用一般应用三种场景。

　　1、 一般性应用：不启用虚拟防火墙

　　设备根据应用类型，按照业务将防火墙划分成多个安全域，再根据应用的隔离互访要求，实现域间安全控制(如图4所示)。

　　图4 一般性防火墙应用

　　2、 VPN组网环境下，启用虚拟防火墙，映射到VRF实现转发隔离

　　要实现对多个业务VPN的独立安全策略部署，一种方式是采用多台物理防火墙，另外一种是采用虚拟防火墙技术，将一台物理设备基于虚拟设备资源划分，并实现关键特性的多实例配置(如NAT多实例)，从而实现不同VPN下的不同转发和控制策略(如图5所示)。

　　图5 VPN组网防火墙应用

　　3、 多租户应用环境(云计算服务提供商 )

　　每个虚拟设备具备独立的管理员权限，可以随时监控、调整策略的配置实现情况;多个虚拟设备的管理员可以同时操作。设备具备多个配置文件，允许每个虚拟设备的配置可以独立保存，虚拟设备日志可以独立管理。

　　图6 多租户防火墙应用

　　如图6所示，将一台安全设备虚拟成多台安全设备(如防火墙)，分配给不同业务系统使用，并且各业务系统可以自主管理各自的虚拟设备，配置各自的安全策略，保证业务系统之间的安全隔离，此时的防火墙作为资源池方式部署在数据中心，与网络、服务器和存储一起实现云计算中心端到端的虚拟化资源池(如图7所示)。

　　图7 端到端虚拟资源池化

　　2.3 VM之间安全防护需求

　　与传统的安全防护不同，虚拟机环境下，同台物理服务器虚拟成多台VM以后，VM之间的流量交换基于服务器内部的虚拟交换，管理员对于该部分流量既不可控也不可见，但实际上根据需要，不同的VM之间需要划分到不同的安全域，进行隔离和访问控制如图8所示。

　　图8 不同VM之间安全需求

　　要解决虚拟化内部之间的安全防护，可通过EVB协议(如VEPA协议)将虚拟机内部的不同VM之间网络流量全部交由与服务器相连的物理交换机进行处理，如图9所示，这将使得安全部署变得同传统边界防护一样简单。

　　图9 基于EVB的安全防护

　　需要重点提出，云计算中对于云计算数据中心内服务器/虚拟机的网关选择问题，一般有两种方案(如图所10示)。

　　图10 两种网关选择

　　· 该方案可以实现租户内不同服务器(如Web、APP、DB)的安全域隔离，也可以实现租户间的安全隔离。由于防火墙为众多流量的控制点，因此要求它具有较高的转发性能。

　　· 该方案只能实现不同租户间的安全隔离，无法在防火墙上实现租户内的不同服务器安全域隔离，对于同一租户内的不同服务器访问控制，只能依靠接入交换机(DC Acc)上的ACL来实现。由于网关在交换机上，所以转发性能较高。

　　可见，方案一要求防火墙具备非常高的转发性能，方案二转发性能高，但无法满足安全隔离控制要求。因此，对于云计算数据中心服务网关的选择上，建议根据不同租户的安全需求进行区分对待，分散防火墙的压力，同时满足租户内的安全域隔离，具体原则如下：

　　1. 对于需要部署防火墙的提供更高级服务的租户，网关部署在vFW上;

　　2. 对于不需要防火墙防护的普通租户，网关部署在核心交换机上。

　　结束语

　　云计算数据中心网络安全部署仅仅是云基础架构中基本的建设环节，要保证云计算中心的安全，还要考虑数据加密、备份，信息的认证授权访问以及法律、法规合规性要求，只有全面的进行规划，才能建立全面、完善的云数据中心安全综合防御体系。