云计算安全解决方案白皮书
Jack zhai
四、云朵内的安全设计思路---云导流方案
云朵内不同于传统的安全设计思路就是云导流方案。它实现了云朵内以流为核心,重塑信息系统逻辑网络拓扑的过程,同时,定义了该信息系统的安全属性,即部署的网络安全措施。
云导流方案包括三个核心的组成部分:策略管理平台、安全资源池、导流网络。
1、流量引导与控制模块(CFC:云导流模块)
流引导的范围就是导流控制的网络。该网络与虚拟机紧挨着,保证进出VM的流能得到正确的引导;该网络与安全资源池相邻,保证引导的数据包进入相应的资源池,并把处理完的流量再从新引导到正确的目的地。该网络与策略管理平台路由可达,保证执行的是正确的策略。
CFC模块包括如下几个组成部分:
交换机:负责数据包的实际转发,与策略管理平台互通,保证流的正确去向。
导流网络的边界交换机:对于进入的流,从安全策略服务器获得该业务流路由定义的标签,并为流的所有数据包打上该标签,让后续的交换机知道如何路由到下一跳;对于出去的流,摘掉这个标签,恢复原有的数据包,不影响系统、安全设备对数据包的处理;
导流网络的内部交换机:根据数据包的标签转发下一跳,而不是根据流的目的IP;
导流网络包括物理的交换机与虚拟平台内的虚拟交换机,两者可以支持不同的协议,只要能够识别统一的标签。
安全虚拟机(SVM):在每个物理服务器内部有一个安全虚拟机,负责该服务器内的所有的VM的监控流量引导;安全虚拟机在物理服务器加入到资源池时,自动安装,并与策略管理平台实时通信,部署在本服务器上VM的安全策略。
流引导的实现是策略服务器与交换机的协议互通,对流进行重新路由。根据安全设备对流处理的要求,流引导需要两种方式:流监控与流过滤。
流监控:不需要改变流原来的路由,需要将全部的流量复制一份交给安全设备处理即可。我们处理的方式是在虚拟交换机上进行端口镜像,将虚拟网卡的流量复制到安全虚拟机,经过处理后,再经过另外的物理网卡直接送到安全资源池。
流监控主要是满足并行接入的安全设备,如IDS、网络审计、异常流量监控等。
流过滤:需要对流的路由进行修改,让流“绕弯”进入安全设备,处理后再返回目标。实现流过滤引导的分两部分流量:
南北流量:进入虚拟化池之前,在导流网络的边界交换机上就开始进行流的引导,经过安全处理后再送到服务器虚拟化池的交换机上,最后进入VM;
东西流量:导流网络包括虚拟交换机,所以流从VM出来进入,在虚拟交换机的入口上就打上标签,转发到安全资源池,处理后重新导流,转发到实际的目的地。
在流过滤时,需要支持流引导协议。选择什么协议呢?
流引导协议的核心就是在导流网路(流引导控制区域)内,将原来的网络层参数封装起来,按照安全策略服务器重新定义路由的标签,并让交换机按照标签进行包转发,而不是根据目的IP转发。能够实现这种“重新路由”的协议很多,最为直接的是SDN,因为SDN协议设计时,已经将转发控制器与转发交换机分离,SDN控制器可以根据多个参数去定义新的路由转发策略,而不仅仅是访问控制列表ACL的五元组。下图是Openflow3.1协议支持路由组合的控制要素。
能实现导流网络内重新路由的还有很多成熟的路由协议,如BGP、MPLS、GRE、vxLAN(虚拟扩展LAN)、EVB(一种Vlan嵌套技术)等,其核心都是设立引导控制区域,在域内重新封装域内路由的通道技术。
CFC模块把流引导控制协议设计为接口模块,不同协议作为一个互通接口模块可选择。可以根据用户具体的网络情况,选择一个该网络统一支持的协议作为流引导控制协议。由于SDN交换机需要硬件升级,需要网络改造,因此,对现有网络中建议采用MPLS\EVB等成熟型协议,对于新建网络建议SDN协议。无论采用哪种协议,都要注意网络内物理交换机与虚拟交换机要支持同一种协议,否则标记不通用,就会影响通道路由的落地。
2、安全资源池管理模块 (VSP:虚拟安全池管理平台)
流量引导到安全资源池,需要进一步送到相应的安全措施上去处理,具体送到那个地址的设备上处理,以及处理结果的正确输出,就需要安全资源池管理模块了。
安全资源池管理平台是管理该类安全资源的服务平台,如同该安全资源的负载均衡管理模块,具体完成功能如下:
物理资源池管理,动态增加、删除物理设备,了解每个物理设备的运行动态与处理能力;物理资源池化管理可以兼容多个厂家、多种型号的设备,不关心物理接口,只关心处理能力;
虚拟资源池管理:管理安全虚拟机,负责动态生成与关闭,动态调整虚拟机的资源分配;虚拟资源池化管理也可以兼容不同厂家的安全软件,可以组合增加安全识别能力;
业务处理能力的动态调配。当某业务的流量动态增加或减少到一定的阈值,可以动态调整其占用的物理资源或虚拟资源,保证其处理能力平滑升级。
安全资源池化管理,不仅兼容各个厂家的设备,而且可以同时采用物理设备与虚拟设备,让用户真正实现“自来水”一样地安全使用安全资源,完成了继计算资源、存储资源、网络资源虚拟化之后的新突破,安全资源的虚拟化,让云计算服务为用户提供的是更加完整的IT服务方案。
3、业务系统安全策略管理平台 (BSM:业务安全管理平台)
有了安全资源处理,有了云导流控制,我们就可以把用户的安全策略落实到位了。业务安全策略管理平台是与导流方案的控制核心,它主要提供如下几方面的服务:
业务系统安全策略管理:安全策略的定义、修改,以及该业务系统安全状态的监控;
与虚拟化管理平台互通,跟踪虚拟机的动态信息,运行状态;
与云导流模块互通,下发安全策略到交换机上,在安全虚拟机内;
与安全资源池模块互通,了解安全资源动态与分配情况。
BSM是云朵内安全运维管理的总平台,除了与其他管理模块互联,落实业务安全策略之外,更为主要的就是运维人员的操作接口,从使用者角度,BSM应该实现几个功能模块:
业务系统管理,安全域的划分
安全资源管理,策略配置管理
安全域边界流量监控,发现逻辑安全域之间的异常流量
安全事件报警、跟踪处理平台
安全日志审计管理平台
为某业务管理运维人员(租户)提供安全运维管理通道
BSM为用户建立统一的安全管理平台SOC提供支持,BSM的安全事件监控模块就成为SOC在云朵内的一个采集引擎。也作为安全服务平台,为某业务系统的安全运维提供远程接入服务。
小结
本方案有如下优点:
1、 全程保障:实现虚拟机迁移过程中,安全策略不中断,不开安全保障的“天窗”。服务器虚拟化管理,保障VM迁移过程中,业务系统访问不中断是其重要特点。业务不中断,安全保障就不能中断,这是云计算服务安全解决方案设计的最基本要求。本方案在设计时,在每个物理服务器内设立安全虚拟机,保障VM迁移到那个物理服务器上,都立即接手该VM的安全策略部署,无需安全虚拟机跟随迁移;
2、 跨平台:VMWare平台提高很好的服务,但价格昂贵,KVM\XEN等平台开源,但需要用户自己的技术运维能力较强。随着用户在云上的业务量逐步增大,用户大多会尝试各种虚拟化管理平台,降低云服务的建设与运维成本。跨平台就成了必然的需求。本方案没有采用专用接口,在各种虚拟化管理平台上移植非常容易,而上层的业务安全策略、安全资源池管理都可以不同改动就直接使用。从用户的角度看,跨平台迁移时,业务安全策略保持不变,可以大大地降低迁移以及运维的成本;
3、 兼容性:采用安全资源池管理,不仅兼容各个厂家的硬件安全设备,而且可以兼容未来的安全软件模式,延长了用户现有的安全设备使用寿命,保护了用户原有的投资。由于安全资源管理池化,可以随着用户业务对安全资源的需求增加,而逐步升级安全资源的处理能力,避免一次性建设的大幅投资;
4、 不挤占业务资源:安全资源单独管理,不与业务VM在同一个服务器资源池,不影响业务系统自己的日常调度与迁移策略,管理简单化,IT资源条块分割化明显,易管理,好好维护;安全与业务分离还有一个明确优点,就是攻击者攻击安全设备的机会降低,若安全措施自身瘫痪,无疑是灾难性的;
5、 网络平滑升级:方案支持SDN、MPLS多种协议,流量引导方式多样化,大大降低了对网络平台的要求,让用户网络规划避免受到安全管理的“绑架”,延长设备寿命周期,降低整体运营成本。
本文出自 “Jack zhai” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/1656238
原文地址:http://zhaisj.blog.51cto.com/219066/1656238