虚拟化数据中心的网络安全设计 |
数据中心虚拟化是指采用虚拟化技术构建基础设施池,主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路,而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。 数据中心虚拟化,从主机等计算资源的角度看,包含多合一与一分多两个方向(如图1所示),都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。前者出现较早,主要包括集群计算等技术,以提升计算性能为主;而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术,以缩短业务部署时间,提高资源使用效率为主要目的。
图1 计算虚拟化的两种表现形式 虚拟化后数据中心面临的安全问题 传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略(如图2所示),网络安全策略能够满足主机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。。
图2 数据中心虚拟化安全模型 虚拟化数据中心对网络安全提出三点需求: 1、在保证不同用户或不同业务之间流量访问控制,还要支持多租户能力; 2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移; 3、网络安全策略可跟随虚拟机自动迁移。 在上述三个需求中,第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现,这给当前网络安全策略带来了挑战。 应对之道 VLAN扩展 虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。 要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前看开,VLAN是最好的选择,但由于VLAN数最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。如图3所示,VLAN扩展的有以下两个实现途径。
图3 VLAN扩展两种思路 QinQ:采用VLAN嵌套的方式将VLAN的数量扩展到160万个。内层标签称为用户VLAN即C-VLAN,外层标签成为运营VLAN,即S-VLAN,例如100个C-VLAN不同的同一类用户可以封装同一个相同S-VLAN,极大的扩展VLAN的数量。该方法配置简单,易维护。但其缺点是接入的用户规模较小。 VPLS:用户VLAN封装在不同VPLAS通道内,不同的用户封装不同的VPLS通道即可实现海量用户之间良好的安全控制。其优点是接入规模大,可伸缩性强,易于跨地域数据中心之间平滑扩展。不足之处是VPLS会导致数据中心内配置较复杂,使数据中心之间扩展复杂度变大。 在实际选择时,可以根据数据中心对外服务的业务特点,对照上述两种方式的优缺点,选择合适的实现方式。 隔离手段与网关选择 虚拟化数据中心关注的重点是实现整体资源的灵活调配,因此在考虑网络安全控制时必须考虑网络安全能支撑计算资源调配的灵活性,只有将二者结合才能实现虚拟化数据中心网络安全的最佳配置。考虑虚拟化数据中心的安全部署时,建议按照先关注灵活性、再关注安全控制的思路进行。 无论是集群计算还是虚拟机迁移都涉及到主机调配,当主机资源在同一个二层网络内被调配时,多数应用才能保持连续性,因此为满足计算资源的灵活调配,应该构建二层网络,否则一旦跨网段将导致应用中断或长时间的业务影响。可见,网络安全控制不能阻断二层网络内主机的灵活调配。 基于上述思想,网络安全控制点尽量上移,并且服务器网关尽量不设在防火墙上。因为防火墙属于强控制设施,网关一旦在防火墙上灵活性将大大的受到限制。 如图4所示,以数据中心主流的B/S服务模式为例,网络安全策略可按如下规划:
图4 主机网关地址落点选择 ?将二层网络向上扩大,创造一个适合主机调配的二层网络环境。 ?选择网关IP地址的落点与主机分组隔离方案。 图4左图方案中不设置防火墙,主机网关地址落在汇聚交换机上。承载业务的WEB、APP、DB主机划分为同一个VLAN(即VLAN1)内。针对VLAN部署安全策略,忽略交换机端口差异性,WEB、APP、DB之间互访不受限制。承载WEB、APP、DB的主机可以在VLAN1内被灵活调配。该方案极大的满足了虚拟化数据中心主机调配的灵活性,但完全忽视了网络安全控制,因此适合封闭的内部数据中心并且追求性能与高效业务部署,如互联网企业的大型虚拟化数据中心。 图4右图为得到普遍应用的虚拟化数据中心网络安全方案。承载业务的WEB、APP、DB主机划分为三个VLAN内,属于相同VLAN内的主机可在对应的二层网络内灵活调配。以下重点讨论主机网关设在不同位置时如何实现WEB、APP、DB之间互访控制。 主机网关设在防火墙上 服务器群的网关设在防火墙上,防火墙通过VRRP提供冗余,冗余备份组通过静态路由下一跳指向IRF2交换机三层接口,防火墙进行虚拟化,分割成多个防火墙实例提供网络安全服务,对每块防火墙划分三个逻辑实例,每一对虚拟防火墙工作在主备方式;可工作在双主用模式,防火墙实例分布在两台上面,从而达到负载分担和冗余备份的能力。此时,三组服务器的网关地址各不相同,各组服务器内的虚拟机只能在本VLAN内迁移,如WEB、APP、DB三种服务器分别对应在VLAN 2、VLAN3、VLAN4内。防火墙做服务器网关,L2分区之间互访必须经由防火墙对互访流量做状态检测,并WEB、APP、DB之间完全由防火墙实现访问控制,属于强隔离措施。 此方式适合业务相对稳定,流量模型固定的业务;并且业务之间隔离度高的环境。如银行的核心信贷、资金管理系统,企业的ERP系统等。 主机网关设在汇聚交换机上 采用IRF2后汇聚交换机仍然是L2与L3的分界点,面向服务器一侧工作在三层模式,面向网络一侧工作在二层模式。汇聚交换机作为WEB/AP/DB服务器的网关,WEB/AP/DB服务器二层分区之间互访经由汇聚交换机ACL做访问控制;防火墙作为边界安全控制设备。 将防火墙和交换机划分VRF(虚拟路由转发表),同一业务在同一VRF内,WEB/APP/DB则分布到同一VRF的不同二层分区内。同一业务的WEB/APP/DB通过交换机三层转发访问,并以ACL进行访问控制;不同业务之间的访问,跨VRF通过防火墙控制。另外,对于某个三层接口(网段),当需要访问另一个网段并且需要经过防火墙时,就配置一条以防火墙为下一跳的“弱策略路由”,当防火墙失效,则该策略路由也失效。在紧急情况,旁路防火墙,即可保证网络的联通状态。 此方式适合虚拟化环境下虚拟机迁移的需求,对业务调整频繁的业务是一种很好的应对策略,同时,由于不同应用之间的隔离采用交换机ACL实现,因此适合业务安全隔离要求一般,主机调配灵活性要求稍高的环境。如大企业的业务开发中心等。 安全策略动态迁移 虚拟化数据中新带来的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时,虚拟机主机需要能够正常运行,除了在服务器上的资源合理调度,其网络连接的合理调度也是必须的。
图5 网络安全配置自动迁移 如图5所示,虚拟机1从pSrv1上迁移到pSrv2上,其网络连接从原来的由pSRV1上vSwitchA的某个端口组接入到Edge Switch1,变成由pSRV2上vSwitchB的某个端口组接入到Edge Switch2。若迁移后对应的Edge Switch的网络安全配置不合适,会造成虚拟机1迁移后不能正常使用。尤其是原先对虚拟机1的访问设置了安全隔离ACL,以屏蔽非法访问保障虚拟机1上业务运行服务质量。因此在发生虚拟机创建或迁移时,需要同步调整相关的网络安全配置。并且,为了保证虚拟机的业务连续性,除了虚拟化软件能保证虚拟机在服务器上的快速迁移,相应的网络连接配置迁移也需要实时完成。即网络具有“随需而动”的自动化能力。 但在VEB vSwtich模式下,通常会出现多个虚拟机的配置都重复下发到一个物理接口上,很难做到针对每一个虚拟机的精细化网络安全配置管理。因此只有先精细化区分流量(比如源IP、源MAC、VLAN等),再进行针对性的网络安全配置迁移与本地配置自动化去部署。目前业界最优的解决方法就是在主机邻接物理交换机采用vPort的概念。一个虚拟机帮定一个或几个特定的vPort,虚拟机迁移时,只需在对应的邻接物理交换机上将虚拟机对应的网络配置Profile绑定到vPort上即可,而不会对其它虚拟机的vPort产生影响。 目前正在形成标准的VDP方案对网络安全配置自动迁移提供了良好的支撑能力。 邻接交换机使用VDP协议发现虚拟机实例,并向网管系统获取对应的网络安全配置Profile并部署到相应的vPort接口上。同时,虚拟机迁移前的接入位置物理交换机也会通过VDP解关联通告,去部署相应的profile对应的本地配置。加入VDP后,完全不依赖网管系统对虚拟机接入物理网络的定位能力,提高网络配置迁移的准确性和实时性。 结束语: 虚拟化数据中心是当前与未来的发展方向,而网络安全作为基础的承载保障平台面临一些新的挑战,一方面我们对现有技术进行优化改进以适应这种挑战,另一方面新技术与方案也在不断的出现来应对挑战。只有这样才能多快好省的构造虚拟化数据中心的网络安全。 |