副标题#e#
云服务提供商提供获得承诺或授权进行客户方或外部第三方审计的权利;
云服务提供商技术架构和基础设施如何满足服务水平SLA的能力;
云服务提供商为了符合安全要求,必须能够展示系统、数据、网络、管理、部署和人员方面的全方位相互"隔离";
云服务提供商在业务发生波动时调动资源提供系统可用性和性能。
如何去实现上述网络安全防护的具体部署,各个云计算服务和基础设施提供商,根据自己的建设方案要求和擅长出发,提出了相应安全解决方案,以此来达到相关的要求。我们从传统的数据中心安全建设出发,向云数据中心迁移中,结合云计算建设和风险建议原则,探讨云计算数据中心的安全部署。
1 传统数据中心的安全建设模型
传统数据中心安全部署的一般核心思路是:分区规划、分层部署。
1.1 分区规划
分区规划,就是在网络中存在不同价值和易受攻击程度不同的应用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信任模型,将网络划分为不同区域,以满足以下需求。
业务需求:以逻辑或数据中心物理区域进行业务规划,有助于业务在企业的开展与管理, 同一业务划分在一个安全域内。
数据流:根据数据流特征进行分区规划,尽量使得数据中心业务流流向可控、同一区域相似性强、流量可监测,便于对数据流进行安全审计和访问控制。
应用的逻辑功能:不同应用的部署方式有区别,对网络配置需求不同,按应用逻辑特点进行分区模块化,便于维护管理差异性应用,安全等级一致的应用逻辑可以在安全域上进行归并。
IT安全的需求:数据中心分区,有助于区域的统一安全要求标准化管理。
根据上述需求,一般情况下,数据中心网络划分为以下的分区:
·核心区:提供各分区模块互联
·外联业务区:企业对外业务、互联网业务部署区
·Intranet区: 企业内部业务系统部署区域
·测试区:企业新应用上线测试区
·运营管理区 :企业IT运营中心
·集成区: 企业应用系统之间信息交换区域、信息共享区域
·存储区: 企业数据存储专区
·容灾备份区: 提供企业容灾、业务一致性
1.2 分层部署
在分区基础上,按照全面的安全防护部署要求,在每个区域的边界处,根据实际情况进行相应的安全需求部署,一般的安全部署包括,防DDoS攻击、流量分析与控制,异构多重防火墙、VPN、入侵防御以及负载均衡等需求。
值得一提的是,在业务的部署过程中,由于设备的功能独立性,往往需要进行糖葫芦串式的部署,这种部署方式往往会增加部署的复杂性,同时架构的可靠性也大大降低,为此,一些厂商提出网络安全融合方案,可以将独立设备组网简化为网络安全的集成业务,大大简化设计和优化管理。
[page]2 云计算数据中心的安全建设模型
较传统数据中心,云计算的基础数据中心建设无明显差别,同样需要分区标准化、模块化部署,一般都采用旁挂核心或者汇聚交换机的部署。考虑到云计算的特点,其最大需求是实现计算、存储等IT资源灵活调度,让资源得到最充分利用,而实现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供服务。在这种模式下,数据中心建设出现了新的需求。
2.1 高性能要求
较传统网络,云计算网络的流量模型发生了两个变化:一,从外部到内部的纵向流量加大;二,云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高的吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力,具体体现在以下两个方面:
·参照云计算数据中心对于核心交换机设备的要求,即必须具备高密度的10G接口提供能力,安全设备接入数据中心,也必须以万兆级接入、万兆级性能处理为基础,并且要具备根据业务需求灵活扩展的能力;
·随着服务器的虚拟化及多租户业务部署,云计算环境下的网络流量无序突发冲击会越来越严重,为保证云计算服务的服务质量,安全设备必须具备突发流量时的处理能力,尤其一些对延迟要求严格的业务。
在具体的设备选择上,数据中心的防火墙可以选择独立的设备形态(如H3C F5000高端40G独立盒式防火墙),也可以部署多个Secblade插卡来做性能扩展。在需要部署高性能防火墙时,可以在交换机部署多个插卡实现性能扩展,并可以实现比多台同等性能的独立设备组合节能50%以上。
2.2 虚拟化
#p#副标题#e##p#分页标题#e#
虚拟资源池化是IT资源发展的重要趋势,可以极大程度提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势,对应的云计算数据中心的防火墙、负载均衡等安全控制设备,也必须支持虚拟化能力,像计算和存储、网络一样能按需提供服务。以防火墙为例,防火墙的虚拟化使用一般应用三种场景。
1、 一般性应用:不启用虚拟防火墙
设备根据应用类型,按照业务将防火墙划分成多个安全域,再根据应用的隔离互访要求,实现域间安全控制。
2、 VPN组网环境下,启用虚拟防火墙,映射到VRF实现转发隔离
要实现对多个业务VPN的独立安全策略部署,一种方式是采用多台物理防火墙,另外一种是采用虚拟防火墙技术,将一台物理设备基于虚拟设备资源划分,并实现关键特性的多实例配置(如NAT多实例),从而实现不同VPN下的不同转发和控制策略(如图所示)。