李勇卫:云计算网络安全的现状专家专栏

2012-07-05    来源:IDCUN    编辑:IDCUN
首先给大家介绍一下云数据中心网络安全的概念。云数据中心第一个特点是资源集中,我们在云数据中心里面除了IT资源、网络资源。现在的数据中心,基本上一个地方几万台服务器,

  首先给大家介绍一下云数据中心网络安全的概念。云数据中心第一个特点是资源集中,我们在云数据中心里面除了IT资源、网络资源。现在的数据中心,基本上一个地方几万台服务器,云数据中心交换量很大。当我们资源集中以后,我们使用资源,我们希望有一个统一的控制平台,用户可以通过这个控制平台,通过交互式工具来获取相应的资源。在我们资源集中以后,如果想使用这个数据的话,弹性的去获取,或者是撤销任务。

思科云计算架构安全高级顾问工程师李勇卫

  从传统数据中心到语音化数据中心的严谨。传统的数据中心是什么样子,一个数据中心首先有数据中心外部,数据中心内部。进入到数据中心内部以后,我们这个数据中心的内部通常有一个交换的网络作为核心。进到业务区域内部以后,业务区域内部分为核心汇聚,最后接入服务器,传统的服务器一台是一台,这是传统数据中心的一个架构。随着服务器虚拟化,我们说传统服务器为什么会变成虚拟化的服务中心?主要驱动力来自于服务器的虚拟化。这种情况下,我们为了资源合理去利用,假如我们把一个服务器固定在一个固定的位置上,我们希望虚拟机可以按照我们的需要,在资源普及的环境下,可以自由的去划分,这样的话原来那个模型就不太适合这个架构,从这个角度来说你的虚拟化的服务中心,不光是服务器的虚拟化,网络也需要虚拟化。我们把多个虚拟化进行集中,然后把业务分给不同的租户来使用,这样就提到了我们刚才说的语音化数据中心。我们思科针对云数据中心,我们提供了我们专有的产品,从交换机,我们提供了我们专门的数据中心7K、5K、3K、2K。我们在做云数据中心的时候,我们的资源集中化,按照传统网络,我怎么能让我这个服务器接一个平面化的网络,我需要资源的时候我可以动态的去划分。网络是一个大平面,在这个平面里面只有一个交换机,具体你要使用的话,任何一个服务器上的虚拟机,它和其他的是完全对等的,你所想要的业务会非常方便,这是网络对虚拟化的挑战,而思科是这么应对的。同时我们还做了1000K的网络交换机。另外,我们专门针对数据中心做了安全防火墙,这个防火墙可以做虚拟化,可以把多个防火墙做成一个防火墙,我们可以把我们的安全资源集中化以后,虚拟成一个资源。除了数据中心的防火墙,我们还有ASA的防火墙卡。

  安全架构要求。我们有五个层面,逻辑隔离,这种情况下,我们在做云数据中心网络安全第一步就是安全隔离。第二是策略一致性,我们可以做到各个层面的安全防护。第三,在我使用语言数据中心的时候,我希望正确的人在正确的时间,从数据中心内部或者外部扫描资源,这是基本的要求,我们需要通过认证和授权。语言数据中心最大的优点就是扩展和性能,我们是不是能够满足性能的不断提升的要求。当我们加入这样一个网络安全服务的时候,是不是非常麻烦,还是我统一有一个平面,在这个平面上去做控制。虚拟化数据中心安全控制框架,我们把所有安全的服务放到一个服务池里面。在服务层面,一个数据中心内部到外部的一个保护,还有就是租户之间,业务之间的安全防护。

  云中心隔离模型。中小型租户:1、每个租户一个VLAN/一个VRF。2、VLAN映射到VRF。3、不进行业务/服务层区分。4、独立VDC专供此用户类型接入。大企业租户/私有业务:1、租户利用Global VRF区分。2、每个租户多个Intemal VRF。3、Intemal VRF区分不同部门或者应用。云中心业务保护模式。如果受到保护,流量经过防火墙否则直接流向无保护的区域Zone。业务末新按照应用特点来考虑服务集成,安全要求应用—FW Only/FW+IPS—保护模式,性能要求应用—高吞吐。这是混合云安全架构模型,我们坚持两层安全架构,这里面的安全服务就是虚拟数据中心的安全架构中心里的服务层面概念。如果仅仅是防火墙,对于中小租户的话,可能作为共享。云中心防火墙的特点,多虚,技术。需求特点:多虚一,动态扩展防火墙处理能力,性能按需扩展。保护投资。防火墙集群:高扩展性,单点管理,群内所有防火墙全部Aclive,有群内负责均衡能力,群内防火墙失败,全群火墙帮助恢复绘画,保证防火墙群内无单点失败。云中心防火墙的特点,虚多技术。需求特点:一虚多,虚拟出多个防火墙,租户逻辑隔离,资源限定防治租户串扰,减少投资。防火墙虚拟化,虚墙独立管理/独立日志,虚墙独立路由层面,虚墙独立安全策略/NAT策略/应用层策略。防火墙资源限定,彻底保护租户不互相串扰。在云数据中心当我们把网络隔离好的话,在云数据中心安全接入。一虚多技术,VLAN镜像技术特点:1、租户内内部地址规划独立。2、租户VPN会话与VLAN绑定。3、所有租户单公网IP接入。4、每租户有独立的定制界面。5、每租户有独立的认证服务器组。

  云中心安全虚拟服务电。服务器虚拟化潜在问题,1、vMotion在不物理端口迁移虚拟机一网络策略必须跟随vMotion。2、必须察看和应用本地交换的网络和安全策略。虚拟化和云需求推动数据中心需求,传统数据中心:服务于特有应用。组成:专用设备,交换模块。虚拟数据中心:虚拟设备,动态实施配置,服务队VM移动透明,可扩展,适合大规模多租户操作。设备虚拟化,资源限定,可扩展,性能可靠,适合特定租户操作。这是我们思科的Nexus1000V软件交换机,每个VEM支持200+vEth ports(虚拟网口)。

1
3