新形勢下的安全虛擬化方案

劉鵬宇

（杭州華三通信技術有限公司，北京 100052）

新形勢下的安全虛擬化方案

劉鵬宇

（杭州華三通信技術有限公司，北京 100052）

在云計算數(shù)據(jù)中心的建設過程中，單個租戶的業(yè)務需求會不斷的變化，其對于存儲、計算、網絡等資源的占用可能需要進行實時的調整，以提升基礎設施的利用效率。同時，隨著租戶規(guī)模的增加，多租戶在最大化共享云計算基礎資源的時候，如何保證多租戶之間數(shù)據(jù)的安全隔離，成為了云計算用戶關注的焦點。正是在這種環(huán)境下，虛擬化技術應運而生。在存儲、計算、網絡虛擬化逐步規(guī)模應用的階段，安全產品作為網絡側的不可或缺的業(yè)務，能否匹配數(shù)據(jù)中心虛擬化技術要求，滿足安全資源按需部署、快速交付、綜合防護的關鍵需求，其虛擬化架構至關重要。

云計算；多租戶；安全隔離；虛擬化架構

1 傳統(tǒng)虛擬化技術的解析

傳統(tǒng)的防火墻產品在解決虛擬化問題時通常采用以下方案。

在數(shù)據(jù)平面，圍繞轉發(fā)表，通過VRF或類似技術將轉發(fā)相關的表項（如路由表、ARP表）分割成多個邏輯的表，實現(xiàn)報文轉發(fā)的隔離。

在管理平面，為不同虛擬防火墻相關聯(lián)的管理員，實現(xiàn)管理的隔離。

在控制平面，需要針對每種業(yè)務逐一考慮虛擬化的改造，使其支持虛擬化。

這種虛擬化方案，本質上是一種VPN多實例技術，是在非虛擬化的系統(tǒng)架構上，對一些主要安全業(yè)務進行多實例的改造。這種方式只能對個別安全業(yè)務實現(xiàn)部分虛擬化，對其它安全業(yè)務難以進行多實例改造，系統(tǒng)可擴展性差。同時，由于方案缺乏統(tǒng)一的虛擬化架構支撐，虛擬化的控制粒度很難精確控制，如無法精確了解每個虛擬防火墻的CPU、內存占用情況。

2 新一代虛擬化架構

考慮到當前虛擬化技術方案的技術存在的各種問題，結合嵌入式安全產品的實際情況，彈性虛擬化安全架構橫空出世。這種安全架構本質上是一種基于容器的、分布式架構的1：N的虛擬化技術，通過彈性虛擬化技術，可以把一臺物理防火墻虛擬成多臺虛擬防火墻，多臺虛擬防火墻共享物理防火墻的接口、CPU、內存、存儲、硬件引擎等資源。多臺虛擬防火墻相互獨立，每個虛擬防火墻實例對外呈現(xiàn)為一個完整的防火墻系統(tǒng)，即獨立的管理員、獨立的日志系統(tǒng)、獨立的安全策略、獨立的組網策略等，如圖1所示。

圖1 安全虛擬化示意圖

基于容器的虛擬化方案是一種輕量級的虛擬化技術，在一個安全引擎內，通過唯一的OS內核對系統(tǒng)硬件資源進行管理，每個虛擬防火墻作為一個容器實例運行在同一個內核之上。

通過統(tǒng)一的OS內核，可以細粒度的控制每個虛擬防火墻容器對CPU、內存、存儲等硬件資源的利用率，也可以管理每個虛擬防火墻使用的物理接口、VLAN等資源，有完善的虛擬化資源管理能力。通過統(tǒng)一的調度接口，每個容器所能使用的資源支持動態(tài)的調整，比如可以根據(jù)業(yè)務情況，在不中斷虛擬防火墻業(yè)務的情況下，在線動態(tài)增加某個虛擬防火墻的內存資源。

虛擬防火墻容器有自己獨立的進程上下文運行空間，容器與容器之間的運行空間完全隔離，天然具備了虛擬化特性。容器中，運行的防火墻業(yè)務系統(tǒng)（包括管理平面、控制平面、數(shù)據(jù)平面）具備獨立完整的業(yè)務功能。因此，從功能的角度看，虛擬化后的系統(tǒng)和非虛擬化的系統(tǒng)功能一致。

每個虛擬防火墻并不需要運行完整的操作系統(tǒng)，減少了由于完全虛擬化帶來的內存開銷。從性能的角度，每個虛擬防火墻可以直接通過內核和物理硬件交互，避免了和虛擬設備交互代理的性能損耗。

全分布式防火墻系統(tǒng)由多個I/O單元、多個交換引擎、多個控制引擎和多個安全處理引擎組成，各個處理引擎之間是主備/負載分擔的關系。分布式防火墻可以通過增加引擎提升系統(tǒng)處理能力，如通過增加交換單元擴展系統(tǒng)實際交換容量，通過增加安全處理引擎擴展防火墻的吞吐量、并發(fā)連接、虛擬防火墻數(shù)量等。這種形態(tài)的產品通常適用于對安全業(yè)務性能要求較高的場景。

在全分布式的產品形態(tài)中，系統(tǒng)的安全引擎可以按需配置，從而支持虛擬防火墻的橫向擴展，一臺物理防火墻系統(tǒng)可以通過增加安全板卡，實現(xiàn)虛擬防火墻數(shù)量的線性提升。因此，虛擬化容量可以實現(xiàn)按需定制，并且不再受單個物理安全處理引擎的處理能力限制。

3 新虛擬化架構下的安全產品

H3C推出新一代高端全分布式多業(yè)務安全網關——SecPath M9000系列，M9000采用控制、業(yè)務、數(shù)據(jù)相分離的全分布式架構，共有3個款型M9006、M9010和M9014。M9000系列秉承了上述的虛擬化架構設計理念，創(chuàng)新性的實現(xiàn)了基于容器的真正意義上的虛擬防火墻，即安全ONE平臺（SOP）。

SOP之間實現(xiàn)了基于進程的真正相互隔離，而不是傳統(tǒng)的通過路由方式的隔離。每一個SOP系統(tǒng)都有自己獨立的運行空間，包括管理平面、控制平面、數(shù)據(jù)平面、以及完整的安全業(yè)務功能。每一個SOP均可以獨立的啟動、暫停和關閉，單個SOP故障不會對其它SOP和整個物理系統(tǒng)產生任何影響。

SOP通過統(tǒng)一的OS內核可以對系統(tǒng)的靜態(tài)及動態(tài)的資源進行細粒度的劃分。其中，靜態(tài)資源有內存、硬盤、接口、TCAM等，與此相關的邏輯資源包括并發(fā)會話、VPN隧道、安全策略、安全域、動態(tài)路由、VLAN等；動態(tài)資源有CPU，與此相關的邏輯資源包括吞吐量、新建速率、抗攻擊能力、VPN處理能力等。

SOP數(shù)量可以按照系統(tǒng)需求的變化動態(tài)調整?；赟OP的全分布式處理能力，在單個SOP能力不變的前提下，可以通過增加業(yè)務板的方式來擴展系統(tǒng)SOP數(shù)量的上限。

SOP能力可以根據(jù)用戶需求動態(tài)的進行調整，當業(yè)務需求變更時可以在不重啟SOP的前提下在線平滑調整CPU、內存等資源，從而保障用戶業(yè)務完全不受影響。

4 結束語

在以云計算、彈性計算為典型應用的虛擬化數(shù)據(jù)中心中，圍繞著計算資源虛擬化，已隨著虛擬化技術在云計算數(shù)據(jù)中心的部署逐步深入，安全資源的虛擬化對于運營商建設網絡安全端到端虛擬化有著非常重要的作用。

無論是單租戶內部的虛擬化實例的資源限制和保障、或者是多租戶之間的數(shù)據(jù)安全隔離和管理完全獨立，及安全資源池性能的隨需擴展等需求，相比較傳統(tǒng)的安全虛擬化技術，新一代彈性虛擬化架構在實現(xiàn)方式上有了質的提升，通過合理部署該技術架構，將在簡化網絡運維，提升安全資源管理方面有積極的作用。

News

第九屆通信運維年會成功召開

11月21日，第九屆中國通信網絡運維年會在北京成功召開。中國通信企業(yè)協(xié)會副會長兼秘書長苗建華、工業(yè)和信息化部電信管理局副巡視員張迎憲、國務院國資委專職外部董事張曉鐵、工業(yè)和信息化部科技司調研員馬民、中國通信企業(yè)協(xié)會通信網絡運維專業(yè)委員會主任葛鐳、中國電信集團公司、中國移動通信集團公司、中國聯(lián)通網絡分公司等相關領導悉數(shù)出席本屆大會。

大會以“提升維護服務水平 助力寬帶中國戰(zhàn)略”為主題，由中國通信企業(yè)協(xié)會通信網絡運維專業(yè)委員會主辦，中國聯(lián)合網絡通信集團有限公司運行維護部擔當輪值主席單位，中國電信集團公司網絡運行維護事業(yè)部、中國移動通信集團公司網絡部提供支持，中國通信運維網承辦，華為技術服務有限公司協(xié)辦。

Security virtualization for DC clouds

LIU Peng-yu
(H3C Technologies Co., Ltd., Beijing 100052, China)

DC clouds must adapt to the continuous changes of individual tenants' requirements for storage, computing and network resources to improve resource utilization. In addition, DC clouds must provide data isolation among tenants that share cloud resources to improve security. To meet all those needs, DCs are gradually deployed with technologies for virtualizing storage, computing and networking resources. Under this background, security products must have their own virtualization architecture to meet the requirements of DC virtualization, and provide on-demand security resource deployment, fast delivery, and comprehensive protection.

cloud computing; multi-tenant; data isolation; virtualization architecture

TN918

A

1008-5599（2013）12-0074-03

2013-11-16