李躍

【摘 要】虛擬化數(shù)據(jù)中心給網(wǎng)絡(luò)安全帶來(lái)了便利也帶了一些挑戰(zhàn)，在安全方面不僅面對(duì)傳統(tǒng)網(wǎng)絡(luò)已有的安全威脅，還面對(duì)自身引入的安全問題，尤其是虛擬機(jī)的遷移，計(jì)算集群主機(jī)的加入與離開等都是傳統(tǒng)數(shù)據(jù)中心所沒有的。為解決這些問題虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)需要引入新思路和新技術(shù)，如VLAN訪問控制，安全策略上移，網(wǎng)絡(luò)安全策略跟隨虛擬機(jī)動(dòng)態(tài)遷移等。

【關(guān)鍵詞】數(shù)據(jù)中心，虛擬化，VLAN，VSwitch，VPort

【中圖分類號(hào)】C37【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0089-02

1 引言

數(shù)據(jù)中心虛擬化是指采用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池，主要包括計(jì)算、存儲(chǔ)以及網(wǎng)絡(luò)三種資源。虛擬化后的數(shù)據(jù)中心不再像傳統(tǒng)數(shù)據(jù)中心采用單臺(tái)設(shè)備或使用某條鏈路，整個(gè)數(shù)據(jù)中心被看做成為資源池，所有數(shù)據(jù)中心的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施作為資源可以按照需求分配不同的資源集中調(diào)配。

數(shù)據(jù)中心虛擬化從硬件資源角度看，包含多設(shè)備合一與一設(shè)備分多的模式，這兩種方式都提供了資源按需分配的手段和技術(shù)。而數(shù)據(jù)中心是由計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)三種資源深度融合而成的，因此要合理安全的分配資源是應(yīng)該急需解決的問題，必須制定合適的網(wǎng)絡(luò)安全策略與之匹配。多設(shè)備合一的技術(shù)出現(xiàn)較早，主要包括集群計(jì)算等技術(shù)，以提升計(jì)算性能為主；而一設(shè)備分多主要是近幾年出現(xiàn)在一臺(tái)物理X86系統(tǒng)上的多操作系統(tǒng)同時(shí)并存的技術(shù)，以縮短業(yè)務(wù)部署時(shí)間，提高資源的使用效率為主要目的。

2 虛擬化數(shù)據(jù)中心面臨的安全問題

傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安全策略，無(wú)論是哪種策略，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注業(yè)務(wù)流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即增加網(wǎng)絡(luò)安全策略（如圖1所示），網(wǎng)絡(luò)安全策略能夠滿足主機(jī)順暢的加入、離開集群，或者是動(dòng)態(tài)遷移到其它物理服務(wù)器，并且實(shí)現(xiàn)海量用戶、多業(yè)務(wù)的隔離。圖1 虛擬化數(shù)據(jù)中心安全架構(gòu)圖

虛擬化數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)安全提出三點(diǎn)需求：

* 在保證不同用戶或不同業(yè)務(wù)之間流量訪問控制，還要支持多業(yè)務(wù)能力；

* 網(wǎng)絡(luò)安全策略可支撐計(jì)算集群中成員靈活的加入、離開或者遷移；

* 網(wǎng)絡(luò)安全策略可跟隨虛擬機(jī)自動(dòng)遷移。

在上述三個(gè)需求中，第一個(gè)需求是對(duì)現(xiàn)有網(wǎng)絡(luò)安全策略的增強(qiáng)。后兩個(gè)需求則需要一些新的規(guī)劃準(zhǔn)則或技術(shù)來(lái)實(shí)現(xiàn)，這給當(dāng)前網(wǎng)絡(luò)安全策略帶來(lái)了挑戰(zhàn)。

3 虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃

3.1 VLAN隔離及安全控制

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是一種二層隔離技術(shù)，其原理是在交換機(jī)上劃分多個(gè)VLAN，在同一個(gè)VLAN內(nèi)的用戶是相互可訪問的，但一個(gè)VLAN的數(shù)據(jù)包在二層交換機(jī)上不會(huì)發(fā)送到另一個(gè)VLAN，從而實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯隔離，確保數(shù)據(jù)的安全控制。

虛擬化數(shù)據(jù)中心作為集中資源對(duì)外服務(wù)，面對(duì)的是不斷增加的用戶，不斷增加的信息網(wǎng)絡(luò)應(yīng)用，承載的服務(wù)是海量的。數(shù)據(jù)中心管理人員不但要考慮物理設(shè)備的安全、虛擬機(jī)的安全和虛擬機(jī)或者物理機(jī)之間的安全，還需要考慮在云平臺(tái)中大量用戶、不同業(yè)務(wù)之間的安全識(shí)別與隔離。因此需要為虛擬化數(shù)據(jù)中心的每一個(gè)應(yīng)用或虛擬服務(wù)器提供一個(gè)唯一的標(biāo)識(shí)。目前看開，根據(jù)企業(yè)應(yīng)用的安全級(jí)別合理劃分VLAN，針對(duì)不同的安全級(jí)別劃分物理機(jī)和虛擬機(jī)VLAN，同時(shí)保證物理機(jī)的VLAN與虛擬機(jī)隔離，實(shí)現(xiàn)應(yīng)用與設(shè)備管理的隔離操作維護(hù)。

3.2 隔離手段與網(wǎng)關(guān)選擇

虛擬化數(shù)據(jù)中心關(guān)注的重點(diǎn)是實(shí)現(xiàn)整體資源的靈活調(diào)配，因此在考慮網(wǎng)絡(luò)安全控制時(shí)必須考慮網(wǎng)絡(luò)安全能支撐計(jì)算資源調(diào)配的靈活性，只有將二者結(jié)合才能實(shí)現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全的最佳配置?？紤]虛擬化數(shù)據(jù)中心的安全部署時(shí)，建議按照先關(guān)注靈活性、再關(guān)注安全控制的思路進(jìn)行。無(wú)論是集群計(jì)算還是虛擬機(jī)遷移都涉及到主機(jī)調(diào)配，當(dāng)主機(jī)資源在同一個(gè)二層網(wǎng)絡(luò)內(nèi)被調(diào)配時(shí)，多數(shù)應(yīng)用才能保持連續(xù)性，因此為滿足計(jì)算資源的靈活調(diào)配，應(yīng)該構(gòu)建二層網(wǎng)絡(luò)，否則一旦跨網(wǎng)段將導(dǎo)致應(yīng)用中斷或長(zhǎng)時(shí)間的業(yè)務(wù)影響?？梢姡W(wǎng)絡(luò)安全控制不能阻斷二層網(wǎng)絡(luò)內(nèi)主機(jī)的靈活調(diào)配。

基于上述思想，網(wǎng)絡(luò)安全控制點(diǎn)盡量上移，并且服務(wù)器網(wǎng)關(guān)盡量不設(shè)在防火墻上。因?yàn)榉阑饓儆趶?qiáng)控制設(shè)施，網(wǎng)關(guān)一旦在防火墻上靈活性將大大的受到限制。

如圖2 所示，以數(shù)據(jù)中心主流的服務(wù)器連接模式為例，網(wǎng)絡(luò)安全策略可按如下規(guī)劃：圖2 數(shù)據(jù)中心服務(wù)器網(wǎng)絡(luò)拓?fù)涫疽鈭D

將二層網(wǎng)絡(luò)向上擴(kuò)大，創(chuàng)造一個(gè)適合主機(jī)調(diào)配的二層網(wǎng)絡(luò)環(huán)境。

圖2左圖方案中為傳統(tǒng)的虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)鋱D，主機(jī)網(wǎng)關(guān)地址落在匯聚交換機(jī)上。承載網(wǎng)絡(luò)管理和應(yīng)用業(yè)務(wù)的主機(jī)劃分為同一個(gè)VLAN（即VLAN1）內(nèi)。針對(duì)VLAN部署安全策略，忽略交換機(jī)端口差異性， 服務(wù)器之間互訪不受限制。該方案極大的滿足了虛擬化數(shù)據(jù)中心主機(jī)調(diào)配的靈活性，但完全忽視了網(wǎng)絡(luò)安全控制，不利于服務(wù)器之間安全訪問控制策略的實(shí)施。

圖2右圖為得到普遍應(yīng)用的虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全方案。承載業(yè)務(wù)的主機(jī)劃分為三個(gè)VLAN內(nèi)，相同保護(hù)等級(jí)的主機(jī)屬于相同VLAN，形成一個(gè)獨(dú)立安全域，VLAN內(nèi)的主機(jī)可在對(duì)應(yīng)的二層網(wǎng)絡(luò)內(nèi)靈活調(diào)配。

3.3 三層交換機(jī)控制

三層交換機(jī)仍然是L2與L3的分界點(diǎn)，面向服務(wù)器一側(cè)工作在三層模式，面向服務(wù)器之間網(wǎng)絡(luò)一側(cè)工作在二層模式。服務(wù)器按照相應(yīng)的安全級(jí)別劃分不同的VLAN，三層交換機(jī)作為服務(wù)器的網(wǎng)關(guān)，服務(wù)器二層分區(qū)之間互訪經(jīng)由三層交換機(jī)ACL做訪問控制；防火墻作為邊界安全控制設(shè)備。同一安全級(jí)別的WEB/APP/DB通過(guò)交換機(jī)二層轉(zhuǎn)發(fā)訪問，并以ACL進(jìn)行訪問控制；不同安全級(jí)別服務(wù)器之間的訪問，跨三層交換機(jī)設(shè)置ACL訪問。滿足不同安全級(jí)別服務(wù)器之間訪問控制，同時(shí)適合虛擬化環(huán)境下虛擬機(jī)遷移的需求，由于不同安全級(jí)別服務(wù)器之間的隔離采用交換機(jī)ACL實(shí)現(xiàn)，因此適合安全隔離要求較嚴(yán)，主機(jī)調(diào)配靈活性要求稍高的環(huán)境。

3.4 虛擬機(jī)動(dòng)態(tài)遷移

虛擬化數(shù)據(jù)中新帶來(lái)的最大挑戰(zhàn)就是虛擬機(jī)遷移，虛擬機(jī)的遷移需要控制在相同安全級(jí)別，針對(duì)同一安全級(jí)別的物理服務(wù)器允許遷移，不同安全級(jí)別的物理服務(wù)器之間禁止遷移虛擬機(jī)。同時(shí)在應(yīng)用虛擬交換機(jī)上應(yīng)滿足虛擬機(jī)相關(guān)特性，針對(duì)虛擬機(jī)的網(wǎng)絡(luò)配置信息及安全策略在虛擬交換機(jī)上也應(yīng)該同時(shí)遷移。在創(chuàng)建虛擬機(jī)或虛擬機(jī)遷移時(shí)，虛擬機(jī)主機(jī)需要能夠正常運(yùn)行，除了在服務(wù)器上的資源合理調(diào)度，其網(wǎng)絡(luò)連接的合理調(diào)度也是必須的。

圖3 虛擬機(jī)遷移網(wǎng)絡(luò)示意圖目前正在形成標(biāo)準(zhǔn)的VDP方案對(duì)網(wǎng)絡(luò)安全配置自動(dòng)遷移提供了良好的支撐能力。鄰接交換機(jī)使用VDP協(xié)議發(fā)現(xiàn)虛擬機(jī)實(shí)例，并向網(wǎng)管系統(tǒng)獲取對(duì)應(yīng)的網(wǎng)絡(luò)安全配置Profile并部署到相應(yīng)的vPort 接口上。同時(shí)，虛擬機(jī)遷移前的接入位置物理交換機(jī)也會(huì)通過(guò)VDP 解關(guān)聯(lián)通告，去部署相應(yīng)的profile 對(duì)應(yīng)的本地配置。加入VDP后，完全不依賴網(wǎng)管系統(tǒng)對(duì)虛擬機(jī)接入物理網(wǎng)絡(luò)的定位能力，提高網(wǎng)絡(luò)配置遷移的準(zhǔn)確性和實(shí)時(shí)性。

4 結(jié)束語(yǔ)

虛擬化數(shù)據(jù)中心是當(dāng)前與未來(lái)的發(fā)展方向，而網(wǎng)絡(luò)安全作為基礎(chǔ)的承載保障平臺(tái)面臨一些新的挑戰(zhàn)，一方面我們對(duì)現(xiàn)有技術(shù)進(jìn)行優(yōu)化改進(jìn)以適應(yīng)這種挑戰(zhàn)，另一方面新技術(shù)與方案也在不斷的出現(xiàn)來(lái)應(yīng)對(duì)挑戰(zhàn)。只有這樣才能多快好省的構(gòu)造虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全。