DOI：10.19850/j.cnki.2096-4706.2024.01.039

收稿日期：2023-06-19

基金項目：中國國家鐵路集團有限公司科研項目（P2021S005）

摘? 要：隨著數(shù)據(jù)中心內(nèi)部應(yīng)用及數(shù)據(jù)存儲增多、網(wǎng)絡(luò)內(nèi)部流量的增大，所面臨的安全性風(fēng)險也在不斷增加，傳統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)中可以通過劃分業(yè)務(wù)子網(wǎng)、配置防火墻策略等方式，來實現(xiàn)業(yè)務(wù)之間的隔離，無法滿足不同業(yè)務(wù)虛擬機之間的隔離。在零信任安全背景下，數(shù)據(jù)中心云計算環(huán)境中產(chǎn)生了新的網(wǎng)絡(luò)安全需求，SDN網(wǎng)絡(luò)環(huán)境下通過微分段技術(shù)可以在數(shù)據(jù)中心內(nèi)創(chuàng)建更加精細的安全區(qū)域，進而部署更加靈活的安全策略，提升網(wǎng)絡(luò)安全性。

關(guān)鍵詞：數(shù)據(jù)中心；安全隔離；微分段

中圖分類號：TP309.2? 文獻標識碼：A? 文章編號：2096-4706（2024）01-0185-04

Research and Application of Network Security Isolation Technology for Data Center Based on Micro-segmentation

ZUO Yinan

（China Railway Information Technology Group Co.， Ltd.， Beijing? 100038， China）

Abstract： With the increase in internal applications and data storage in data centers， as well as the increase in internal network traffic， the security risks are also constantly increasing. In traditional network security protection technologies， isolation between services can be achieved by dividing business subnets， configuring ACL and other strategies， and it is unable to meet the isolation between different business virtual machines. New network security requirements have emerged in the data center cloud computing environment under in the context of zero-trust security. In the SDN network environment， micro-segmentation technology can be used to create more refined security zones within the data center， so as to deploy more flexible security strategies to enhance network security.

Keywords： data center; security isolation; micro-segmentation

0? 引? 言

隨著信息化建設(shè)加快推進，信息網(wǎng)絡(luò)規(guī)模不斷擴大，信息基礎(chǔ)設(shè)施全天候不間斷運行，重要信息系統(tǒng)安全風(fēng)險壓力巨大。面對新的安全形勢和安全環(huán)境，進一步強化網(wǎng)絡(luò)安全管理、補強網(wǎng)絡(luò)安全防護措施，建設(shè)和完善網(wǎng)絡(luò)安全綜合防御體系，成為網(wǎng)絡(luò)安全工作面臨的主要任務(wù)。數(shù)據(jù)中心內(nèi)部數(shù)據(jù)存儲以及應(yīng)用的增多、網(wǎng)絡(luò)內(nèi)部流量的增大[1]，面臨的安全性風(fēng)險也在不斷增加，傳統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)中可以通過劃分業(yè)務(wù)子網(wǎng)、配置ACL等方式，來實現(xiàn)業(yè)務(wù)之間的隔離，但無法滿足不同業(yè)務(wù)虛擬機之間需要隔離的需求。因此在零信任安全背景下，數(shù)據(jù)中心計算環(huán)境中產(chǎn)生了新的網(wǎng)絡(luò)安全需求[2]。本文對微分段進行研究，通過微分段技術(shù)可以在數(shù)據(jù)中心內(nèi)創(chuàng)建更加精細的安全區(qū)域，進而部署更加靈活的安全策略，提升網(wǎng)絡(luò)安全性[3]。

1? 數(shù)據(jù)中心內(nèi)部安全需求

1.1? 傳統(tǒng)邊界安全技術(shù)

在過去的數(shù)據(jù)中心網(wǎng)絡(luò)中，我們的安全策略普遍基于這樣一個認識，即認為數(shù)據(jù)中心內(nèi)部產(chǎn)生的流量是安全的，而數(shù)據(jù)中心外部產(chǎn)生的流量是不安全的[4]，因此我們需在數(shù)據(jù)中心內(nèi)、外部部署防火墻對網(wǎng)絡(luò)邊界進行隔離。通過對從數(shù)據(jù)中心外部向數(shù)據(jù)中心內(nèi)部的流量（即南北向流量）引流到防火墻上進行分析，以確保只有通過安全策略審核的請求能夠訪問到數(shù)據(jù)中心內(nèi)部的資源。這種通過將流量引流到邊界防火墻進行分析的技術(shù)也稱作邊界安全技術(shù)。

隨著數(shù)據(jù)存儲、應(yīng)用的不斷增多，數(shù)據(jù)中心網(wǎng)絡(luò)流量從以前的南北向流量為主轉(zhuǎn)變?yōu)闁|西向流量為主，對內(nèi)部流量進行安全管控就變得尤為重要。一旦攻擊者沖破邊界防護，那么數(shù)據(jù)中心內(nèi)部的安全將受到嚴重威脅，攻擊者可以隨意攻擊數(shù)據(jù)中心內(nèi)部的服務(wù)。因此需要針對數(shù)據(jù)中心內(nèi)外部的流量做全面的防護，如果將數(shù)據(jù)中心內(nèi)部虛擬機間的流量全部繞行集中式防火墻，很難滿足數(shù)據(jù)中心靈活分布式、可擴展部署的要求和挑戰(zhàn)，容易形成性能和擴容的瓶頸。

1.2? 傳統(tǒng)邊界安全技術(shù)面臨的問題

隨著數(shù)據(jù)、應(yīng)用的增多，網(wǎng)絡(luò)內(nèi)部流量增大，網(wǎng)絡(luò)防護面臨的安全性風(fēng)險也在不斷增加。傳統(tǒng)技術(shù)中可以通過劃分業(yè)務(wù)子網(wǎng)、配置防火墻規(guī)則等方式，來實現(xiàn)業(yè)務(wù)之間的隔離，但是存在如下問題：通過VLAN、VNI等方式劃分業(yè)務(wù)子網(wǎng)實現(xiàn)的業(yè)務(wù)隔離是基于子網(wǎng)的，其不能實現(xiàn)同一子網(wǎng)內(nèi)不同服務(wù)器之間的隔離。同時，當(dāng)不同子網(wǎng)共用同一個網(wǎng)關(guān)設(shè)備時，由于在網(wǎng)關(guān)設(shè)備上存在到各子網(wǎng)之間的路由信息，因此這種情況下，也無法實現(xiàn)不同子網(wǎng)內(nèi)不同服務(wù)器之間的隔離。雖然通過配置防火墻規(guī)則可以實現(xiàn)不同服務(wù)器之間的隔離，但配置量大、維護復(fù)雜，且防火墻訪問控制條目資源有限，無法滿足需求。

2? 微分段—數(shù)據(jù)中心內(nèi)部安全隔離技術(shù)

微分段（Micro-segmentation），也稱為基于精細分組的安全隔離，是指將數(shù)據(jù)中心網(wǎng)絡(luò)中的服務(wù)器按照一定的原則進行分組，然后基于分組來部署流量控制策略，從而達到簡化運維、安全管控的目的。傳統(tǒng)數(shù)據(jù)中心是基于VLAN/VNI進行子網(wǎng)劃分，粒度比較粗，而微分段可以提供更細粒度、更靈活的分組方式，例如基于IP、MAC、虛擬機名等。這樣就可以進一步細化安全域的大小，實現(xiàn)更精細的業(yè)務(wù)隔離，提升網(wǎng)絡(luò)安全性[5]。

微分段可以提供比子網(wǎng)粒度更細的分組規(guī)則，并對數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)進行分組，然后對所有分組之間的流量部署安全策略。這樣就可以實現(xiàn)更精細的業(yè)務(wù)策略控制，限制攻擊行為在網(wǎng)絡(luò)內(nèi)部橫向移動的能力，以增強安全性[6]。

2.1? 微分段的優(yōu)勢

微分段可基于IP地址、MAC地址、VM虛擬機名稱等定義分組，相應(yīng)的安全域劃分更加細致、更靈活，因此具備更精細、靈活的安全隔離效果。微分段可以通過對業(yè)務(wù)資源進行分段管理，并采用最低權(quán)限原則嚴格控制業(yè)務(wù)間互訪關(guān)系[7]，來實現(xiàn)零信任安全模型，能夠縮小受攻擊面，防止攻擊者以及異常數(shù)據(jù)在東西向移動，確保內(nèi)部業(yè)務(wù)安全。

微分段方案實現(xiàn)了分布式的安全控制方案，在接入交換機實現(xiàn)對業(yè)務(wù)流量就近進行安全過濾，東西向流量不需要集中轉(zhuǎn)發(fā)到防火墻后再進行安全隔離，減少了網(wǎng)絡(luò)帶寬的消耗，可以防止集中控制點成為流量瓶頸。

2.2? 微分段與VLAN、ACL、防火墻對比

傳統(tǒng)網(wǎng)絡(luò)通常依賴防火墻、虛擬局域網(wǎng)（VLAN）和防火墻列表（ACL）用于網(wǎng)絡(luò)分段，對業(yè)務(wù)流量進行隔離。但是這些技術(shù)存在其局限性：

VLAN只能基于子網(wǎng)進行隔離，其不能實現(xiàn)同一子網(wǎng)內(nèi)不同服務(wù)器之間的隔離，是一種非常粗糙的分段方式。

配置ACL規(guī)則可以實現(xiàn)不同服務(wù)器之間的隔離。但是數(shù)據(jù)中心網(wǎng)絡(luò)中，服務(wù)器的數(shù)量非常龐大，若要實現(xiàn)服務(wù)器之間的隔離，則需要部署海量的ACL規(guī)則，配置維護相當(dāng)復(fù)雜。同時，網(wǎng)絡(luò)設(shè)備的ACL資源有限，不能滿足客戶部署海量ACL規(guī)則的需求。

數(shù)據(jù)中心一般只在對外的網(wǎng)絡(luò)邊界上設(shè)置防火墻，因為原則上認為入侵風(fēng)險來自外部，數(shù)據(jù)中心內(nèi)部是相對安全的[8]。理論上，也可以在數(shù)據(jù)中心內(nèi)每個互聯(lián)節(jié)點上部署防火墻來進行內(nèi)部隔離，但是這需要部署大量的防火墻，是一筆很大的硬件投資，而且防火墻的設(shè)置和維護也是一個巨大的工作量。

以上作為傳統(tǒng)網(wǎng)絡(luò)安全隔離基礎(chǔ)技術(shù)與微分段進行對比?？梢钥吹轿⒎侄慰梢蕴峁└毩６?、更靈活的分段方式。微分段強調(diào)“微”和“分段”。如圖1所示，傳統(tǒng)分段部分的Segment1、Segment2通過Vlan子網(wǎng)劃分將VLAN10與VLAN20內(nèi)部的虛擬機進行隔離；微分段部分的Segment3、Segment4、Segment5內(nèi)的虛擬機隔離不再局限于VLAN30、VALN40劃分的子網(wǎng)限制，而是基于IP地址、IP網(wǎng)段、MAC地址、VM名等細粒度進行分段，這種策略下可將網(wǎng)絡(luò)按照一定的分組規(guī)則劃分為若干個子網(wǎng)絡(luò)，不同子網(wǎng)絡(luò)之間通過策略控制流量，從而實現(xiàn)數(shù)據(jù)報文僅能在約定的節(jié)點之間相互發(fā)送，而不是發(fā)送給所有節(jié)點[9，10]。

2.3? 微分段工作原理

微分段借鑒了安全設(shè)備SecurityZone的概念，將數(shù)據(jù)中心業(yè)務(wù)單元按照一定的原則分組，然后通過分組間策略實現(xiàn)流量控制。微分段基于以下兩個元素實現(xiàn)精細分組隔離：EPG（EndPointGroup）基于IP地址、MAC地址、VM名、應(yīng)用等分組策略，對服務(wù)器、虛擬機等承載業(yè)務(wù)的實體進行的分組。GBP（GroupBasedPolicy）基于EPG分組的流量控制策略，規(guī)定了分組內(nèi)部、分組之間的流量控制策略，EPG/GBP實現(xiàn)邏輯如圖2所示。

微分段通過云平臺、SDN控制器與交換機之間的API接口，將EPG分組信息和GBP策略部署在VXLAN網(wǎng)絡(luò)的Leaf節(jié)點上，在接入節(jié)點對業(yè)務(wù)流量就近進行安全過濾，如圖3所示。

3? 微分段在數(shù)據(jù)中心運用研究

3.1? 數(shù)據(jù)中心網(wǎng)絡(luò)安全隔離架構(gòu)

隨著機房資源緊張、計算存儲資源配置分散、云計算和虛擬化技術(shù)應(yīng)用程度不高、信息處理能力不足、不能滿足業(yè)務(wù)快速變化需求等一系列問題，為了進一步提升信息基礎(chǔ)設(shè)施服務(wù)能力，在數(shù)據(jù)中心局域網(wǎng)內(nèi)部需采用SDN組網(wǎng)架構(gòu)。

數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)由云管平臺對接SDN組網(wǎng)的SDN控制器以及傳統(tǒng)組網(wǎng)的物理設(shè)備北向接口，從而統(tǒng)一納管數(shù)據(jù)中心網(wǎng)絡(luò)資源，將數(shù)據(jù)中心、同城/異地數(shù)據(jù)中心的多個接入單元組成網(wǎng)絡(luò)資源池，滿足業(yè)務(wù)應(yīng)用的靈活部署。網(wǎng)絡(luò)核心將接入單元、運維管理網(wǎng)絡(luò)環(huán)境和外部連接網(wǎng)絡(luò)環(huán)境互聯(lián)。多個數(shù)據(jù)中心間連通東西向流量，實現(xiàn)資源調(diào)度；連通南北向流量實現(xiàn)業(yè)務(wù)應(yīng)用信息交換，如圖4所示。

由于網(wǎng)絡(luò)業(yè)務(wù)的重要性以及網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性，在SDN的使用上，數(shù)據(jù)中心在應(yīng)用類服務(wù)區(qū)內(nèi)因地制宜的使用了接入單元的模式進行組網(wǎng)，如圖5所示。

數(shù)據(jù)中心應(yīng)用類服務(wù)區(qū)由多個接入單元（POD）組成，接入單元內(nèi)又進一步通過虛擬化技術(shù)劃分為由多個資源組組成的業(yè)務(wù)服務(wù)平面、分布式存儲平面和云管平面。各接入單元通過連接網(wǎng)絡(luò)核心，可實現(xiàn)業(yè)務(wù)服務(wù)南北向信息交換；通過連接POD核心，可實現(xiàn)接入單元間分布式存儲、云管兩個平面東西向流量的互通，并可動態(tài)的將部署相同應(yīng)用的不同資源組直接連通，從而實現(xiàn)各業(yè)務(wù)應(yīng)用在資源組中的靈活部署。

3.2? 數(shù)據(jù)中心云內(nèi)安全需求

近年來，隨著服務(wù)器虛擬化技術(shù)不斷發(fā)展，如何進一步對傳統(tǒng)服務(wù)資源進行有效整合和再利用成了業(yè)界重點關(guān)注和深入研究的方向。在云計算平臺高速發(fā)展的大環(huán)境下，圍繞云計算基礎(chǔ)資源的管理類平臺的設(shè)計與優(yōu)化在一定程度上提高了企業(yè)在基礎(chǔ)設(shè)施服務(wù)層面的納管和交付能力，大幅提升了信息化管理部門在傳統(tǒng)虛擬化和物理環(huán)境方面的工作效率，但面對復(fù)雜的應(yīng)用特別是云邊協(xié)同體系下，探測端、邊緣計算以及云計算分離，云端計算整合的業(yè)務(wù)場景中，如何進一步提升異構(gòu)環(huán)境和多元化應(yīng)用基礎(chǔ)環(huán)境的交付能力成了難點問題[11]。

3.3? 微分段技術(shù)運用

數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)可通過微分段技術(shù)，根據(jù)應(yīng)用需要進一步實現(xiàn)不同業(yè)務(wù)虛擬機之間的微隔離。通過進一步的下發(fā)，在VXLAN網(wǎng)絡(luò)中，微分段提供了比子網(wǎng)粒度更細的分組規(guī)則（比如IP地址或IP段），其部署簡單方便，只需按照規(guī)則將VXLAN網(wǎng)絡(luò)中的服務(wù)器劃分為不同的分組，然后基于分組來部署流量控制策略，就可以實現(xiàn)服務(wù)器與服務(wù)器之間的業(yè)務(wù)隔離[12]。

在新一代云邊網(wǎng)絡(luò)架構(gòu)中，應(yīng)用服務(wù)區(qū)依據(jù)信息系統(tǒng)的安全等級、信息系統(tǒng)所需的資源類型等原則劃分多個接入單元。結(jié)合微分段技術(shù)，在網(wǎng)絡(luò)云化資源池中部署了多個安全平臺服務(wù)器、防火墻和網(wǎng)閘等設(shè)備，同步運行安全隔離系統(tǒng)、用戶目錄系統(tǒng)、認證授權(quán)系統(tǒng)及WEB安全代理等，由這些設(shè)備資源所構(gòu)建而成的云安全平臺就是云內(nèi)微隔離。

云內(nèi)微隔離覆蓋云計算網(wǎng)絡(luò)，每個網(wǎng)段上都存在計算資源，所有在云化網(wǎng)絡(luò)間進行的數(shù)據(jù)交換都將經(jīng)過微隔離系統(tǒng)。發(fā)生網(wǎng)絡(luò)安全事件時，微隔離可以有效按需調(diào)用資源進行阻斷，保障網(wǎng)絡(luò)安全事件不擴散，不進入其他網(wǎng)段或者安全域。

應(yīng)用服務(wù)區(qū)內(nèi)部，在等保要求基礎(chǔ)之上，按照應(yīng)用具體情況，進行的接入單元的劃分，依靠網(wǎng)絡(luò)的靜態(tài)邊界防護技術(shù)，可將每個接入單元劃分為前端負載，計算資源，后端數(shù)據(jù)等資源域。

為了更好地說明以上安全防護措施的方式，我們以圖3中的網(wǎng)絡(luò)架構(gòu)拓撲舉例說明，如Server1部署了應(yīng)用1的應(yīng)用服務(wù)，Server2部署了應(yīng)用2的應(yīng)用服務(wù)，Server3部署了應(yīng)用1的數(shù)據(jù)庫服務(wù)，并創(chuàng)建各自對應(yīng)的EPG組，服務(wù)器與EPG組對應(yīng)關(guān)系，如表1所示。

根據(jù)業(yè)務(wù)訪問需求，應(yīng)用1與應(yīng)用2需進行隔離防護，應(yīng)用1應(yīng)用服務(wù)需訪問應(yīng)用1數(shù)據(jù)庫服務(wù)，GBP間訪問策略關(guān)系如表2所示。

通過設(shè)置GBP組策略，可以在在計算資源中，按照每個應(yīng)用的安全等級與防護要求，分配不同的資源組，實現(xiàn)不同資源組間的動態(tài)微隔離。如發(fā)生某個應(yīng)用被滲透攻擊的安全事件時，可最大限度的限制被攻陷計算資源進一步橫向攻擊滲透。

4? 結(jié)? 論

微分段與傳統(tǒng)網(wǎng)絡(luò)安全隔離技術(shù)相結(jié)合，形成全新的網(wǎng)絡(luò)安全隔離防護架構(gòu)可提供更精細、靈活的安全隔離及分布式的安全控制，對云內(nèi)隔離防護具有較高意義，提高了數(shù)據(jù)中心網(wǎng)絡(luò)的安全性和穩(wěn)定性。

參考文獻：

[1] 莊懷東.基于SDN的數(shù)據(jù)中心網(wǎng)絡(luò)流量調(diào)度與負載均衡研究 [D].南京：南京航空航天大學(xué)，2016.

[2] 諸葛程晨，王群，劉家銀，等.零信任網(wǎng)絡(luò)綜述 [J].計算機工程與應(yīng)用，2022，58（22）：12-29.

[3] 李賀.微分段能為IoT安全帶來什么？ [J].網(wǎng)絡(luò)安全和信息化，2020（4）：122-124.

[4] 吳海濤，華銘軒，曹帥，等.SDN網(wǎng)絡(luò)安全研究熱點與演進趨勢 [J].通信技術(shù)，2021，54（6）：1492-1501.

[5] 陳曉帆，古亮.云環(huán)境下的動態(tài)微分段方法，系統(tǒng)，云服務(wù)器及存儲介質(zhì)：CN201810486085.7 [P].2018-05-18.

[6] 高洋洋.微分段 [EB/OL].（2021-08-05）.https：//support.huawei.com/enterprise.

[7] 段紅秀，湯銘.基于微分段與組標記的安全校園網(wǎng)的設(shè)計 [J].電子制作，2021（22）：43-45+67.

[8] 偉慶.虛擬化-SDDC軟件定義數(shù)據(jù)中心 [EB/OL].（2020-07-23）.https：//www.cnblogs.com/xweiqing/p/13365712.html.

[9] 杰因，麥塔，沙魯巴，等.異構(gòu)軟件定義網(wǎng)絡(luò)環(huán)境中的微分段：CN201780025777.5 [P].2018-12-21.

[10] 馬爾霍特拉，黃學(xué)東，蔣力，等.微分段安全語音轉(zhuǎn)錄：CN202180032695.X [P].2021-04-30.

[11] 王駿翔，徐一言.企業(yè)級云計算平臺服務(wù)編排技術(shù)的設(shè)計與實現(xiàn) [J].上海船舶運輸科學(xué)研究所學(xué)報，2021，44（2）：52-57+65.

[12] 薩爾曼，克利格爾，阿布加貝.用于網(wǎng)絡(luò)微分段和納分段的安全規(guī)則的自動生成：CN201980080050.6 [P].2019-11-26.

作者簡介：左一男（1982.11—），男，漢族，北京人，高級工程師，碩士研究生，研究方向：通信工程、網(wǎng)絡(luò)安全。