数据中心如何部署云安全

来源：杭州迪普科技有限公司 作者：李小龙 发表于：2016.06.30  868浏览

一、绕不开的那点“云”

1959年6月，科学家斯特雷其在实验室奋笔疾书，发表了一篇有关于“虚拟化”的论文。什么是虚拟化？简单说，就是把一台计算机虚拟成多台小机器。60年代，麦卡锡提出把计算能力提供给用户，即开即用，用多少买多少。但是当理想遭遇现实的时候，总有些无法面对的事情，比如当时计算机的运算能力也是慢的没谁了，再加上当时还没有Internet，所以这件事情也就无疾而终。

到了1984年Sun公司的联合创始人John Gage表示“网络就是计算机”，再到1997年南加州大学教授RamnathK Chellappa提出云计算的第一个学术定义。很快，salesforce.com公司提出通过一个网站提供企业级应用的概念。

21世纪云计算进入爆发增长期，各大公司相继发布自己的云计算平台。2005年Amazon发布AWS云计算平台，直到今天，AWS依然是全球范围内最大的云服务平台。2006年Google首席执行官埃里克·施密特（Eric Schmidt）在搜索引擎大会（SES San Jose 2006）首次提出“云计算”（Cloud Computing）的概念。

从此，这个具备超大规模、虚拟化、高可靠性、通用性、高可扩展性，能够按需服务并且及其廉价的模式——云计算呈现井喷式的爆炸式发展。

但是，在诸多优势的光环之下，云计算依然存在潜在危险性，即安全不确定性。云时代的高校数据中心安全防护也成为高校信息化面临的重要问题之一。

在近十几年的安全防护体系中，安全都是以边界为核心的防护模型。所谓边界，即是不同信任级别安全区域间的分界点，人们通常会在边界部署防火墙、UTM、入侵防御、上网行为管理等一系列安全产品。在这种场景下，防护的对象十分清楚，都是独立的物理服务器。

图1 传统安全防护方式

而相比传统安全，云环境下的应用场景发生了很大的变化。在云计算中，最关键的虚拟化技术，使得虚拟机替代了以往的物理服务器，而以往清晰的边界变得模糊了。

图2 云计算下的安全防护应用场景

当虚拟机成为主流，物理边界在哪里？当一个物理服务器中有几个不同租户的虚拟机，而同一租户的虚拟机又有可能分布在不同的物理服务器中时，会造成无法用传统的安全区域划分方法来定义边界，继而导致传统的安全设备无法部署。

二、云时代的安全到底该怎么办？！

1、NFV——网络功能虚拟化

这时，NFV出现了。NFV（Network Function Virtualization），即网络功能虚拟化。这个概念最初是由运营商的联盟提出的，就是通过使用通用性硬件以及虚拟化技术，来将很多硬件功能抽出来通过软件实现。也就是将专用硬件实现的功能虚拟化到一个通用硬件里，如防火墙、网络地址转换、入侵检测等。

图3 NFV

NFV的终极目标是，通过基于行业标准的x86服务器、存储和交换设备，来取代通信网的那些私有专用的网元设备。

那么，NFV的好处是什么？一方面，基于x86标准的IT设备成本低廉，能够降低巨大的投资成本，而使用通用的管理软件和通用的应用也可降低成本；另一方面，开放的API接口，也能帮助运营商获得更多、更灵活的网络能力。通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。下图是NFV的两种典型的组网方式：

图4 NFV典型组网方式

在上述的拓扑图中，我们看到很多虚拟设备，不同的虚拟设备具备不同的功能，其中就有负责安全的虚拟机。正因如此，很多企业把这种“网络公有云虚拟化”技术当做一种云安全的解决方案来实施。

但是，NFV是不是可以成为一种通行的云安全解决方案呢？

首先，NFV被称作网络功能虚拟化，说明NFV的设计初衷并不是只为了满足安全性来设计的。

其次，NFV采用服务器来实现硬件功能虚拟化，当在一台服务器中部署了众多虚机，并且不同虚机开展不同业务时（安全作为其中一项），就可能会产生两个隐患：1、服务器资源不够或者性能不足；2、安全相对于其他功能，独立性太弱。

再者，NFV是在服务器内进行处理，需要对服务器内的每一台虚机进行配置，当虚机数量高达千台甚至更多时，就对企业的经济实力、运维能力产生了挑战。这样的情况，只适用于本身规模庞大、研发实力雄厚、且不差钱的土豪公司。

因此NFV更适合公有云平台。但是，考虑到更多“正在发展中的私有云用户”，NFV并不是一个好选择。

2、VXLAN——助力多租户安全隔离

在云环境中，同一物理服务器下的多租户互访默认通过虚拟交换机转发，不通过物理网络设备和安全设备，如图5。

图5 云环境下的多租户互访

因而，在云计算中租户间的安全隔离，成了一个较大的难题。当前的主流二层网络隔离技术为VLAN，但是在大量租户部署时会有技术限制。针对这个问题，业内提出了一个解决方案：在不改变原先架构的基础之上新建一个Overlay的网络，来为云业务提供支撑。Overlay网络能很好的解决在多租户隔离中VLAN技术带来的限制。而在实现Overlay架构的三大技术（VXLAN、NVGRE 、STT）中，其中尤以VXLAN技术为最佳。

图6 VXLAN

VXLAN :对二层报文使用MAC in UDP的方法进行封装，从而实现二层报文在三层网络中转发；同时，采用24bit的网络标识，因此最多可以使用1600万个隔离的VXLAN，满足了在大规模云计算环境中使用的要求。

图7 三层网关功能

三层网关实现了VXLAN之间的互通。当报文需要跨VXLAN访问时，三层网关将VXLAN报文头进行重新封装后进行三层转发。同时，在安全设备上实现了对VXLAN的支持，而VXLAN安全网关可以作为VTEP，进行跨VXLAN的三层报文转发。

在虚拟机和安全网关中，形成一个完整的VXLAN网络，处于不同VXLAN的虚拟机之间互访必须经过安全网关进行转发和控制，从而实现了对于多租户之间的安全隔离。

VTEP：用于对VXLAN报文进行封装/解封装，包括ARP请求报文和正常的VXLAN数据报文；在一端封装报文后通过隧道向另一端VTEP发送封装报文，另一端VTEP接收到封装的报文解封装后根据虚机的MAC地址进行转发。VTEP可由支持VXLAN的硬件设备或软件来实现。VXLAN安全网关可以采用独立的安全设备，这样安全与计算完全分离，不会对计算资源造成影响。同时，独立的专业安全设备也提供了一体化的集中式管理，用户只需登录一个管理界面即可对云计算中所有的安全功能进行配置，大大简化了管理难度。

3、对比

下面对利用高性能安全设备解决多租户间的虚机感知和安全隔离问题，和NFV做一个简单的对比：

NFV是在一台基于行业标准的通用硬件服务器上，利用虚拟化技术，将专用硬件功能通过软件来实现。

图8 VXLAN安全网关

VXLAN技术结合三层安全网关，将二层数据帧通过隧道技术引流到三层。一来可以实现对虚机流量的感知，二来通过安全网关的数据流，会经过高性能的安全业务板卡，以实现安全隔离的目的。

二者最大的不同在于，前者利用软件实现，后者利用硬件设备实现。采用不同方式实现，为什么硬件更可靠？纯软件平台占用计算资源、性能较低、管理难度较大；独立安全网关将安全与计算分离，专用硬件，易于部署，实现一体化集中式管理。

除了实现虚机感知和安全隔离外，硬件的高性能也让云计算自身的安全需求也得到了充分的满足。同时，在云安全解决方案中，通过多虚一和一虚多技术，可以实现安全网关的快速扩展和细粒度的多租户安全资源分配能力。

多虚一

图9 多虚一

多虚一是指将多个物理安全网关或同类业务板卡虚拟成为一个逻辑上的虚拟设备，形成一个大的安全资源池。在这个安全资源池中，安全的性能和功能都可以按需扩展，性能不足可以增加同类型板卡，功能不足可以增加其他业务板卡，甚至可以整台设备进行扩展。

一虚多

图10 一虚多

针对此安全资源池，还可继续进行一虚多虚拟化。针对不同的租户划分出不同的VSA（虚拟安全设备），可以从VNID、CPU、内存、吞吐量、并发连接数、新建连接数、路由协议等维度进行划分，从而实现1个租户、1个VSA、1个配置界面、N个VNID的目标。

三、总结

综合以上所述，高性能硬件设备+虚拟化技术=安全云，高性能硬件设备+VXLAN=云安全。同时，可选用全面支持目前最主流的云管理标准OpenStack的云安全网关，以便用户可以像管理计算、存储、网络资源一样管理安全设备，实现真正意义上的资源自动配置管理。