“云朵”方案化解“私有云”安全過渡期難題(4)
責編:admin |2014-06-17 15:06:29虛擬化平臺上的安全與廠家產品的開放性有直接的關系,可以分為兩種情況:
第一種情況是開源的平臺,或者是得到了廠家的底層安全API 接口,如VMware 的VMSafe 接口,你可以利用接口插入自己的安全代碼,對虛擬機上的流量進行安全檢查與控制。
這種方式直接在虛擬化平臺的底層hypervisor上控制用戶數據流,有些像我們所理解的操作系統分為內核態與用戶態,黑客要突破hypervisor 到內核層是比較困難的,想繞過這種安全監控也是十分困難的。
第二種情況是得不到虛擬化平臺的底層接口,或者是希望通過第三方的安全控制措施,用戶才放心( 虛擬化平臺自己管理、自己控制的安全,總讓人有些疑惑)。這種方式是目前安全廠家流行的流量牽引的安全控制措施。
實現的思路是利用SDN 技術中的流量牽引控制協議openflow,引導用戶業務流量按照規定的安全策略流向,結合安全產品的虛擬化技術,建立防火墻、入侵檢測、用戶行為審計、病毒過濾等資源池,在用戶申請虛擬機資源時,隨著計算資源、存儲資源一起下發給用戶,保證用戶業務的安全。
實現的步驟大致如下:
對安全資源虛擬池化:先對安全設備進行“多到一”的虛擬化,形成一個虛擬的、邏輯的、高處理能力的安全設備,如虛擬防火墻、虛擬入侵檢測等;再對虛擬的安全設備進行“一到多”的虛擬,生成用戶定制的、處理能力匹配的虛擬安全設備;
部署流量控制服務器:它是流量控制管理的中心,接受并部署用戶流量的安全策略,當用戶業務虛擬機遷移時,負責流量牽引策略的遷移落地;該服務器可以是雙機熱備,提高系統安全性,也可以采用虛擬機模式。同時,在虛擬計算資源池內安裝流量控制引擎:具體方法是在每個物理服務器內開一個虛擬機運行流量控制引擎,負責引導該物理服務器上所有虛擬機,按照安全策略進行流量的牽引;
用戶業務流量的牽引分為兩種模式:
a) 鏡像模式:針對入侵檢測、行為審計等旁路接入的安全設備,把用戶流量復制出來即可,不影響原先的用戶業務流量;
b) 控制模式:針對防火墻等安全網關類安全設備,需要把用戶的流量先引導到安全設備虛擬化池中,“清洗”流量以后,再把流量引導到正常的業務處理虛擬機。
因為需要改變用戶流量的流向,需要對目的MAC、目的IP 進行修改。具體的方案很多,這里我們采用的是MAC in MAC 技術,對數據包二次封裝,經過安全設備處理以后的“安全流量”恢復到“正常”狀態;在云朵中的物理交換機與虛擬交換機支持SDN 模式時,也可以采用openflow 協議進行導引時的封裝;
l當用戶業務服務的虛擬機在不同的物理服務中遷移時,該用戶業務的安全策略也隨著遷移到目的物理服務內的流量控制虛擬機,繼續執行對該用戶的業務流量進行引導。
小結
“云朵”方案通過把不同安全需求的業務系統部署在不同的云朵內,降低了對云內業務流隔離的需求,而在云朵內部,通過流量牽引與虛擬機加固等辦法,實現網絡層面的安全過濾,同時加強業務系統自身的安全管理,如用戶權限管理、業務行為審計等,實現應用層面的訪問控制,對敏感數據的存儲與傳輸都建議采用加密方式。
“云朵”方案是個過渡性質的方案,等到云朵內的安全隔離與控制技術成熟,多個云朵就可以合成一個云了。