云计算为电信运营商带来了良好机遇,为实现精细化运营、推进转型深化提供了利器。而安全性是客户选择云计算时的首要考虑因素之一,也是在建设云计算平台时的关键问题。
挑战一:网络结构演进
云计算的特点是实现计算、存储等IT资源灵活调度,让资源得到最充分利用,而实现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供服务。较传统网络,云计算网络的流量模型发生了两个变化:一是从外部到内部的纵向流量加大;二是云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力。
挑战二:虚拟化环境的安全要求
对于迁移到云计算环境中的系统而言,网络层安全防护最明显的变化,是传统的以物理服务器为单位划分安全域的访问控制方法将不再适用,对于虚拟机而言,只提供虚拟机镜像的逻辑隔离和域名的逻辑隔离。如何实现虚拟安全域的隔离和访问控制将是设计网络层安全防护体系的核心问题。
因此对于云计算网络层面的安全解决方案要求一个高度可扩展的网络安全防护架构,能够实现跨越物理和虚拟环境的保护,对VM之间的流量进行实时查看和威胁检测,并且不会对服务器造成额外的负载。同时,它要求支持更广泛的网络访问,可以通过用户、组和应用程序进行策略设定,而不是仅仅通过静态属性(IP地址、MAC地址)来管理策略。
适用于云计算环境的网络架构
对于云计算数据中心网络架构,目前国际的云计算提供商主要有两种架构方案。
一种网络架构是以Amazon AWS为代表的全虚拟化架构,完全取消物理服务器的概念,系统仅运行在虚拟机上。AWS的虚拟化系统是以开源XEN系统为基础,Amazon进行了深入的定制化开发和整合。
另一种网络架构就是所谓的Cloud Center架构,以Gogrid为代表。这种架构在云中采用标准的技术和协议建立标准的数据中心服务,与传统的数据中心非常相似,只是在物理服务器上增加了虚拟机,另外在多租户模式等方面有一些差别,优点是可以将传统的技术和基础设施更平滑地转移到云中。
图为基于Cloud Center架构的云数据中心网络安全防护体系的部署示意图。建议在云数据中心边界部署专业的抗DDOS攻击设备,防火墙建议采用旁挂式部署在核心交换机之上,启用双机模式。防火墙设备和抗DDOS攻击设备在选型时要充分考虑云数据中心的业务类型、业务容量、业务扩容性预期等,从而对设备架构、功能、性能指标、可靠性、扩展性等进行严格的遴选和测试。建议将云平台中的每个业务系统单独划分为一个安全域,启用硬件防火墙上的虚拟防火墙功能,通过VLAN ID将不同安全域绑定到不同的虚拟防火墙,这样每个业务系统可以有独立安全边界和独立的管理员,通过虚拟防火墙可以设置独立的安全访问控制策略。对于虚拟防火墙和虚拟主机安全产品的选择,要重点考虑启用安全特性之后的性能损耗和产品的集中配置管理能力。
对于安全设备选择应着重考虑以下两个方面:
