● 安全设备接入数据中心,应具备万兆级接入、万兆级性能处理为基础,并且要具备根据业务需求灵活扩展的能力;
● 随着服务器的虚拟化及多租户业务部署,云计算环境下的网络流量无序突发冲击会越来越严重,为保证云计算服务的服务质量,安全设备必须具备突发流量时的处理能力,尤其一些对延迟要求严格的业务。
虚拟化环境的网络防护
在云计算数据中心中,由于虚拟化技术打破了物理边界,使得传统的基于物理服务器和物理边界的网络安全防护体系难以有效的应用在虚拟主机的安全隔离和安全监控上。对于虚拟化环境网络防护需要重点考虑如下两方面。
虚拟机安全隔离
传统的基于物理边界建立安全域的方法只适用于物理主机,对于虚拟主机如何实现有效的安全隔离,是安全防护需要重点考虑的问题。
虚拟机安全监控
同一物理主机中的虚拟机之间的数据交互是通过vSwitch实现的,这部分流量不会出现在物理交换机上,因此传统的安全设备无法监控虚拟机之间的数据流量,也无法察觉虚拟机之间的攻击行为。
对于解决虚拟主机的安全隔离和安全监控问题,目前业内主要有两种技术方案。
1) 将虚拟主机网络管理的范围从服务器内部转移到网络设备
将虚拟机内部的不同VM之间网络流量全部交由与服务器相连的物理交换机进行处理,这将使得安全部署变得同传统边界防护一样简单。
这种思路目前有两种解决方案,分别是基于VN-Tag(虚拟网络标签)的802.1Qbh和基于VEPA(虚拟以太网端口聚合)的802.1Qbg。目前这两个标准还处于草案阶段,尚未正式发布。
这种解决思路的最大优点是,将复杂的控制功能重新交给技术成熟的网络设备,可以继续沿用传统的网络安全控制机制,但目前相关产品的技术成熟度和商品化程度不够。
2) 在虚拟化层实施安全隔离和安全监控
由于虚拟机之间的通信在虚拟化层可见,因此虚拟化软件公司可以将虚拟化层接口开放给合作公司,由第三方开发虚拟化安全防护软件。如VMware在虚拟化层提供了vShield安全套件,可提供虚拟安全边界、防火墙、流量监控、防病毒等安全功能。
此方案不仅解决了虚拟主机的安全隔离和安全监控问题,也提供了客户虚拟机的安全保护能力,同时实现了安全策略配置的自动迁移,应该说提供了虚拟主机安全防护体系的一揽子解决方案。但此方案也存在一定的缺点,一方面,安全套件在虚拟化层实现,没有备份,存在单点故障;另一方面,安全套件以软件形式实现,处理能力相对有限,而且会影响虚拟化层的性能。
综上,基于虚拟化层的安全套件目前有较为成熟的商业产品,并且提供了针对虚拟主机安全防护体系的一揽子解决方案,因此是目前较为适合的选择。但由于虚拟化安全套件有单点故障和性能影响等方面的缺陷,因此应与传统的安全设备和技术手段相结合,建立纵深的安全防护体系。
