如何讓云中各種類型的用戶盡可能安全地使用網(wǎng)絡(luò),如何讓用戶無縫地接入和使用云計算服務(wù),如何通過虛擬化網(wǎng)絡(luò)技術(shù)提高數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建靈活性、擴展性的同時,解決好網(wǎng)絡(luò)安全問題,已經(jīng)成為采用虛擬化技術(shù)構(gòu)建云計算數(shù)據(jù)中心所必須要解決的問題。當前主流廠商有基于VLAN安全區(qū)化、防火墻虛擬化等網(wǎng)絡(luò)安全技術(shù)對云計算數(shù)據(jù)中心所采用的虛擬化網(wǎng)絡(luò)進行保護,但仍然未能解決好用戶訪問的可信以及數(shù)據(jù)交互的機密性、可控性等問題。
文中在研究基于虛擬化網(wǎng)絡(luò)的云計算數(shù)據(jù)中心典型架構(gòu)與訪問應(yīng)用模式的基礎(chǔ)上,從用戶安全接入、通信隔離與機密性保護等方面分析了數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)安全需求,提出了虛擬化網(wǎng)絡(luò)安全技術(shù)框架,重點針對基于密碼技術(shù)強化虛擬化網(wǎng)絡(luò)安全,保障虛擬機之間的通信保護、信息隔離與安全交換等安全機制進行了分析與設(shè)計,提出了一種可供參考的解決方案。
1云計算虛擬化網(wǎng)絡(luò)技術(shù)及安全需求分析
1.1云計算虛擬化網(wǎng)絡(luò)典型結(jié)構(gòu)與訪問應(yīng)用模式
云計算的基礎(chǔ)架構(gòu)主要包含計算服務(wù)器、網(wǎng)絡(luò)和存儲。對于網(wǎng)絡(luò),從云計算整個生態(tài)環(huán)境上來說,可以分為3個層面,數(shù)據(jù)中心網(wǎng)絡(luò)、跨數(shù)據(jù)中心網(wǎng)絡(luò)以及泛在的云接入網(wǎng)絡(luò)。
其中數(shù)據(jù)中心網(wǎng)絡(luò)包括連接計算主機、存儲和4到7層服務(wù)器如防火墻、負載均衡、應(yīng)用服務(wù)器、IDS/IPS等的數(shù)據(jù)中心局域網(wǎng),以及邊緣虛擬網(wǎng)絡(luò),即主機虛擬化之后,虛擬機之間的多虛擬網(wǎng)絡(luò)交換網(wǎng)絡(luò),包括分布式虛擬交換機、虛擬橋接和I/O虛擬化等;跨數(shù)據(jù)中心網(wǎng)絡(luò)主要解決數(shù)據(jù)中心間的網(wǎng)絡(luò)連接,實現(xiàn)數(shù)據(jù)中心間的數(shù)據(jù)備份、數(shù)據(jù)遷移、多數(shù)據(jù)中心間的資源優(yōu)化以及多數(shù)據(jù)中心混合業(yè)務(wù)提供等;泛在的云接入網(wǎng)絡(luò)用于數(shù)據(jù)中心與終端用戶互聯(lián),為公眾用戶或企業(yè)用戶提供云服務(wù)。
在此,主要探討使用虛擬化網(wǎng)絡(luò)技術(shù)實現(xiàn)的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)架構(gòu)及其訪問應(yīng)用方式。因為,數(shù)據(jù)中心大量的虛擬機通過虛擬化網(wǎng)絡(luò)訪問計算資源的安全可控問題,是解決云計算虛擬化網(wǎng)絡(luò)安全問題的關(guān)鍵。數(shù)據(jù)中心網(wǎng)絡(luò)包括核心層交換機、接入層交換機和虛擬交換機。在使用云計算后,數(shù)據(jù)中心的網(wǎng)絡(luò)需要解決數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)同步傳送的大流量、備份大流量、虛擬機遷移大流量問題,因此要求核心層網(wǎng)絡(luò)具備超大規(guī)模的數(shù)據(jù)交換能力以及足夠的萬兆接入能力。接入層交換機要求能夠支持各種靈活的部署方式和新的以太網(wǎng)技術(shù),包括無損以太網(wǎng)技術(shù)等。
虛擬交換機是在物理服務(wù)器內(nèi)部通過虛擬機管理器Hypervisor層虛擬出相應(yīng)的交換機和網(wǎng)卡功能并實施管理,提供了服務(wù)器內(nèi)多個虛擬主機虛擬網(wǎng)卡vNIC的互聯(lián)以及為不同的虛擬網(wǎng)卡流量設(shè)定不同的VLAN標簽功能,使得服務(wù)器內(nèi)部如同存在一臺交換機,可以方便地將不同的網(wǎng)卡連接到不同的端口。Hypervisor為每個VM虛擬主機創(chuàng)建一個或者多個vNICs,聯(lián)接Hypervisor中的虛擬交換機,從而支持VM間的通信。Hypervisor還允許虛擬交換機和物理網(wǎng)絡(luò)接口的通信,以及和外部網(wǎng)絡(luò)的高效通信,典型的虛擬交換機如開源的OpenvSwitch。
以目前應(yīng)用較成熟的Ctrix基于Xen的虛擬化系統(tǒng)為研究對象與其他VmwareESX、KVM、Hyper-V等有所不同,可參考思路,分析用戶聯(lián)接虛擬化用戶終端,并進一步訪問數(shù)據(jù)中心計算資源的典型框架如圖2所示。
首先遠程用戶基于瘦客戶端,基于ICA等遠程桌面協(xié)議Vmware用PCoIP訪問數(shù)據(jù)中心服務(wù)器上的用戶虛擬終端。ICA協(xié)議是基于Xen的Ctrix虛擬化系統(tǒng)的專有協(xié)議,將顯示器、鍵盤、鼠標操作信息與服務(wù)器端管理域交互,可以在Hypervisor上創(chuàng)建、中止相應(yīng)的虛擬化終端系統(tǒng),獲得與本地化計算機終端操作相同的使用體驗。同時,管理域OS上還運行了所有外設(shè)的實際驅(qū)動程序,通過后端驅(qū)動模塊與系列客戶終端虛擬機OS上運行的前端驅(qū)動模塊進行交互,實現(xiàn)對各客戶終端虛擬機設(shè)備驅(qū)動的支持。
其次,用戶虛擬終端機之間通過虛擬網(wǎng)卡、虛擬化交換機包括跨物理服務(wù)器的分布式虛擬化交換機,實現(xiàn)虛擬終端之間以及用戶虛擬終端與虛擬應(yīng)用服務(wù)器之間的高速網(wǎng)絡(luò)數(shù)據(jù)交互,實現(xiàn)基于虛擬化的數(shù)據(jù)集中應(yīng)用,并訪問各種應(yīng)用服務(wù)器,或進行用戶虛擬機的遷移等。其中分布式虛擬交換機采用使底層服務(wù)器架構(gòu)更透明的方法,支持不同物理服務(wù)器上虛擬交換機的跨服務(wù)器橋接,使一個服務(wù)器中的虛擬交換機能夠透明地和其他服務(wù)器中的虛擬交換機連接,使服務(wù)器間以及它們的虛擬接口的VM遷移更簡單。
1.2虛擬化網(wǎng)絡(luò)安全需求
虛擬化終端應(yīng)用模式實現(xiàn)了數(shù)據(jù)集中應(yīng)用,并提供了用戶間的數(shù)據(jù)隔離,同時又以虛擬交換機實現(xiàn)了用戶間的數(shù)據(jù)交互。虛擬交換機與實體交換機一樣,還提供VLan、ACL、虛擬機端口的流量策略管理、QoS等機制。根據(jù)上述云計算用戶使用數(shù)據(jù)中心的虛擬化終端,并通過虛擬化網(wǎng)絡(luò)進行應(yīng)用訪問的典型模式描述,這里對云計算虛擬化網(wǎng)絡(luò)安全的需求進行了如下分析歸納:
1用戶接入的網(wǎng)絡(luò)安全需求。應(yīng)該保障虛擬化用戶能夠可信、可控、安全地接入數(shù)據(jù)中心啟用其對應(yīng)的終端虛擬機系統(tǒng)。應(yīng)該強化用戶接入數(shù)據(jù)中心的認證與訪問控制,提供ICA等遠程桌面協(xié)議的機密性保護。
2虛擬機之間的網(wǎng)絡(luò)安全需求。與傳統(tǒng)的安全防護不同,虛擬機環(huán)境下,同臺物理服務(wù)器虛擬成多臺VM以后,VM之間的流量交換基于虛擬交換機進行交換,管理員對于該部分流量既不可控也不可見,但實際上根據(jù)需要,不同的VM之間需要劃分到不同的安全域,進行隔離和訪問控制,應(yīng)提供保證虛擬機之間交互數(shù)據(jù)的機密性保護機制,避免通過虛擬交換機的混雜模式端口映射機制監(jiān)聽到所有不同用戶群組的虛擬機之間的通信數(shù)據(jù)。
此外,還應(yīng)該為虛擬機的遷移提供安全的數(shù)據(jù)傳輸通道,避免遷移過程往往是跨物理服務(wù)器乃至跨數(shù)據(jù)中心的造成用戶數(shù)據(jù)泄露。
3數(shù)據(jù)中心之間的網(wǎng)絡(luò)安全需求。數(shù)據(jù)中心之間會有計算或存儲資源的遷移和調(diào)度,對于大型的集群計算,一般采用構(gòu)建大范圍的二層互聯(lián)網(wǎng)絡(luò)包括跨數(shù)據(jù)中心的分布式虛擬交換機,對于采用多個虛擬數(shù)據(jù)中心提供云計算服務(wù),可以構(gòu)建路由網(wǎng)絡(luò)三層連接。需要對數(shù)據(jù)中心網(wǎng)絡(luò)邊界進行防火墻、入侵檢測等常規(guī)網(wǎng)絡(luò)安全防護,同時對跨數(shù)據(jù)中心交互的數(shù)據(jù)進行機密性保護。
來源:比特網(wǎng)
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502003583