数据中心虚拟化环境的安全挑战.pdfVIP

行业分析 ndustryA nalysis 防火墙的无状态负载均衡 ，集群 内部具有高可靠性 。 的虚拟化软件交换机，例如思科推 出的Nexusl000v可以 防火墙集群具有智能且分布式 的数据通道 ，在集群 部署在 VMwate、Hyper—V等虚拟化软件上 ，比虚拟化 内部转发数据包 ，可以达到基于状态 的防火墙过滤。集 厂商提供 的软件交换机具有更多的特性。 群 内部各个节点之间具有状态同步 ，用户认证后可以共 在数据中心内，传统的安全分 区模式是将业务类型 享认证信息 。在某单 点防火墙失效后 ，用户无需重新认 相 同的服务器部署在 同一个物理区域 内，在不 同的物理 证 ，集群可 以无缝地进行流量重新分配 。在管理方面 ， 区域 的边界部署安全控制策略。在虚拟化环境，为适应 集群 内的设备可实现集 中的配置管理 ，单点配置 ，自动 资源池化 的需求 ，数据 中心网络平 台也变成一个大二层 同步配置到其他的集群节点。 的网络。虚拟机有可能需要从一个物理位置迁移到另一 网络 内部 的隔离 ，是将业务系统根据业务类型或应 个物理位置 ，所以此 时再基于物理位置进行安全分 区已 用层级划分到不 同的组 内，以组为基本单位设置安全策 经不可能。虚拟机迁移前后其 MAC／IP地址等不变，决 略 ，从而大大简化 了管理上的复杂度。每个分区 内还可 定 了其迁移 的源和 目的应在同一个 VLAN，因此，在 网 以根据需要定义子分 区，形成层次化的分组策 略，令配 络层面 ，VLAN成为标识虚拟机的重要属性。 置 、策略、安全控制、访 问控制等的组管理更为清晰化。 在虚拟化环境 的大二层 网络下，防火墙可采用旁 分 区之间的通信需要经过安全控制 ，分 区隔离技术 中常 路 的方式部署在核心交换机上 ，每个业务子系统对应 用的包括基于VLAN／VRF的网络隔离和基于防火墙隔离 。 的VLAN终结在核心交换机上 ，在核心交换机上为每个 VLAN接 口绑定不同的VRF，实现不同VLAN的隔离 ， 两种不 同的隔离模式 即不 同业务子系统的隔离。在防火墙上需采用子接 口方 采用 VLAN进行业务隔离是传统的安全隔离方式 ， 式或是虚拟 防火墙方式对应到每一个业务子系统，设置 一 个 VLAN即为一个安全域。一般情况下 ，对同一等级业 不同的安全级别 ，实现网络 的安全分区。为 了达到与传 务划为同一个 VLAN，并在二层、三层交界处将VLAN映 统方式下相 同的部署效果 ，即类似每个业务系统区域边 射到VRF，最终在核心交换机层面实现不同业务的互访 。 界部署一对 防火墙 ，建议对不 同业务子系统隔离时采用 标准 VLAN数最多为 4096，在虚拟化环境下 ，特 虚拟防火墙 的方式。虚拟防火墙 即一个物理 防火墙虚拟 别是在大型的云计算数据中心，采用 VLAN作为安全隔 出多个防火墙 ，实现业务逻辑隔离 。 离方案时，会存在 VLAN数不能满足需求 的可能。传 虚拟 防火墙具有独立管理、独立 日志 、独立路由层 统 VLAN扩展 的方式为 QinQ，技术 已经较为成熟 ，但 面 (地址可重叠)、独立安全策略 ／NAT策略 ／应用层策略 ， 在多数据 中心跨机房二层互联场景下 ，QinQ需与 VPLS 可实现防火墙物理资源的划分与限定 ，彻底保护业务不 等技术相结合 ，部署起来较为复杂。本文重点介绍新 互相串扰。 的VLAN扩展技术 ：虚拟可扩展局域 网VxLAN(virtual 在虚拟化环境下部署物理防火墙时 ，同一物理机上 eXtensibleLocalAreaNetwork)。VXLAN是 由VMware、 不 同虚拟机之 间的互访流量往往需要先经 VLAN引导上 Cisco和 Arista等厂商提出的新的技术标准 ，概括地讲 ， 行到核心层 的物理防火墙 ，然后在下行回到虚拟机