虚拟化数据中心的络安全设计.pdfVIP

虚拟化数据中心给网络安全带来了一些挑战，尤其是虚拟机的迁移，计算集群 主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心 的网络建设需要引入新思路和新技术，如VLAN扩展，安全策略上移，网络安全策 略跟随虚拟机动态迁移等。 虚拟化数据中心的网络安全设计 数据中心虚拟化是指采用虚拟化技术构建基础设施池，主要包括计算、存储、网络三 种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路， 而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。 数据中心虚拟化，从主机等计算资源的角度看，包含多合一与一分多两个方向（如图 1所示），都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、 网络三种资源深度融合而成，因此主机虚拟化技术能够顺利实现必须由合适的网络安全策 略与之匹配，否则一切都无从谈起。前者出现较早，主要包括集群计算等技术，以提升计 算性能为主；而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的 技术，以缩短业务部署时间，提高资源使用效率为主要目的。 图1 计算虚拟化的两种表现形式 虚拟化后数据中心面临的安全问题 传统数据中心网络安全包含纵向安全策略和横向安全策略，无论是哪种策略，传统数 据中心网络安全都只关注业务流量的访问控制，将流量安全控制作为唯一的规划考虑因 素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间，即增加网络安 全策略（如图2所示），网络安全策略能够满足主机顺畅的加入、离开集群，或者是动态 迁移到其它物理服务器，并且实现海量用户、多业务的隔离。。 图2 数据中心虚拟化安全模型 虚拟化数据中心对网络安全提出三点需求： 1、在保证不同用户或不同业务之间流量访问控制，还要支持多租户能力； 2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移； 3、网络安全策略可跟随虚拟机自动迁移。 在上述三个需求中，第一个需求是对现有网络安全策略的增强。后两个需求则需要一 些新的规划准则或技术来实现，这给当前网络安全策略带来了挑战。 应对之道 VLAN扩展 虚拟化数据中心作为集中资源对外服务，面对的是成倍增长的用户，承载的服务是海 量的，尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机（虚拟机 或者物理机）的安全，还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。 要实现海量用户的识别与安全隔离，需要为虚拟化数据中心的每一个租户提供一个唯 一的标识。目前看开，VLAN是最好的选择，但由于VLAN数最多只能达到4096，无法满足虚 拟化数据中心业务开展，因此需要对VLAN进行扩展。如图3所示，VLAN扩展的有以下两个 实现途径。 图3 VLAN扩展两种思路 QinQ ：采用VLAN嵌套的方式将VLAN 的数量扩展到160万个。内层标签称为用户VLAN 即C‐VLAN ，外层标签成为运营VLAN ，即S‐VLAN ，例如100个C‐VLAN不同的同一类用户可以 封装同一个相同S‐VLAN ，极大的扩展VLAN 的数量。该方法配置简单，易维护。但其缺点是 接入的用户规模较小。 VPLS：用户VLAN封装在不同VPLAS通道内，不同的用户封装不同的VPLS通道即可实现 海量用户之间良好的安全控制。其优点是接入规模大，可伸缩性强，易于跨地域数据中心 之间平滑扩展。不足之处是VPLS会导致数据中心内配置较复杂，使数据中心之间扩展复杂 度变大。 在实际选择时，可以根据数据中心对外服务的业务特点，对照上述两种方式的优缺点， 选择合适的实现方式。