四、云朵內(nèi)的安全設(shè)計思路---云導(dǎo)流方案

云朵內(nèi)不同于傳統(tǒng)的安全設(shè)計思路就是云導(dǎo)流方案。它實現(xiàn)了云朵內(nèi)以流為核心，重塑信息系統(tǒng)邏輯網(wǎng)絡(luò)拓?fù)涞倪^程，同時，定義了該信息系統(tǒng)的安全屬性，即部署的網(wǎng)絡(luò)安全措施。

云導(dǎo)流方案包括三個核心的組成部分：策略管理平臺、安全資源池、導(dǎo)流網(wǎng)絡(luò)。

1、流量引導(dǎo)與控制模塊(CFC：云導(dǎo)流模塊)

流引導(dǎo)的范圍就是導(dǎo)流控制的網(wǎng)絡(luò)。該網(wǎng)絡(luò)與虛擬機緊挨著，保證進(jìn)出VM的流能得到正確的引導(dǎo)；該網(wǎng)絡(luò)與安全資源池相鄰，保證引導(dǎo)的數(shù)據(jù)包進(jìn)入相應(yīng)的資源池，并把處理完的流量再從新引導(dǎo)到正確的目的地。該網(wǎng)絡(luò)與策略管理平臺路由可達(dá)，保證執(zhí)行的是正確的策略。

CFC模塊包括如下幾個組成部分：

• 交換機：負(fù)責(zé)數(shù)據(jù)包的實際轉(zhuǎn)發(fā)，與策略管理平臺互通，保證流的正確去向。
• 導(dǎo)流網(wǎng)絡(luò)的邊界交換機：對于進(jìn)入的流，從安全策略服務(wù)器獲得該業(yè)務(wù)流路由定義的標(biāo)簽，并為流的所有數(shù)據(jù)包打上該標(biāo)簽，讓后續(xù)的交換機知道如何路由到下一跳；對于出去的流，摘掉這個標(biāo)簽，恢復(fù)原有的數(shù)據(jù)包，不影響系統(tǒng)、安全設(shè)備對數(shù)據(jù)包的處理；
• 導(dǎo)流網(wǎng)絡(luò)的內(nèi)部交換機：根據(jù)數(shù)據(jù)包的標(biāo)簽轉(zhuǎn)發(fā)下一跳，而不是根據(jù)流的目的IP；
• 導(dǎo)流網(wǎng)絡(luò)包括物理的交換機與虛擬平臺內(nèi)的虛擬交換機，兩者可以支持不同的協(xié)議，只要能夠識別統(tǒng)一的標(biāo)簽。
• 安全虛擬機(SVM)：在每個物理服務(wù)器內(nèi)部有一個安全虛擬機，負(fù)責(zé)該服務(wù)器內(nèi)的所有的VM的監(jiān)控流量引導(dǎo)；安全虛擬機在物理服務(wù)器加入到資源池時，自動安裝，并與策略管理平臺實時通信，部署在本服務(wù)器上VM的安全策略。

流引導(dǎo)的實現(xiàn)是策略服務(wù)器與交換機的協(xié)議互通，對流進(jìn)行重新路由。根據(jù)安全設(shè)備對流處理的要求，流引導(dǎo)需要兩種方式：流監(jiān)控與流過濾。

流監(jiān)控：不需要改變流原來的路由，需要將全部的流量復(fù)制一份交給安全設(shè)備處理即可。我們處理的方式是在虛擬交換機上進(jìn)行端口鏡像，將虛擬網(wǎng)卡的流量復(fù)制到安全虛擬機，經(jīng)過處理后，再經(jīng)過另外的物理網(wǎng)卡直接送到安全資源池。

流監(jiān)控主要是滿足并行接入的安全設(shè)備，如IDS、網(wǎng)絡(luò)審計、異常流量監(jiān)控等。

流過濾：需要對流的路由進(jìn)行修改，讓流“繞彎”進(jìn)入安全設(shè)備，處理后再返回目標(biāo)。實現(xiàn)流過濾引導(dǎo)的分兩部分流量：

• 南北流量：進(jìn)入虛擬化池之前，在導(dǎo)流網(wǎng)絡(luò)的邊界交換機上就開始進(jìn)行流的引導(dǎo)，經(jīng)過安全處理后再送到服務(wù)器虛擬化池的交換機上，最后進(jìn)入VM；
• 東西流量：導(dǎo)流網(wǎng)絡(luò)包括虛擬交換機，所以流從VM出來進(jìn)入，在虛擬交換機的入口上就打上標(biāo)簽，轉(zhuǎn)發(fā)到安全資源池，處理后重新導(dǎo)流，轉(zhuǎn)發(fā)到實際的目的地。

#p#

在流過濾時，需要支持流引導(dǎo)協(xié)議。選擇什么協(xié)議呢？

流引導(dǎo)協(xié)議的核心就是在導(dǎo)流網(wǎng)路(流引導(dǎo)控制區(qū)域)內(nèi)，將原來的網(wǎng)絡(luò)層參數(shù)封裝起來，按照安全策略服務(wù)器重新定義路由的標(biāo)簽，并讓交換機按照標(biāo)簽進(jìn)行包轉(zhuǎn)發(fā)，而不是根據(jù)目的IP轉(zhuǎn)發(fā)。能夠?qū)崿F(xiàn)這種“重新路由”的協(xié)議很多，最為直接的是SDN，因為SDN協(xié)議設(shè)計時，已經(jīng)將轉(zhuǎn)發(fā)控制器與轉(zhuǎn)發(fā)交換機分離，SDN控制器可以根據(jù)多個參數(shù)去定義新的路由轉(zhuǎn)發(fā)策略，而不僅僅是訪問控制列表ACL的五元組。下圖是Openflow3.1協(xié)議支持路由組合的控制要素。

能實現(xiàn)導(dǎo)流網(wǎng)絡(luò)內(nèi)重新路由的還有很多成熟的路由協(xié)議，如BGP、MPLS、GRE、vxLAN(虛擬擴(kuò)展LAN)、EVB(一種Vlan嵌套技術(shù))等，其核心都是設(shè)立引導(dǎo)控制區(qū)域，在域內(nèi)重新封裝域內(nèi)路由的通道技術(shù)。

CFC模塊把流引導(dǎo)控制協(xié)議設(shè)計為接口模塊，不同協(xié)議作為一個互通接口模塊可選擇?？梢愿鶕?jù)用戶具體的網(wǎng)絡(luò)情況，選擇一個該網(wǎng)絡(luò)統(tǒng)一支持的協(xié)議作為流引導(dǎo)控制協(xié)議。由于SDN交換機需要硬件升級，需要網(wǎng)絡(luò)改造，因此，對現(xiàn)有網(wǎng)絡(luò)中建議采用MPLS\EVB等成熟型協(xié)議，對于新建網(wǎng)絡(luò)建議SDN協(xié)議。無論采用哪種協(xié)議，都要注意網(wǎng)絡(luò)內(nèi)物理交換機與虛擬交換機要支持同一種協(xié)議，否則標(biāo)記不通用，就會影響通道路由的落地。

2、安全資源池管理模塊 (VSP：虛擬安全池管理平臺)

流量引導(dǎo)到安全資源池，需要進(jìn)一步送到相應(yīng)的安全措施上去處理，具體送到那個地址的設(shè)備上處理，以及處理結(jié)果的正確輸出，就需要安全資源池管理模塊了。

安全資源池管理平臺是管理該類安全資源的服務(wù)平臺，如同該安全資源的負(fù)載均衡管理模塊，具體完成功能如下：

• 物理資源池管理，動態(tài)增加、刪除物理設(shè)備，了解每個物理設(shè)備的運行動態(tài)與處理能力；物理資源池化管理可以兼容多個廠家、多種型號的設(shè)備，不關(guān)心物理接口，只關(guān)心處理能力；

• 虛擬資源池管理：管理安全虛擬機，負(fù)責(zé)動態(tài)生成與關(guān)閉，動態(tài)調(diào)整虛擬機的資源分配；虛擬資源池化管理也可以兼容不同廠家的安全軟件，可以組合增加安全識別能力；

• 業(yè)務(wù)處理能力的動態(tài)調(diào)配。當(dāng)某業(yè)務(wù)的流量動態(tài)增加或減少到一定的閾值，可以動態(tài)調(diào)整其占用的物理資源或虛擬資源，保證其處理能力平滑升級。

安全資源池化管理，不僅兼容各個廠家的設(shè)備，而且可以同時采用物理設(shè)備與虛擬設(shè)備，讓用戶真正實現(xiàn)“自來水”一樣地安全使用安全資源，完成了繼計算資源、存儲資源、網(wǎng)絡(luò)資源虛擬化之后的新突破，安全資源的虛擬化，讓云計算服務(wù)為用戶提供的是更加完整的IT服務(wù)方案。

#p#

3、業(yè)務(wù)系統(tǒng)安全策略管理平臺 (BSM：業(yè)務(wù)安全管理平臺)

有了安全資源處理，有了云導(dǎo)流控制，我們就可以把用戶的安全策略落實到位了。業(yè)務(wù)安全策略管理平臺是與導(dǎo)流方案的控制核心，它主要提供如下幾方面的服務(wù)：

• 業(yè)務(wù)系統(tǒng)安全策略管理：安全策略的定義、修改，以及該業(yè)務(wù)系統(tǒng)安全狀態(tài)的監(jiān)控；
• 與虛擬化管理平臺互通，跟蹤虛擬機的動態(tài)信息，運行狀態(tài)；
• 與云導(dǎo)流模塊互通，下發(fā)安全策略到交換機上，在安全虛擬機內(nèi)；
• 與安全資源池模塊互通，了解安全資源動態(tài)與分配情況。

BSM是云朵內(nèi)安全運維管理的總平臺，除了與其他管理模塊互聯(lián)，落實業(yè)務(wù)安全策略之外，更為主要的就是運維人員的操作接口，從使用者角度，BSM應(yīng)該實現(xiàn)幾個功能模塊：

• 業(yè)務(wù)系統(tǒng)管理，安全域的劃分
• 安全資源管理，策略配置管理
• 安全域邊界流量監(jiān)控，發(fā)現(xiàn)邏輯安全域之間的異常流量
• 安全事件報警、跟蹤處理平臺
• 安全日志審計管理平臺
• 為某業(yè)務(wù)管理運維人員(租戶)提供安全運維管理通道

BSM為用戶建立統(tǒng)一的安全管理平臺SOC提供支持，BSM的安全事件監(jiān)控模塊就成為SOC在云朵內(nèi)的一個采集引擎。也作為安全服務(wù)平臺，為某業(yè)務(wù)系統(tǒng)的安全運維提供遠(yuǎn)程接入服務(wù)。

小結(jié)

本方案有如下優(yōu)點：

1、  全程保障：實現(xiàn)虛擬機遷移過程中，安全策略不中斷，不開安全保障的“天窗”。服務(wù)器虛擬化管理，保障VM遷移過程中，業(yè)務(wù)系統(tǒng)訪問不中斷是其重要特點。業(yè)務(wù)不中斷，安全保障就不能中斷，這是云計算服務(wù)安全解決方案設(shè)計的最基本要求。本方案在設(shè)計時，在每個物理服務(wù)器內(nèi)設(shè)立安全虛擬機，保障VM遷移到那個物理服務(wù)器上，都立即接手該VM的安全策略部署，無需安全虛擬機跟隨遷移；

2、跨平臺：VMWare平臺提高很好的服務(wù)，但價格昂貴，KVM\XEN等 平臺開源，但需要用戶自己的技術(shù)運維能力較強。隨著用戶在云上的業(yè)務(wù)量逐步增大，用戶大多會嘗試各種虛擬化管理平臺，降低云服務(wù)的建設(shè)與運維成本?？缙脚_ 就成了必然的需求。本方案沒有采用專用接口，在各種虛擬化管理平臺上移植非常容易，而上層的業(yè)務(wù)安全策略、安全資源池管理都可以不同改動就直接使用。從用 戶的角度看，跨平臺遷移時，業(yè)務(wù)安全策略保持不變，可以大大地降低遷移以及運維的成本；

3、兼 容性：采用安全資源池管理，不僅兼容各個廠家的硬件安全設(shè)備，而且可以兼容未來的安全軟件模式，延長了用戶現(xiàn)有的安全設(shè)備使用壽命，保護(hù)了用戶原有的投 資。由于安全資源管理池化，可以隨著用戶業(yè)務(wù)對安全資源的需求增加，而逐步升級安全資源的處理能力，避免一次性建設(shè)的大幅投資；

4、不擠占業(yè)務(wù)資源：安全資源單獨管理，不與業(yè)務(wù)VM在同一個服務(wù)器資源池，不影響業(yè)務(wù)系統(tǒng)自己的日常調(diào)度與遷移策略，管理簡單化，IT資源條塊分割化明顯，易管理，好好維護(hù)；安全與業(yè)務(wù)分離還有一個明確優(yōu)點，就是攻擊者攻擊安全設(shè)備的機會降低，若安全措施自身癱瘓，無疑是災(zāi)難性的；

5、網(wǎng)絡(luò)平滑升級：方案支持SDN、MPLS多種協(xié)議，流量引導(dǎo)方式多樣化，大大降低了對網(wǎng)絡(luò)平臺的要求，讓用戶網(wǎng)絡(luò)規(guī)劃避免受到安全管理的“綁架”，延長設(shè)備壽命周期，降低整體運營成本。