發(fā)布時間:所屬分類:計算機職稱論文瀏覽:1次
摘 要: 在目前云計算新科技應(yīng)用發(fā)展上有什么新的管理制度呢?同時現(xiàn)在計算新技術(shù)應(yīng)用模式有什么轉(zhuǎn)變呢?本文是一篇計算機論文。我們也知道現(xiàn)在云計算是一個龐大而復(fù)雜的系統(tǒng),這就使得我們可以在多個位置上尋找到合適的網(wǎng)絡(luò)流控制方法來解決安全隔離問題。我們需要先
在目前云計算新科技應(yīng)用發(fā)展上有什么新的管理制度呢?同時現(xiàn)在計算新技術(shù)應(yīng)用模式有什么轉(zhuǎn)變呢?本文是一篇計算機論文。我們也知道現(xiàn)在云計算是一個龐大而復(fù)雜的系統(tǒng),這就使得我們可以在多個位置上尋找到合適的網(wǎng)絡(luò)流控制方法來解決安全隔離問題。我們需要先了解云計算的技術(shù)架構(gòu),才能夠更好地選擇適合的安全隔離方案。在云計算環(huán)境中,它的軟件系統(tǒng)的核心顯然是虛擬化平臺,而硬件環(huán)境的支持主要是實現(xiàn)虛擬化的硬件服務(wù)器和支撐整個云計算環(huán)境的網(wǎng)絡(luò)。安全作為云計算環(huán)境中的另外一個重要的組成部件,想要順利的集成進云計算這個系統(tǒng)中,無法避免將面臨三種技術(shù)選擇:與虛擬化平臺整合、與網(wǎng)絡(luò)環(huán)境整合或完全解耦合的獨立存在。
摘要: 在以虛擬化為主要技術(shù)平臺的云計算環(huán)境中,能夠提供有效可行的安全隔離方案,將直接決定整個云計算安全解決方案的安全防護能力。論文基于一般性的安全防護需求給出了一種較為通用的安全域規(guī)劃方法,并在此基礎(chǔ)上從虛擬機網(wǎng)絡(luò)驅(qū)動層、虛擬交換機層、虛擬機監(jiān)控器網(wǎng)絡(luò)驅(qū)動層、二層物理網(wǎng)絡(luò)層、三層物理網(wǎng)絡(luò)層這五個不同的層面,針對可部署安全隔離防護設(shè)備的方案進行了深入的分析,比較了方案之間的優(yōu)缺點,為用戶選擇合適的云安全隔離方案提供了有價值的參考。
關(guān)鍵詞:云計算;虛擬化;VLAN;Openflow;安全隔離,計算機論文
1 引言
隨著現(xiàn)在云計算市場競爭的激烈程度加劇以及用戶對云計算環(huán)境安全要求的提高,越來越多的集成商和云服務(wù)提供商開始注重基于其云計算環(huán)境的集成方案提供安全應(yīng)用的接入接口,并以此作為其競標(biāo)云計算集成方案的亮點之一。在云計算環(huán)境中實現(xiàn)網(wǎng)絡(luò)安全所要解決的一個重要技術(shù)問題就是對網(wǎng)絡(luò)安全域的邏輯劃分以及基于劃分的網(wǎng)絡(luò)安全域進行不同域間的隔離。用戶所使用不同的云平臺、采用不同集成商的方案、選用不同廠家的網(wǎng)絡(luò)設(shè)備,都將會使得云環(huán)境中的安全域及虛擬機間的隔離方案有所不同。本文將針對在不同層面實現(xiàn)云計算安全隔離的方案進行分析,對比各類技術(shù)方案的優(yōu)劣以及其對不同云計算環(huán)境安全需求的適應(yīng)性,為云計算使用者對云安全解決方案的選擇提供參考。
計算機論文:《計算機周刊》,《計算機周刊》1982年創(chuàng)刊,本刊集權(quán)威性、理論性與專業(yè)性于一體,具有很高的學(xué)術(shù)價值,是作者科研、晉級等方面的權(quán)威依據(jù),歡迎廣大作者積極撰寫論文,踴躍投稿!征稿對象:全國高等學(xué)校、科研及推廣院所站、各級黨政機關(guān)、企事業(yè)單位的廣大專家學(xué)者、工程技術(shù)人員、碩士博士研究生、管理人員等。
2 控制網(wǎng)絡(luò)流的途徑
這里我們所說的隔離,并不是讓屬于不同安全域間的虛擬機完全無法相互訪問和通信,而是讓被劃分在不同的安全域邊界內(nèi)的虛擬機間的通信必須經(jīng)過相應(yīng)的網(wǎng)絡(luò)安全設(shè)備的檢測和過濾,在網(wǎng)絡(luò)安全設(shè)備確認(rèn)數(shù)據(jù)包安全后,跨安全域間的通信才能夠進行。這就對網(wǎng)絡(luò)安全提出了一個新的問題,即如何控制網(wǎng)絡(luò)流使之經(jīng)過實現(xiàn)部署在云計算環(huán)境中的虛擬或物理的安全設(shè)備。這個問題我們可以從三個更具體的方面來分析。
第一,用戶的安全需求是什么。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下,用戶通常關(guān)心的是出入一個物理網(wǎng)絡(luò)邊界的流量的網(wǎng)絡(luò)安全問題,這個邊界是物理存在的,比如連接接入交換機和匯聚交換機的一根網(wǎng)線。當(dāng)外網(wǎng)的機器需要訪問內(nèi)網(wǎng)機器時,是無法繞過這個邊界直接訪問,因此在傳統(tǒng)物理環(huán)境下,用戶的需求通常是對這個物理存在的邊界上流量的安全監(jiān)控。在云計算環(huán)境中,整個網(wǎng)絡(luò)和其上所有虛擬機都存在于一個大二層的網(wǎng)絡(luò)環(huán)境中,為了實現(xiàn)邏輯上的隔離,通常使用劃分VLAN(或VXLAN)的方式來隔離具有不同安全需求的虛擬機,這時就出現(xiàn)了對虛擬機安全隔離的三種不同的安全需求:其一是只監(jiān)控外網(wǎng)到云計算環(huán)境內(nèi)部的通信;其二是只監(jiān)控不同VLAN間的虛擬機間的通信(包含第一種需求);其三是需要監(jiān)控任意兩臺虛擬機間的通信(包含前兩種需求)。
第二,網(wǎng)絡(luò)安全域的邊界如何劃分。為了從網(wǎng)絡(luò)層面保證虛擬機間的有效隔離,網(wǎng)絡(luò)安全域的劃分需要消除與VLAN間的多對一關(guān)系,即不能存在多個不同的網(wǎng)絡(luò)安全域劃分在同一個VLAN下的情況,這樣在這些不同網(wǎng)絡(luò)安全域間的虛擬機間的通信將可以通過虛擬交換機直接交換機而不被轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)上,使得安全監(jiān)控產(chǎn)品的部署受到很大的局限性。
第三,安全設(shè)備的部署方式是什么。從安全設(shè)備的部署方式上,我們可以將其分為兩類:一類是透明部署在二層網(wǎng)絡(luò)環(huán)境中;另一類是以網(wǎng)關(guān)形式部署在三層網(wǎng)絡(luò)環(huán)境中。通常透明部署的方式更多的被應(yīng)用在實際的生產(chǎn)環(huán)境中,因為透明部署將不需要修改用戶已有的業(yè)務(wù)網(wǎng)絡(luò)的配置。而將安全設(shè)以網(wǎng)關(guān)方式部署在三層網(wǎng)絡(luò)環(huán)境中的好處是,可以利用路由規(guī)則使得需要被監(jiān)控的網(wǎng)絡(luò)流量經(jīng)過安全設(shè)備。
綜合考慮以上三點,我們可以得出一個較為合理且應(yīng)用較廣的云計算環(huán)境中的安全需求定義和規(guī)劃模型,即以VLAN劃分需要隔離的業(yè)務(wù)網(wǎng)絡(luò),安全域的劃分需要消除安全域與VLAN間的多對一關(guān)系,通過監(jiān)控VLAN或安全域邊界上的網(wǎng)絡(luò)流量實現(xiàn)安全監(jiān)控和隔離,安全設(shè)備通常工作在二層網(wǎng)絡(luò)模式下,以透明方式進行部署。那么回到最初的問題,即在這樣的安全需求和規(guī)劃模型下,如何控制網(wǎng)絡(luò)流,使之能夠在出入VLAN或安全域邊界時經(jīng)過部署在云環(huán)境中的安全設(shè)備。
3 網(wǎng)絡(luò)流控制方法
從云計算和虛擬化的整體技術(shù)架構(gòu)進行剖析,可以在五個不同的層面通過對網(wǎng)絡(luò)流的控制實現(xiàn)虛擬機間的安全隔離。如圖1所示,這五個不同的層面分別是虛擬機網(wǎng)絡(luò)驅(qū)動層、虛擬交換機層、虛擬機監(jiān)控器網(wǎng)絡(luò)驅(qū)動層、二層物理網(wǎng)絡(luò)層、三層物理網(wǎng)絡(luò)層。其中虛擬機網(wǎng)絡(luò)驅(qū)動層和虛擬機監(jiān)控器網(wǎng)絡(luò)驅(qū)動層需要系統(tǒng)提供API級的支持,其他三層則需要交換機和網(wǎng)絡(luò)協(xié)議級的支持實現(xiàn)。
4 安全隔離方案
我們逐層分析在不同層面實現(xiàn)安全隔離時的實現(xiàn)原理和部署方式,以及此類安全隔離方案的優(yōu)缺點。
方案一:在虛擬機網(wǎng)卡驅(qū)動層實現(xiàn)安全隔離的方案,如圖2所示,利用安裝在虛擬機內(nèi)的網(wǎng)絡(luò)驅(qū)動層代理程序截獲進出該虛擬機的網(wǎng)絡(luò)流,實現(xiàn)將需要被監(jiān)控的流量牽引至部署在云環(huán)境內(nèi)的虛擬或物理安全設(shè)備上,由安全設(shè)備完成檢測和過濾后,送回代理程序,再送至虛擬機的業(yè)務(wù)程序中。該方案的優(yōu)勢是能夠?qū)崿F(xiàn)任意虛擬機間的通信隔離和監(jiān)控,并且完全與虛擬化環(huán)境解耦合,不依賴于任何虛擬化平臺,可跨平臺部署,比較適合安全公司在用戶已經(jīng)完成云計算環(huán)境的建設(shè)后,追加相應(yīng)的安全功能。但該方案也存在明顯的缺陷,即需要在每臺虛擬機上安裝代理,管理復(fù)雜,且有可能影響業(yè)務(wù)虛擬機的穩(wěn)定性,并且對整個虛擬化環(huán)境的計算和網(wǎng)絡(luò)資源消耗也較高。方案二:在虛擬交換機層實現(xiàn)安全隔離的方案,如圖3所示,虛擬交換機通常是工作在二層模式下,無法進行對其內(nèi)部交換的流量的任意控制和牽引,但若虛擬交換機開啟了Openflow協(xié)議的支持,則可以實現(xiàn)基于Openflow流表對其內(nèi)部流量的控制,通常需要將被監(jiān)控的流量都牽引至部署在同一臺物理機上的安全虛擬機中進行檢測和過濾。
該方案的優(yōu)勢仍然是支持任意兩臺虛擬機間的安全隔離,相對于方案一,在虛擬交換機層面實現(xiàn)的網(wǎng)絡(luò)流控制功能具有更好的性能和健壯性,且VMware平臺的5.5以上基于NSX的虛擬網(wǎng)絡(luò)實現(xiàn)和Open vSwitch都直接支持Openflow模式。該方案需要安全管理平臺或安全設(shè)備的管理中心與虛擬交換機的控制中心相耦合,但安全設(shè)備自身與虛擬化平臺并沒有耦合性,因此能夠支持安全設(shè)備直接虛擬化后的部署。該方案所存在的問題是需要在虛擬交換機上打開Openflow協(xié)議支持,這將使得網(wǎng)絡(luò)管理和配置和傳統(tǒng)模式大相徑庭,目前還不被所有用戶接受,并且在安全虛擬機中執(zhí)行安全隔離任務(wù)也會消耗較高的虛擬化系統(tǒng)資源。該方案屬于跟虛擬網(wǎng)絡(luò)層耦合的方案,因為在虛擬化環(huán)境中,虛擬交換機通常為可替換的組件,但網(wǎng)絡(luò)流量的牽引需要通過調(diào)用虛擬交換機的配置接口修改Openflow規(guī)則來實現(xiàn),因此虛擬交換機能否提供此類接口將影響方案實施的可行性。
方案三:在虛擬機監(jiān)控器網(wǎng)絡(luò)驅(qū)動層實現(xiàn)安全隔離的方案,圖4給出了VMware平臺上的VMSafe Net API的實現(xiàn)原理圖,進入虛擬機監(jiān)控器的網(wǎng)絡(luò)流在進入虛擬交換機前,將被虛擬機監(jiān)控器所提供的VMSafe Net API導(dǎo)入到安全虛擬機中,安全虛擬機使用特殊的驅(qū)動來獲取由VMM快通道驅(qū)動模塊提供的數(shù)據(jù)包,而安全功能的實現(xiàn)則需要基于安全接口封裝層來實現(xiàn),該層封裝了通過特殊驅(qū)動層獲取數(shù)據(jù)包的操作,相當(dāng)于對安全業(yè)務(wù)實現(xiàn)層提供了相應(yīng)的庫函數(shù)。
由于底層驅(qū)動級別的特殊API的支持,因此該方案最大的優(yōu)勢是可提供零拷貝的數(shù)據(jù)包截獲,從而獲得更高的監(jiān)控性能,并且能夠和虛擬化平臺較好的整合而不會影響虛擬化平臺的穩(wěn)定性。但同時由于對虛擬機監(jiān)控器底層API的依賴,使得該方案與虛擬化平臺緊密耦合,因此通常不具有跨平臺性,并且通常需要全新的開發(fā)相應(yīng)的支持虛擬機監(jiān)控器API的安全功能,而無法直接使用從硬件安全設(shè)備移植代碼。在安全業(yè)務(wù)實現(xiàn)層面,該方案必須把所有安全功能都集中在一臺虛擬機內(nèi)實現(xiàn),使得該虛擬機比較容易成為安全產(chǎn)品性能的瓶頸。
方案四:在二層接入物理交換機層實現(xiàn)安全隔離方案,在基于MAC地址學(xué)習(xí)的物理交換機上是無法實現(xiàn)安全隔離功能的,因此必須讓二層接入物理交換機層支持Openflow協(xié)議,通過關(guān)閉MAC地址學(xué)習(xí)功能,開啟Openflow來實現(xiàn)在物理接入層上對需要隔離的流量的牽引。
這里存在兩種不同的實現(xiàn)思路,其一是使用全SDN網(wǎng)絡(luò),即虛擬交換機和二層接入物理交換機都要開啟Openflow協(xié)議支持,這樣完全控制任意兩臺虛擬機間的通信路徑,但是這就使得安全隔離方案在網(wǎng)絡(luò)流的轉(zhuǎn)發(fā)路徑控制時要同時跟虛擬化平臺中的虛擬交換機和物理交換機的管理中心進行交互和整合。由于在實際項目中,不能保證虛擬化平臺的提供商和網(wǎng)絡(luò)提供商是同一廠商,且不能保證他們在網(wǎng)絡(luò)建設(shè)方案上就安全隔離方案的選擇和使用達成一致,甚至?xí)霈F(xiàn)需要虛擬化平臺提供商、網(wǎng)絡(luò)提供商和安全提供商三方共同構(gòu)建安全解決方案的情況,因此基于虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)全SDN實現(xiàn)安全隔離的方式較難實施。
第二種思路是在虛擬網(wǎng)絡(luò)層通過VLAN對虛擬機進行隔離,在物理接入交換機上開啟Openflow協(xié)議。相對于全SDN網(wǎng)絡(luò)的模式,只在物理網(wǎng)絡(luò)開啟Openflow在管理上相對簡單和高效,但該方案無法對在同一臺物理機上屬于同一VLAN內(nèi)的不同虛擬機進行有效的隔離,并且在二層環(huán)境下,缺乏有效的流量匯聚能力,若完全通過接入交換機把屬于同一安全域邊界的流量向一個物理端口進行匯聚,會因為虛擬機的物理位置的分布而造成接入交換機網(wǎng)絡(luò)帶寬的極大占用。
方案五:在三層匯聚物理交換機層實現(xiàn)安全隔離方案,由于虛擬交換機和接入交換機都工作在二層模式下,因此所有跨VLAN的網(wǎng)絡(luò)流量都將上行至三層匯聚物理交換機進行交換,即三層匯聚交換機是整個網(wǎng)絡(luò)中所有跨VLAN流量的匯聚點,而這種特性與虛擬化平臺無關(guān),因此當(dāng)用戶的安全需求滿足前文所給出的安全需求定義和規(guī)劃模型時,都可以應(yīng)用該方案實現(xiàn)對安全域邊界流量的網(wǎng)絡(luò)安全隔離。該方案的最大優(yōu)勢是充分解耦合了安全隔離方案的實施與虛擬化環(huán)境的關(guān)系,僅需要在三層匯聚層與網(wǎng)絡(luò)環(huán)境相整合,能夠充分利用硬件安全設(shè)備的性能和功能優(yōu)勢,完全不占用虛擬化環(huán)境的資源,穩(wěn)定性和性能都超過前面的各種方案。在三層網(wǎng)絡(luò)環(huán)境中,靜態(tài)路由或Openflow都是可以控制網(wǎng)絡(luò)流量通過串行安全設(shè)備的方式,為了滿足之前給出的安全設(shè)備工作在二層透明模式的需求,利用Openflow實現(xiàn)流量牽引是更好的解決方案。
圖5給出了在啟明星辰泰合云安全管理平臺管理下的云安全隔離方案,在方案中,該方案要求在物理網(wǎng)絡(luò)環(huán)境中開啟Openflow協(xié)議支持,云安全管理平臺基于用戶在其上所定義的安全域劃分規(guī)則,通過網(wǎng)絡(luò)環(huán)境中SDN控制器提供的API修改服務(wù)鏈(Service Chain),使得跨安全域邊界的網(wǎng)絡(luò)流被牽引至安全資源池,如圖中所示,VLAN100和VLAN200被劃分在了安全域1,VLAN300在安全域2。那么當(dāng)VLAN100和VLAN200內(nèi)的任意虛擬機間進行通信時,我們認(rèn)為屬于同一安全域內(nèi)的通信,可不隔離,而當(dāng)VLAN100或VLAN200內(nèi)的虛擬機和VLAN300內(nèi)的虛擬機通信時,這部分流量將被通過安全管理平臺下發(fā)給SDN控制器的服務(wù)鏈修改策略進行修改,使得這部分流量被牽引到串行安全資源池中,并在安全資源池中基于流量的業(yè)務(wù)特性進行進一步的細(xì)分,使得相應(yīng)的業(yè)務(wù)流量通過對應(yīng)的安全設(shè)備(如http流量通過WAF設(shè)備)。該方案存在兩個方面的局限,其一是需要物理網(wǎng)絡(luò)環(huán)境支持Openflow,其二是無法隔離粒度在虛擬機級別的通信。5 結(jié)束語
綜上所述,在云計算環(huán)境中,網(wǎng)絡(luò)安全隔離方案的實施過程中,需要考慮到包括虛擬化、網(wǎng)絡(luò)和安全等不同供應(yīng)商合作問題,虛擬化平臺API支持問題,用戶對網(wǎng)絡(luò)配置方式的接受問題(如是否使用SDN模式),網(wǎng)絡(luò)平臺網(wǎng)絡(luò)流管控接口支持問題,安全隔離控制粒度問題(如虛擬機級別還是網(wǎng)絡(luò)安全域邊界級別的控制),安全隔離方案性能、功能和穩(wěn)定性問題等。
特別是由于云環(huán)境建設(shè)和安全建設(shè)的不同期,往往造成安全廠商后介入,而只能采用與云平臺和網(wǎng)絡(luò)環(huán)境都完全解耦的解決方案,而對于云平臺和網(wǎng)絡(luò)環(huán)境的建設(shè)方,往往或不承擔(dān)安全建設(shè)的任務(wù)或希望整合打包更多自有安全產(chǎn)品而并未開放足夠的可用安全管理調(diào)用的管理控制接口,這些都使得云安全特別是云安全隔離解決方案的實施困難重重。我們也期待更多的云服務(wù)商和網(wǎng)絡(luò)服務(wù)商更加重視對云計算環(huán)境安全的支持,為安全提供更多標(biāo)準(zhǔn)的管控接口,使得安全解決方案能夠很好的被整合進整個云環(huán)境中。
