基于基礎架構層的云安全防護技術探究

徐儉

【摘要】主要從云安全防護技術需求、云安全架構與防護模型、嵌入式安全實現方案、基于服務鏈的云安全組網方案、云安全資源池化技術、多層次云安全體系等方面，對基于基礎架構層的云安全防護技術諸多要點問題進行探討研究。

【關鍵詞】基礎架構層 云安全防護 嵌入式安全 服務鏈 云安全資源池化 多層次云安全體系

IT領域云計算技術的發展使得計算機網絡的服務模式從面向連接轉向了面向應用，這給網絡安全帶來了巨大挑戰，傳統的安全部署模式在管理性、伸縮性、升級敏捷性等方面已經無法跟上業務發展的步伐，云平臺數據中心必須建設靈活可靠、自動化快速部署和資源彈性擴展的基于SDN（軟件定義網絡）、服務鏈和軟硬件安全設備相結合的安全防護技術體系，下文探討研究的主要是基于基礎架構層的云安全防護技術。

一.云安全防護技術需求

1.云安全體系開放

基礎架構層的云安全體系應支持與O p e n S t a c k、CloudOS等多方云平臺和第三方私有云平臺對接，應支持CAS、KVM、VMWareESXi、XEN等虛擬化平臺，可通過服務鏈代理方式支持第三方安全設備。

2.云平臺管理流量與云租戶業務流量分離

基礎架構層的云安全體系應保證云平臺管理流量與云租戶業務流量分離，可根據云租戶業務需求自定義安全訪問路徑，可在虛擬網絡邊界部署訪問控制設備、設置訪問控制規則，可依據安全策略控制虛機間訪問。

3.支持豐富的云安全服務

基礎架構層的云安全體系的VPC（虛擬私有云）云安全服務應可實現基于租戶粒度的隔離，確保租戶業務的靈活性和安全性。應可基于防火墻實現基礎網絡安全，可基于vSwitch（虛擬交換機）軟件的嵌入式安全方案實現主機安全，可基于IPS/AV實現應用安全，可支持4-7層負載均衡，可通過IPsec技術實現遠程安全接入。

4.提供彈性擴展的安全資源池

基礎架構層的云安全體系應可基于SDN和服務鏈實現與軟硬件安全設備相結合，可提供FW、LB和IPS/AV等各種安全服務，并通過云平臺統一調度。云租戶可依據自身需求申請安全服務，自定義業務應用系統安全架構及安全訪問策略，為虛機遷移過程提供防護。支持采用：Overlay（疊加在物理網絡上的虛擬網絡，技術要點是對物理網絡進行隧道疊加，再邏輯劃分成虛擬網絡分片）技術實現安全設備的位置解耦；服務鏈技術實現按需確定業務流節點和順序；SDN技術實現安全資源池化和在線擴容。可提供彈性擴展的基于NGFW的硬件安全資源池和基于NFV（網絡功能虛擬化）的軟件安全資源池。

5.安全業務自動化部署

基礎架構層的云安全體系針對北向流量應提供開放接口與云平臺對接實現安全業務配置的自動下發和部署，可采用VCFC（虛擬應用融合架構控制器）根據應用需求靈活分配安全資源，可依托服務鏈技術靈活調度業務流量。二.云安全架構與防護模型

1.云平臺數據中心安全訪問控制路徑

云平臺數據中心的安全訪問控制主要存在外部網絡與數據中心網絡間（南北向）、數據中心內部不同子網間（東西向）、數據中心同一子網內終端間（東西向）3條轉發路徑，基礎架構層的云安全體系就是要實現這3條轉發路徑的安全防護。

2.云安全總體架構

根據云平臺數據中心的安全訪問控制需求，基礎架構層的云安全總體架構從上到下分為4個層次，可融合云、網絡虛擬化、信息安全等技術，將基于連接的、孤立離散的安全策略，轉變為基于SDN、面向對象可定義和自適應的安全體系，把安全變成一種服務。

通過在云平臺CloudOS上安全服務入口統一提供安全云服務，SDN避免了傳統安全部署時拓撲依賴，可實現全局統一的安全策略，SDN控制器由VCFC擔當；嵌入式安全是嵌入在vSwitch軟件上的安全功能； NFV安全設備是指云安全環境下由X86等通用硬件服務器承載的VSR（虛擬路由器）、vFW（虛擬防火墻）、vLB（虛擬負載均衡）等NFV虛擬化軟件，NFV通過將網絡設備的硬件和軟件解耦，并將傳統網絡設備業務功能分解成一個個VNF（虛擬網絡轉發單元），通過對VNF的統一編排和管理，根據應用需求定義為不同的服務鏈，將不同業務流經過不同VNF進行處理，以實現各種網絡業務邏輯，NFV可提供安全設備的彈性擴展、敏捷部署及快速交付能力，為虛機提供防火墻等功能；硬件安全則提供高性能硬件安全服務，硬件安全設備有物理安全設備、物理防火墻、物理負載均衡設備；通過服務鏈將這些安全設備串接起來并主動調控安全策略，由VCFC分配安全資源；通過代理方式可接入第三方安全設備。

3.基于云租戶的安全隔離

實現云平臺數據中心租戶（服務對象）之間隔離是基本的安全需求，云平臺可通過VPC方案向租戶提供從邏輯上完全隔離的VDC（虛擬數據中心）環境，租戶間完全無法相互訪問，通過VPN（虛擬專用網絡）在租戶自身網絡到VDC網絡間建立數據傳輸安全通道。租戶以VPC為粒度租用資源，一個或多個VPC組成一個租戶的VDC，VDC是管理該租戶可用CPU、內存、存儲和網絡等資源的邏輯抽象。一個VDC可包含多個VPC，一個VPC對應一個VRF（虛擬轉發域），不同VPC之間默認隔離。由網關或服務節點實現不同租戶流量隔離和IP地址重疊。

（1）VPC間隔離：通過路由器的邏輯劃分，實現不同VPC間流量在網關和服務節點內隔離；（2）VPC內二層隔離：通過Underlay（承載層物理網絡）報文中的VXLAN（可擴展虛擬局域網絡）標識，實現不同Subnet間二層流量隔離；（3）利用vSwitch軟件的狀態防火墻提供同一租戶內VM間4層安全防護；（4）利用vFW實現同一租戶不同Subnet間4-7層安全防護；（5）利用vFW實現租戶內網與外網4-7層安全防護。

4.云安全防護模型

云平臺數據中心安全訪問控制需求涉及前述3條轉發路徑，針對有無服務鏈情況，這3條轉發路徑的安全防護轉發邏輯存在差別：（1）無服務鏈情況：路徑1和路徑2流量都經過VXLAN IP網關，通過網關外掛的安全設備（NFV/物理安全設備）進行4-7層安全防護；路徑3流量通過vSwtich上防火墻進行4層安全防護。（2）有服務鏈情況：路徑1同無服務鏈情況時相同，路徑2和路徑3可通過服務鏈導流到安全服務節點NFV設備上進行4-7層安全防護。

東西向安全防護模型對于有無服務鏈情況可分為嵌入式安全和服務鏈安全兩種。

三.嵌入式安全實現方案

云平臺數據中心將東西向安全防護功能集成嵌入在vSwitch軟件上，采用嵌入式安全防護模型為虛機提供安全防護，它是通過分布在各個vSwitch軟件上的安全組功能實現可跟隨虛機遷移的分布式安全服務，安全組分為安全組ACL（訪問控制列表）和分布式狀態防火墻。

1.安全組ACL

安全組ACL是在虛擬交換機上針對不同類型虛機下發ACL，以控制虛機的訪問。用戶可根據需求創建多個安全組，并將虛機加入指定安全組。安全組ACL實現以虛機為粒度的安全防護，主要用于實現東西向防護。同一安全組內虛機可以互訪，不同安全組內虛機需按設定策略訪問。

2.分布式狀態防火墻

分布式狀態防火墻是安全組的另一種實現方式，依據防火墻策略對端口報文作相應處理。vSwitch軟件上的狀態防火墻支持TCP、UDP、IP和ICMP等協議，可基于源IP地址、目的IP地址、協議類型（如TCP）、源端口和目的端口的五元組下發規則，決定報文是允許還是丟棄。配置防火墻策略后，原有轉發流程會以黑盒形式嵌入到防火墻Netfilter的報文處理過程中，依據防火墻策略實現防火墻功能。在虛機遷移或刪除時，VCFC控制下發相關防火墻策略隨即遷移，實現云平臺數據中心分布式防火墻，并與安全組ACL可共存、可同時配置同時生效。與安全組ACL不同，狀態防火墻有方向，如：VM1和VM2間能互訪，或VM1能訪問VM2、VM2不能訪問VM1等，狀態防火墻還可檢測狀態會話（如TCP連接），在TCP連接建立之前會拒絕訪問。

四.基于服務鏈的云安全組網方案

1.服務鏈的基本概念

云平臺數據中心的Service Chain（服務鏈）是指數據報文在網絡中傳遞時，為了給用戶提供安全、快速、穩定的網絡服務，網絡流量需要按照業務邏輯要求的既定順序經過各類服務節點，從而根據云租戶的業務需求來定義安全訪問路徑。服務鏈是支撐虛擬化、業務網絡可編程的關鍵技術，通過服務鏈，云平臺數據中心各服務節點可實現業務應用與網絡位置解耦，實現網絡業務靈活快速部署。通過服務鏈引流避免路徑依賴，還可集成高轉發性能的物理安全設備。通過服務鏈可實現多種安全業務組合自定義，支持采用FW/ LB/IPS/AV等可彈性擴展和物理拓撲無關的安全資源池提供集中式安全服務，滿足租戶對安全資源的彈性需求。基于SDN可為不同VM間流量單獨定義安全服務鏈。

VCFC通過統一調度來集中控制服務鏈的構建與部署，將NFV或硬件形態的服務資源抽象為統一的服務資源池，并可引入第三方安全設備，實現服務鏈的自定義和統一編排，可在OpenStack、CloudOS等云平臺上配置、并由VCFC配合實現安全服務。

2.VSR做網關的服務鏈

Overlay網關（VXLAN IP網關）由VSR擔任，采用vSwitch軟件作L2VTEP（二層VXLAN隧道端點），使虛機接入到VXLAN網絡中，vSwitch軟件可運行在ESXi、KVM、CAS等虛擬化平臺上。安全服務節點包括VSR、vFW、vLB等設備，通過VCFC集中控制和編排，實現東西向和南北向服務鏈服務節點功能。服務鏈支持vPort、Network、Subnet、IP地址進行服務鏈分流配置，服務節點的經過順序是先vFW再vLB。南北向由VSR集成vFW，vLB獨立部署。東西向跨網段vFW集成在VSR上，vLB獨立部署。

3.物理交換機做網關的服務鏈

采用物理交換機做VXLAN IP網關，提供Overlay網關功能。采用vSwitch軟件、VXLAN二層網關作L2VTEP，使虛機或物理服務器接入到VXLAN網絡中，vSwitch軟件可運行在ESXi、KVM、CAS等虛擬化平臺上。安全服務節點包括VSR、vFW、vLB、物理安全設備/物理防火墻、物理負載均衡設備等。南北向由物理交換機做VXLAN終結，由CloudOS或OpenStack通過服務鏈實現引流到物理安全設備、物理負載均衡設備。東西向跨網段流量由VCFC通過服務鏈引流，可共享南北向物理安全設備/物理防火墻、物理負載均衡設備安全防護。

4.服務鏈對接第三方安全設備

（1）東西向服務鏈代理：東西向流量安全防護通過服務鏈代理方式實現，VCFC通過VXLAN二層網關做代理，可引入第三方安全設備提供服務鏈式安全防護，實現東西向防護。

（2）南北向服務鏈引流：南北向流量安全防護通過服務鏈引流方式實現，南北向由物理交換機做VXLAN終結，再由VCFC通過服務鏈引流到第三方安全設備實現安全防護。

五.云安全資源池化技術

1.網絡服務資源虛擬化和池化

云平臺數據中心既可使用物理安全設備、物理防火墻、物理負載均衡設備，也可采用安裝在通用服務器上的vFW/ vLB等NFV虛擬化網元集合來承載通聯、安全、負載均衡、VPN、監控等網絡服務，物理設備和NFV網元設備共同構成Overlay網絡服務資源。網絡承載層通過堆疊、主備、負載分擔等方式支撐上層虛擬化資源池，上層虛擬化資源池無需關注底層實現技術，只需按照虛擬網絡服務節點抽象模型向網絡資源池按需動態申請和釋放網絡資源，這些虛擬網絡服務資源被VCFC按需地映射到物理網絡，自動分配物理網絡資源。VCFC通過網絡服務虛擬化技術，將異構的承載層物理網絡服務設備資源抽象成統一的虛擬網絡服務節點，并在VCFC控制下變成按需分配的網絡資源池，包括FWaaS虛擬防火墻資源池、LBaaS虛擬負載均衡器資源池、VPNaaS虛擬VPN資源池、IPSaaS虛擬IPS資源池，這就簡化了虛擬網絡的組建，虛擬租戶可按需向資源池申請資源。虛擬網絡服務節點被定義后，VCFC會將這些虛擬資源和承載層網元自動映射，承載層網元被切片和隔離成多個獨立的服務空間，承載虛擬網絡服務節點的實際業務。

VCFC支持多安全服務資源池，采用VRF進行資源池分配。不同租戶的業務可綁定到不同資源池中。一個安全資源池有多個出口，可連接多個ISP互聯網出口，且不同出口可采用不同安全策略。

2.安全資源池大規模租戶技術

（1）硬件安全資源池：物理安全設備可充當一個集成式安全資源池，其每塊業務板可虛擬化出幾十個邏輯安全設備，支持在邏輯安全設備上創建VRF，每個VRF可對應一個VPC，以提升租戶數量和橫向擴展能力，每塊業務板可支持1000個以上VPC數目，池中單個邏輯設備可終結Overlay隧道，與服務鏈方案實現對接。

（2）NFV軟件安全資源池：NFV軟件虛擬化安全資源池可與VCFC實現無縫集成，交付端到端解決方案，用X86服務器實現NFV虛擬安全資源池，可快速部署和彈性管理，且橫向擴展性好，每臺服務器可虛擬出幾十至上百個NFV安全設備，NFV安全設備可隨服務器的增加線性增長，可對接第三方控制平面NFVOrchestrator等系統。

3.云安全微分段服務

傳統安全模式只支持集中式防火墻等功能，安全防護能力無法區分東西和南北流量。VCFC針對同一租戶部署多套安全資源池，東西向安全資源池和南北向安全資源池分開部署，不同Subnet之間的安全資源池也可分開部署，將流量進行分段防護（即SDN云安全微分段服務），實現對租戶東西向和南北向流量的精細化安全處理。

4.安全資源池高可靠性技術

安全資源池可基于IRF（智能彈性架構）鏈路捆綁技術堆疊兩臺NFV設備或物理安全設備，在邏輯上形成單一的安全管理節點，實現IRF組內備份設備間全局統一同步配置、業務流量轉發的統一調度、減少二層環路、簡化路由配置。通過HA心跳線實現設備間防火墻會話狀態同步，結合IRF技術實現業務流量自動分發和鏈路故障后自動快速切換。

六.多層次云安全體系

1.異構設備組成統一安全資源池

vSwitch軟件集成了安全組ACL和狀態防火墻，并通過VCFC下發安全組規則和防火墻規則實現嵌入式安全防護。VCFC集成的VNFManager負責NFV資源池管理、NGFWManager實現硬件安全資源池管理，可管理框式、盒式、插卡硬件安全設備。VCFC可通過服務鏈引流把第三方安全設備集成進安全資源池，形成涵蓋嵌入式安全、NFV虛擬安全設備、硬件安全設備的異構安全資源池。

2.多層次安全防護手段

基礎架構層的云平臺安全方案在服務鏈編排下通過使用以下組合可具備多層次的安全防護手段：（1）嵌入式安全：在vSwitch軟件上實現安全組ACL和狀態防火墻，開啟4層安全防護。（2）東西向安全防護：東西向可采用物理安全設備或NFV安全方案，通過服務鏈將任意流量引入到vFW和vLB進行4-7層安全防護。（3）南北向安全防護：南北向使用物理安全設備，由VCFC通過服務鏈引流到物理安全設備和物理負載均衡設備上進行4-7層安全防護。

3.通過云服務部署安全功能

在云平臺上可通過云服務部署與配置云安全服務，包括虛擬數據中心、負載均衡、公網IP、防火墻、安全組、WAF（Web應用防火墻）、IPS/AV、堡壘機等，可通過CloudOS的系統參數啟用或禁用云安全服務，云安全服務可由V C F C下發到網絡中各個服務節點，OpenStack已定義的服務F W、LB、IPsecVPN、安全組等，可直接通過OpenStack的插件功能下發，OpenStack未定義的安全服務則由C l o u d O S調用VCFC的RestAPI下

發。B&P