如何讓云中各種類型的用戶盡可能安全地使用網(wǎng)絡(luò),如何讓用戶無縫地接入和使用云計算服務(wù),如何通過虛擬化網(wǎng)絡(luò)技術(shù)提高數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建靈活性��、擴展性的同時�,解決好網(wǎng)絡(luò)安全問題�,已經(jīng)成為采用虛擬化技術(shù)構(gòu)建云計算數(shù)據(jù)中心所必須要解決的問題。當前主流廠商有基于VLAN安全區(qū)化���、防火墻虛擬化等網(wǎng)絡(luò)安全技術(shù)對云計算數(shù)據(jù)中心所采用的虛擬化網(wǎng)絡(luò)進行保護�����,但仍然未能解決好用戶訪問的可信以及數(shù)據(jù)交互的機密性����、可控性等問題。
文中在研究基于虛擬化網(wǎng)絡(luò)的云計算數(shù)據(jù)中心典型架構(gòu)與訪問應(yīng)用模式的基礎(chǔ)上�����,從用戶安全接入���、通信隔離與機密性保護等方面分析了數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)安全需求��,提出了虛擬化網(wǎng)絡(luò)安全技術(shù)框架�����,重點針對基于密碼技術(shù)強化虛擬化網(wǎng)絡(luò)安全���,保障虛擬機之間的通信保護�����、信息隔離與安全交換等安全機制進行了分析與設(shè)計�,提出了一種可供參考的解決方案。
1云計算虛擬化網(wǎng)絡(luò)技術(shù)及安全需求分析
1.1云計算虛擬化網(wǎng)絡(luò)典型結(jié)構(gòu)與訪問應(yīng)用模式
云計算的基礎(chǔ)架構(gòu)主要包含計算服務(wù)器�、網(wǎng)絡(luò)和存儲����。對于網(wǎng)絡(luò)�����,從云計算整個生態(tài)環(huán)境上來說�,可以分為3個層面���,數(shù)據(jù)中心網(wǎng)絡(luò)�、跨數(shù)據(jù)中心網(wǎng)絡(luò)以及泛在的云接入網(wǎng)絡(luò)��。
其中數(shù)據(jù)中心網(wǎng)絡(luò)包括連接計算主機、存儲和4到7層服務(wù)器如防火墻��、負載均衡、應(yīng)用服務(wù)器�、IDS/IPS等的數(shù)據(jù)中心局域網(wǎng),以及邊緣虛擬網(wǎng)絡(luò)����,即主機虛擬化之后,虛擬機之間的多虛擬網(wǎng)絡(luò)交換網(wǎng)絡(luò)����,包括分布式虛擬交換機、虛擬橋接和I/O虛擬化等;跨數(shù)據(jù)中心網(wǎng)絡(luò)主要解決數(shù)據(jù)中心間的網(wǎng)絡(luò)連接,實現(xiàn)數(shù)據(jù)中心間的數(shù)據(jù)備份�����、數(shù)據(jù)遷移�、多數(shù)據(jù)中心間的資源優(yōu)化以及多數(shù)據(jù)中心混合業(yè)務(wù)提供等;泛在的云接入網(wǎng)絡(luò)用于數(shù)據(jù)中心與終端用戶互聯(lián)�,為公眾用戶或企業(yè)用戶提供云服務(wù)�。
在此����,主要探討使用虛擬化網(wǎng)絡(luò)技術(shù)實現(xiàn)的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)架構(gòu)及其訪問應(yīng)用方式�。因為��,數(shù)據(jù)中心大量的虛擬機通過虛擬化網(wǎng)絡(luò)訪問計算資源的安全可控問題����,是解決云計算虛擬化網(wǎng)絡(luò)安全問題的關(guān)鍵��。數(shù)據(jù)中心網(wǎng)絡(luò)包括核心層交換機�����、接入層交換機和虛擬交換機����。在使用云計算后�,數(shù)據(jù)中心的網(wǎng)絡(luò)需要解決數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)同步傳送的大流量�����、備份大流量�、虛擬機遷移大流量問題�����,因此要求核心層網(wǎng)絡(luò)具備超大規(guī)模的數(shù)據(jù)交換能力以及足夠的萬兆接入能力��。接入層交換機要求能夠支持各種靈活的部署方式和新的以太網(wǎng)技術(shù)�,包括無損以太網(wǎng)技術(shù)等����。
虛擬交換機是在物理服務(wù)器內(nèi)部通過虛擬機管理器Hypervisor層虛擬出相應(yīng)的交換機和網(wǎng)卡功能并實施管理,提供了服務(wù)器內(nèi)多個虛擬主機虛擬網(wǎng)卡vNIC的互聯(lián)以及為不同的虛擬網(wǎng)卡流量設(shè)定不同的VLAN標簽功能��,使得服務(wù)器內(nèi)部如同存在一臺交換機�,可以方便地將不同的網(wǎng)卡連接到不同的端口�。Hypervisor為每個VM虛擬主機創(chuàng)建一個或者多個vNICs��,聯(lián)接Hypervisor中的虛擬交換機�,從而支持VM間的通信�����。Hypervisor還允許虛擬交換機和物理網(wǎng)絡(luò)接口的通信��,以及和外部網(wǎng)絡(luò)的高效通信���,典型的虛擬交換機如開源的OpenvSwitch����。
以目前應(yīng)用較成熟的Ctrix基于Xen的虛擬化系統(tǒng)為研究對象與其他VmwareESX�����、KVM、Hyper-V等有所不同�,可參考思路,分析用戶聯(lián)接虛擬化用戶終端,并進一步訪問數(shù)據(jù)中心計算資源的典型框架如圖2所示��。
首先遠程用戶基于瘦客戶端��,基于ICA等遠程桌面協(xié)議Vmware用PCoIP訪問數(shù)據(jù)中心服務(wù)器上的用戶虛擬終端�����。ICA協(xié)議是基于Xen的Ctrix虛擬化系統(tǒng)的專有協(xié)議,將顯示器����、鍵盤�、鼠標操作信息與服務(wù)器端管理域交互��,可以在Hypervisor上創(chuàng)建�����、中止相應(yīng)的虛擬化終端系統(tǒng)�,獲得與本地化計算機終端操作相同的使用體驗�。同時�����,管理域OS上還運行了所有外設(shè)的實際驅(qū)動程序���,通過后端驅(qū)動模塊與系列客戶終端虛擬機OS上運行的前端驅(qū)動模塊進行交互���,實現(xiàn)對各客戶終端虛擬機設(shè)備驅(qū)動的支持����。
其次�,用戶虛擬終端機之間通過虛擬網(wǎng)卡、虛擬化交換機包括跨物理服務(wù)器的分布式虛擬化交換機�����,實現(xiàn)虛擬終端之間以及用戶虛擬終端與虛擬應(yīng)用服務(wù)器之間的高速網(wǎng)絡(luò)數(shù)據(jù)交互,實現(xiàn)基于虛擬化的數(shù)據(jù)集中應(yīng)用��,并訪問各種應(yīng)用服務(wù)器�����,或進行用戶虛擬機的遷移等���。其中分布式虛擬交換機采用使底層服務(wù)器架構(gòu)更透明的方法�,支持不同物理服務(wù)器上虛擬交換機的跨服務(wù)器橋接�����,使一個服務(wù)器中的虛擬交換機能夠透明地和其他服務(wù)器中的虛擬交換機連接,使服務(wù)器間以及它們的虛擬接口的VM遷移更簡單��。
1.2虛擬化網(wǎng)絡(luò)安全需求
虛擬化終端應(yīng)用模式實現(xiàn)了數(shù)據(jù)集中應(yīng)用��,并提供了用戶間的數(shù)據(jù)隔離����,同時又以虛擬交換機實現(xiàn)了用戶間的數(shù)據(jù)交互�����。虛擬交換機與實體交換機一樣��,還提供VLan、ACL����、虛擬機端口的流量策略管理�、QoS等機制�����。根據(jù)上述云計算用戶使用數(shù)據(jù)中心的虛擬化終端,并通過虛擬化網(wǎng)絡(luò)進行應(yīng)用訪問的典型模式描述,這里對云計算虛擬化網(wǎng)絡(luò)安全的需求進行了如下分析歸納:
1用戶接入的網(wǎng)絡(luò)安全需求��。應(yīng)該保障虛擬化用戶能夠可信����、可控���、安全地接入數(shù)據(jù)中心啟用其對應(yīng)的終端虛擬機系統(tǒng)��。應(yīng)該強化用戶接入數(shù)據(jù)中心的認證與訪問控制���,提供ICA等遠程桌面協(xié)議的機密性保護����。
2虛擬機之間的網(wǎng)絡(luò)安全需求。與傳統(tǒng)的安全防護不同��,虛擬機環(huán)境下���,同臺物理服務(wù)器虛擬成多臺VM以后,VM之間的流量交換基于虛擬交換機進行交換�,管理員對于該部分流量既不可控也不可見,但實際上根據(jù)需要��,不同的VM之間需要劃分到不同的安全域���,進行隔離和訪問控制�,應(yīng)提供保證虛擬機之間交互數(shù)據(jù)的機密性保護機制,避免通過虛擬交換機的混雜模式端口映射機制監(jiān)聽到所有不同用戶群組的虛擬機之間的通信數(shù)據(jù)�����。
此外���,還應(yīng)該為虛擬機的遷移提供安全的數(shù)據(jù)傳輸通道��,避免遷移過程往往是跨物理服務(wù)器乃至跨數(shù)據(jù)中心的造成用戶數(shù)據(jù)泄露��。
3數(shù)據(jù)中心之間的網(wǎng)絡(luò)安全需求。數(shù)據(jù)中心之間會有計算或存儲資源的遷移和調(diào)度���,對于大型的集群計算�����,一般采用構(gòu)建大范圍的二層互聯(lián)網(wǎng)絡(luò)包括跨數(shù)據(jù)中心的分布式虛擬交換機��,對于采用多個虛擬數(shù)據(jù)中心提供云計算服務(wù)�����,可以構(gòu)建路由網(wǎng)絡(luò)三層連接�����。需要對數(shù)據(jù)中心網(wǎng)絡(luò)邊界進行防火墻��、入侵檢測等常規(guī)網(wǎng)絡(luò)安全防護����,同時對跨數(shù)據(jù)中心交互的數(shù)據(jù)進行機密性保護��。
來源:比特網(wǎng)
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力��。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056��。
延伸閱讀
