云数据中心安全需求及应对策略

标签:数据中心

访客:6847  发表于:2016-10-20 23:05:32

云数据中心是利用云计算技术,自动化地按需提供各类云计算服务的新一代数据中心。作为云业务的载体,云数据中心的业务特性与传统数据中心差异巨大,主要表现在:其业务模式从以托管和固定计费为主转为以租赁和按适用计费为主,其业务开通从线下转向以线上为主,其主要资源类型从专用物理资源转变为云化、可迁移、可按需调整的虚拟资源,其业务规模和用户数提高了一个量级,其业务流量从以南北向为主转而出现大量东西向流量,业务种类多样,控制流量更为复杂。

云数据中心安全需求及应对策略

云数据中心网络面临安全挑战

鉴于云数据中心的上述业务特性,以及SDN、NFV等新技术的迅猛发展和规模应用,云数据中心网络相较于传统数据中心网络而言,主要面临以下安全挑战。

虚拟化技术的发展使得安全边界难以界定,逻辑网络拓扑根据业务的需求随时可变,传统的基于物理边界防护的安全架构无法对其进行有效的安全防护。

业务场景更为复杂,对网络和信息安全的个性化需求更为强烈。而传统安全硬件设备将软件与硬件绑定,对外提供固定安全功能,管理员只能通过手工操作界面对其进行简单配置,无法根据业务应用场景进行灵活的功能调整和定制,不能满足业务的弹性、按需的安全需求。

在虚拟化网络软件耦合的环境下,安全事件的定位与排查更为困难。

虚拟资源的弹性扩展和虚拟网络安全边界动态变化要求安全设备具备敏捷与协同防护特性,而现有安全设备和系统各自为政,缺乏有效协同及联动的手段与机制。

SDN、NFV等引入新的安全风险。SDN控制器成为关键节点,一旦控制器被入侵,黑客将可能获得控制器所覆盖的整个网络的控制权;控制器运行异常,也可能会造成下层网络设备的流控制不一致,导致网络故障甚至瘫痪。另外,上层应用的资源开放及SDN可编程的特点,将可能引入恶意应用及插件、资源越权访问等安全风险,导致安全威胁倍增;不同应用间的控制策略相互影响,也可能带来安全策略相互违背的安全隐患。NFV设备引入 MANO、虚拟化技术,并通过标准API接口开放电信网络能力,不仅大大增加了安全管理的复杂度,而且增加了安全攻击面,带来了NFV可信性、可用性等新的安全风险。

云数据中心安全策略

为了应对这些安全挑战,云数据中心应采取如下安全策略:

1.重构网络安全架构,实现按需弹性安全防护。

传统盒子思想的安全产品架构无法满足云数据中心的安全运营需求,必须对安全架构进行重构。软件定义安全(Software Defined Security,SDS)是网络安全架构重构的一个可行方向。其将安全设备的功能、接入模式、部署方式进行解耦,底层抽象为安全资源池中的资源,顶层统一通过软件编程方式进行智能化、自动化的编排和管理,实现业务和应用驱动,以适应复杂网络的安全防护。

对于云数据中心来说,可借鉴软件定义思想,建立一个集中安全的控制管理架构,通过将安全能力等从底层异构的硬件中抽象出来,成为可由软件定义的资源,使原来独立、难以互通的控制组件构成统一的控制平面,即利用通用芯片上的虚拟化技术,实现标准的安全处理流程,将安全策略管理从硬件设备中解耦出来,并通过顶层统一软件编程方式实现业务和应用驱动,实现基于策略的、自动化的集中管理和控制。由于安全控制面与数据面分离,可以在控制面上根据承载业务的不同安全需求按需配备安全资源,并借助全局视野灵活调整策略,实现安全资源的动态协同防护和智能精细控制。同时借助SDN网络控制器,以业务链的方式调度流量,用逻辑拓扑取代物理拓扑,流量可灵活地按特定次序调配由服务功能处理,实现安全资源的按需访问,从而适应云计算中心动态按需调整的网络环境。

2.实施微隔离,实现云数据中心东西流量安全管控。

网络隔离是基础防护手段,传统数据中心的网络隔离主要是基于设置安全分段、创建子网和虚拟LAN,通过手动配置和维护的ACL 或防火墙规则来进行安全域的隔离。该模式需要将安全策略锁定至工作负载所处的物理位置,一般是基于IP子网与应用间的映射,但是,仅仅基于子网的策略定义是不够的,很多时候需要面向IP地址进行更精细的策略定义,策略条目会爆炸性增长。在云数据中心动态化的网络环境下,隔离策略的配置、调整及过时策略的回收等工作量将呈指数增加,安全运维人员将不堪重负。

为了解决这个问题,云数据中心应组建分布式防火墙资源池,同时基于软件定义安全的集中安全管理架构,集中实施灵活的基于安全组的安全策略控制。通过与SDN控制器的协同,安全运维人员可灵活实现虚拟机间流量的流转控制,即使物理IP地址变化,也可以保证其安全策略自动随工作负载移动。在这种微分段模式下,云数据中心可以真正实现“零信任”的网络安全控制,通过借助SDN网络流量的可视性,实施最小限度的访问权限,并随时根据安全状况,调整访问控制策略,从而控制安全风险在数据中心内部的横向扩展。

3.提升控制面安全性,应对SDN/NFV技术引入的安全风险。

通过数据平面与控制平面解耦,SDN引入了新的攻击面及安全风险,SDN控制器面临的安全风险将远大于传统网管系统。SDN的安全防护应在实施传统安全防护手段并适当提升安全防护等级的基础上,重点提升SDN控制器自身的安全机制,提高控制平面自身安全健壮性以及南北向的安全控制,主要包括对流规则的合法性和一致性检测、应用程序的权限控制、抗DDoS攻击等。NFV的安全防护策略与SDN类似,应采用严格认证授权、安全隔离以及策略一致性安全检测机制,并重点保障VNF的可信性,包括VNF的生命周期安全管理、VNF安全启动检查等。

总体而言,云数据中心安全防护应结合SDN/NFV等新技术的发展需求,健全安全体系,加强虚拟化安全、控制面增强安全机制等关键技术的实用化和落地部署。同时,充分借鉴软件定义安全理念,并结合技术成熟度,开展相关安全系统的云化改造,提升安全系统的资源利用效率及整体安全防护协同能力,并探索集中安全控制体系,与云计算管理平台以及SDN控制器进行协同,实现按需安全防护以及智能精细控制。


评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");