云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)研討

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)研討范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：隨著虛擬化技術(shù)的快速發(fā)展，近年來(lái)互聯(lián)網(wǎng)領(lǐng)域?qū)崿F(xiàn)了較為長(zhǎng)足的進(jìn)步，云數(shù)據(jù)中心的廣泛建設(shè)便屬于這種進(jìn)步的直觀體現(xiàn)，這也使得近年來(lái)我國(guó)圍繞云數(shù)據(jù)中心開(kāi)展的研究大量涌現(xiàn)。基于此，本文簡(jiǎn)單分析了云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求、云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)思路，并詳細(xì)論述了云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用實(shí)例，希望由此能夠?yàn)橄嚓P(guān)業(yè)內(nèi)人士帶來(lái)一定啟發(fā)。

關(guān)鍵詞：云數(shù)據(jù)中心；網(wǎng)絡(luò)安全服務(wù)；分布式網(wǎng)絡(luò)架構(gòu)；虛擬化技術(shù)

0前言

云數(shù)據(jù)中心（SDDC）的實(shí)現(xiàn)離不開(kāi)成熟的虛擬化技術(shù)支持，云數(shù)據(jù)中心物理資源抽象化、資源池化的實(shí)現(xiàn)也得益于計(jì)算虛擬化、網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化，云數(shù)據(jù)中心服務(wù)因此具備彈性、敏捷性以及高效性優(yōu)勢(shì)。而為了最大發(fā)揮這種優(yōu)勢(shì)、推動(dòng)我國(guó)云數(shù)據(jù)中心實(shí)現(xiàn)進(jìn)一步發(fā)展，正是本文圍繞云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)開(kāi)展具體研究的原因所在。

1云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求分析

云數(shù)據(jù)中心具備的彈性、敏捷性以及高效性優(yōu)勢(shì)使得其對(duì)網(wǎng)絡(luò)安全存在較高需求，這就使得云數(shù)據(jù)中心的安全服務(wù)必須統(tǒng)一到管理平臺(tái)上，因此其網(wǎng)絡(luò)安全服務(wù)需求可以概括為以下兩個(gè)方面。

1.1特性需求

由于安全服務(wù)必須統(tǒng)一到云數(shù)據(jù)中心管理平臺(tái)上，這就使得云數(shù)據(jù)中心的彈性、敏捷性以及高效性將對(duì)安全服務(wù)提出一定需求，這種需求的具體表現(xiàn)如下所示：（1）敏捷性。安全服務(wù)需要靈活部署于云數(shù)據(jù)中心，整個(gè)數(shù)據(jù)中心、具體業(yè)務(wù)應(yīng)用均需要納入安全服務(wù)保障，且安全服務(wù)需保證自身啟停不對(duì)中心日常業(yè)務(wù)運(yùn)行造成影響，因此敏捷性需求必須得到關(guān)注。（2）彈性。安全服務(wù)需具備動(dòng)態(tài)調(diào)整能力以滿足業(yè)務(wù)變化需要，這一動(dòng)態(tài)調(diào)整應(yīng)脫離管理員干涉、基于具體服務(wù)規(guī)則開(kāi)展。（3）高效性。需保證安全服務(wù)可由所有用戶分享，以此實(shí)現(xiàn)統(tǒng)一管理、資源高效利用[1]。

1.2具體需求

除特性需求外，云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)的具體需求也應(yīng)得到關(guān)注，這類需求的主要內(nèi)容如下所示：（1）業(yè)務(wù)跟隨。需保證安全服務(wù)隨用戶虛擬機(jī)遷移而遷移，以此實(shí)現(xiàn)安全防護(hù)、業(yè)務(wù)流量的全過(guò)程跟隨。（2）服務(wù)擴(kuò)展。安全服務(wù)需結(jié)合攻擊演變隨時(shí)擴(kuò)展與調(diào)整，能否在現(xiàn)有基礎(chǔ)上更新、擴(kuò)展將直接影響安全服務(wù)效用發(fā)揮。（3）支持多類型數(shù)據(jù)中心。安全服務(wù)需滿足不同云數(shù)據(jù)中心需要，這使得其需要獨(dú)立于管理平臺(tái)，必要時(shí)舍棄Hypervisor技術(shù)支持，不同云數(shù)據(jù)中的相同安全保障將由此實(shí)現(xiàn)。

2云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)思路

簡(jiǎn)單了解云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求后，本文提出了分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)思路，而結(jié)合該思路明確的云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)具體組成同樣具備較高參考意義。

2.1基本思路

部署于用戶虛擬網(wǎng)絡(luò)的邊界、在所有需要安全服務(wù)的物理機(jī)上啟動(dòng)虛擬化安全設(shè)備屬于現(xiàn)階段存在的兩種虛擬化安全設(shè)備網(wǎng)絡(luò)部署方式，前者本質(zhì)上屬于個(gè)體物理安全設(shè)備的虛擬化，后者則屬于多臺(tái)設(shè)備管理器與網(wǎng)絡(luò)設(shè)備的虛擬化，但考慮到兩種方式均無(wú)法較好滿足云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)需要，因此本文提出了一種分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)思路。該架構(gòu)主要由數(shù)據(jù)中心管理平臺(tái)、安全服務(wù)控制平面、安全服務(wù)平面、物理服務(wù)器集群組成，由此即可實(shí)現(xiàn)流量可視化、微隔離、安全服務(wù)、支持業(yè)務(wù)遷移、全網(wǎng)行為分析等安全服務(wù)[2]。云數(shù)據(jù)中心分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)的具體組成如下所示：（1）安全服務(wù)控制平面。主要由NBI、生命周期管理、用戶資產(chǎn)輪詢、安全管理界面、安全策略管理、日志監(jiān)控、擴(kuò)展服務(wù)管理組成，其中NBI負(fù)責(zé)對(duì)外提供北向接口，而通過(guò)這些功能即可實(shí)現(xiàn)實(shí)時(shí)的用戶資產(chǎn)配置獲取，管理員也能夠由此開(kāi)展高質(zhì)量的安全服務(wù)管理。（2）安全服務(wù)平面。主要由安全服務(wù)虛機(jī)、擴(kuò)展服務(wù)虛機(jī)、虛擬機(jī)、虛擬網(wǎng)絡(luò)、Hypervisor組成，虛擬機(jī)在其中負(fù)責(zé)集成復(fù)雜功能、擴(kuò)展服務(wù)模塊以形成服務(wù)鏈，而Hypervisor則能夠?yàn)槿?wù)虛擬機(jī)的運(yùn)行提供支持。

2.2具體組成

結(jié)合更深入分析，確定了由引流平面和安全服務(wù)平面分離組成并運(yùn)行于虛擬機(jī)的控制平面（支持高可用性）、采用分布式部署并運(yùn)行在虛擬機(jī)上的安全服務(wù)平面、應(yīng)用SDN引流和虛擬交換機(jī)的引流平面，而服務(wù)模塊的擴(kuò)展則通過(guò)啟動(dòng)虛擬機(jī)實(shí)現(xiàn)，這一云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)思路不僅滿足了上文提及的全部需求，安全服務(wù)更被賦予了統(tǒng)一管理和開(kāi)放接口特性。流量可視化、微隔離、安全服務(wù)、支持業(yè)務(wù)遷移、全網(wǎng)行為分析屬于該架構(gòu)具備的主要服務(wù)能力，如安全服務(wù)能夠提供L2到L7的安全服務(wù)，防火墻、應(yīng)用識(shí)別、攻擊防護(hù)、URL過(guò)濾等均屬于安全服務(wù)的具體組成，可見(jiàn)該架構(gòu)的完善性[3]。

3云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用實(shí)例

為提升研究實(shí)踐價(jià)值，本文圍繞上述云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)在不同類型云數(shù)據(jù)中心的應(yīng)用進(jìn)行了詳細(xì)論述，該架構(gòu)在不同云數(shù)據(jù)中心基于不同安全需求開(kāi)展的靈活適配具備較高借鑒價(jià)值。

3.1VMware數(shù)據(jù)中心

在VMware數(shù)據(jù)中心的網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用中，該架構(gòu)實(shí)現(xiàn)了與vCenter的協(xié)調(diào)管理，vCenter、安全服務(wù)控制平面、物理服務(wù)器集群、安全服務(wù)平面屬于架構(gòu)的具體應(yīng)用，而在VSS/VDS（虛擬交換機(jī)）的引流支持下，該網(wǎng)絡(luò)安全服務(wù)架構(gòu)可支持ESXiHypervisor，L2至L7的安全服務(wù)也將由此實(shí)現(xiàn)。結(jié)合VMware數(shù)據(jù)中心特點(diǎn)，網(wǎng)絡(luò)安全服務(wù)架構(gòu)特別準(zhǔn)備了擴(kuò)展日志分析模塊，該模塊主要負(fù)責(zé)流量日志的分析處理，而分析處理的結(jié)果將自動(dòng)送至數(shù)據(jù)中心日志服務(wù)器。

3.2OpenStack數(shù)據(jù)中心

對(duì)于應(yīng)用網(wǎng)絡(luò)安全服務(wù)架構(gòu)的OpenStack數(shù)據(jù)中心來(lái)說(shuō)，OpenStack、安全服務(wù)控制平面、安全服務(wù)平面、物理服務(wù)器集群屬于該架構(gòu)的主要構(gòu)成，其中OpenStack主要由FWaaSplugin、Neutron、Cinder、Nova組成，由此即可實(shí)現(xiàn)用戶網(wǎng)絡(luò)信息的獲取和生命周期管理。在OpenStack數(shù)據(jù)中心的網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用中，使用OpenSwitch引流、支持KVMhypervisor屬于該部署的主要特點(diǎn)，由此實(shí)現(xiàn)的多租戶場(chǎng)景支持、在線部署、L2至L7安全服務(wù)提供也應(yīng)得到關(guān)注。

3.3自主開(kāi)發(fā)云平臺(tái)

自主云平臺(tái)開(kāi)發(fā)同樣屬于本文研究分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)的典型應(yīng)用，自主開(kāi)發(fā)管理平臺(tái)、安全服務(wù)控制平面、SDN控制器、物理服務(wù)器集群、安全服務(wù)平面屬于該應(yīng)用的具體組成，而在管理API支持下，該架構(gòu)可實(shí)現(xiàn)用戶和網(wǎng)絡(luò)信息的獲取、高水平生命周期管理。通過(guò)調(diào)用SDN控制器QPI實(shí)現(xiàn)鏡像引流、支持ZENhypervisor與KVM，則使得整個(gè)架構(gòu)能夠在檢測(cè)到虛擬機(jī)攻擊行為后在最短時(shí)間內(nèi)實(shí)現(xiàn)虛擬機(jī)隔離，整個(gè)平臺(tái)的安全性能自然將由此實(shí)現(xiàn)大幅提升。

4結(jié)論

綜上所述，本文研究的云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)具備較高推廣潛力，而在此基礎(chǔ)上，文中涉及的分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)在VMware數(shù)據(jù)中心、OpenStack數(shù)據(jù)中心、自主開(kāi)發(fā)云平臺(tái)中的實(shí)際應(yīng)用，則證明了設(shè)計(jì)思想的可行性。因此本文建議相關(guān)業(yè)內(nèi)人士關(guān)注本文滲透的設(shè)計(jì)思想，并由此推動(dòng)我國(guó)云數(shù)據(jù)中心的更好發(fā)展。

參考文獻(xiàn)：

[1]張小梅,馬錚,朱安南等.云數(shù)據(jù)中心安全防護(hù)解決方案[J].郵電設(shè)計(jì)技術(shù)，2016.

[2]姚帥,陸蓓.基于SDN技術(shù)的云數(shù)據(jù)中心演進(jìn)方案研究及試點(diǎn)[J].電信技術(shù)，2015.

[3]張旭輝.運(yùn)營(yíng)商云數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)研究綜述[J].中國(guó)新通信，2015.

作者:陳鵬州 單位:中電科海洋信息技術(shù)研究院有限公司