“私有云”安全“过渡”时期-“云朵”

2013-10-30 09:44:51 EP电力信息化网  点击量: 评论 (0)
一、私有云安全的尴尬现状云计算因为能够提供虚拟化的资源池、弹性的服务能力、自助服务等,深得CIO们的青睐,为了提高企业IT设备的利用率,提高服务容灾的能力,提高对业务支撑的快速响应能力,大多数的企业都开

平台,或者是得到了厂家的底层安全API接口,如VMware的VMSafe接口,你可以利用接口插入自己的安全代码,对虚拟机上的流量进行安全检查与控制。

 

这种方式直接在虚拟化平台的底层hypervisor上控制用户数据流,有些象我们所理解的操作系统分为内核态与用户态,黑客要突破hypervisor到内核层是比较困难的,想绕过这种安全监控也是十分困难的。

第二种情况是得不到虚拟化平台的底层接口,或者是希望通过第三方的安全控制措施,用户才放心(虚拟化平台自己管理、自己控制的安全,总让人有些疑惑)。这种方式是目前安全厂家流行的流量牵引的安全控制措施。

实现的思路是利用SDN技术中的流量牵引控制协议openflow,引导用户业务流量按照规定的安全策略流向,结合安全产品的虚拟化技术,建立防火墙、入侵检测、用户行为审计、病毒过滤等资源池,在用户申请虚拟机资源时,随着计算资源、存储资源一起下发给用户,保证用户业务的安全。

实现的步骤大致如下:

1.对安全资源虚拟池化:先对安全设备进行“多到一”的虚拟化,形成一个虚拟的、逻辑的、高处理能力的安全设备,如虚拟防火墙、虚拟入侵检测等;再对虚拟的安全设备进行“一到多”的虚拟,生成用户定制的、处理能力匹配的虚拟安全设备;

2.部署流量控制服务器:为流量控制管理的中心,接受并部署用户流量的安全策略,当用户业务虚拟机迁移时,负责流量牵引策略的迁移落地;该服务器可以是双机热备,提高系统安全性,也可以采用虚拟机模式。同时,在虚拟计算资源池内安装流量控制引擎:具体方法是在每个物理服务器内开一个虚拟机运行流量控制引擎,负责引导该物理服务器上所有虚拟机,按照安全策略进行流量的牵引;

3.用户业务流量的牵引分为两种模式:

a)镜像模式:针对入侵检测、行为审计等旁路接入的安全设备,需要把用户流量复制出来即可,不影响原先的用户业务流量;

b)控制模式:针对防火墙等安全网关类安全设备,需要把用户的流量先引导到安全设备虚拟化池中,“清洗”流量以后,再把流量引导到正常的业务处理虚拟机;

4.因为需要改变用户流量的流向,需要对目的MAC、目的IP进行修改。具体的方案很多,这里我们采用的是MAC in MAC技术,对数据包二次封装,经过安全设备处理以后的“安全流量”恢复到“正常”状态;在云朵中的物理交换机与虚拟交换机支持SDN模式时,也可以采用openflow协议进行导引时的封装;

5.当用户业务服务的虚拟机在不同的物理服务中迁移时,该用户业务的安全策略也随着迁移到目的物理服务内的流量控制虚拟机,继续执行对该用户的业务流量进行引导。

大云网官方微信售电那点事儿

责任编辑:何健

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞