山石網(wǎng)科虛擬云安全解決方案技術(shù)白皮書(shū)-CN-V1.0

1、山石網(wǎng)科虛擬云安全解決方案技術(shù)白皮書(shū)山石云格面向虛擬化數(shù)據(jù)中心的軟件定義安全數(shù)據(jù)中心已經(jīng)從物理架構(gòu)演進(jìn)到大規(guī)模虛擬和云的架構(gòu)。 服務(wù)器和存儲(chǔ)被虛擬化成為很多數(shù)據(jù)中 心的標(biāo)準(zhǔn)，新興的網(wǎng)絡(luò)功能虛擬化（ NFV ）和軟件定義網(wǎng)絡(luò)（ SDN ）技術(shù)有望通過(guò)虛擬化的網(wǎng)絡(luò) 和安全功能完成物理到虛擬的演進(jìn)。虛擬數(shù)據(jù)中心在效率、業(yè)務(wù)敏捷性，以及快速的產(chǎn)品上市時(shí)間上有明顯的優(yōu)勢(shì)。然而，應(yīng)用、服 務(wù)和邊界都是動(dòng)態(tài)的，而不是固定和預(yù)定義的，因此實(shí)現(xiàn)高效的安全十分具有挑戰(zhàn)性。傳統(tǒng)安全 解決方案和策略還沒(méi)有足夠的準(zhǔn)備和定位來(lái)為新型虛擬化數(shù)據(jù)中心提供高效的安全層，這是有很 多原因的。從南北到東西在傳統(tǒng)數(shù)據(jù)中心里，防火墻、

2、入侵防御，以及防病毒等安全解決方案主要聚焦在內(nèi)外網(wǎng)之間邊界 上通過(guò)的流量，一般叫做南北向流量或客戶(hù)端服務(wù)器流量。在今天的虛擬化數(shù)據(jù)中心里，像南北向流量一樣，交互式數(shù)據(jù)中心服務(wù)和分布式應(yīng)用組件之間產(chǎn) 生的東西向流量也對(duì)訪問(wèn)控制和深度報(bào)文檢測(cè)有剛性的需求。 多租戶(hù)云環(huán)境也需要租戶(hù)隔離和向 不同的租戶(hù)應(yīng)用不同的安全策略，這些租戶(hù)的虛擬機(jī)往往是裝在同一臺(tái)物理服務(wù)器里的。不幸的是，傳統(tǒng)安全解決方案是專(zhuān)為物理環(huán)境設(shè)計(jì)的，不能將自己有效地插入東西向流量的環(huán)境 中，所以它們往往需要東西向流量被重定向到防火墻、深度報(bào)文檢測(cè)、入侵防御，以及防病毒等 服務(wù)鏈中去。這種流量重定向和靜態(tài)安全服務(wù)鏈的方案對(duì)于保護(hù)東西向流

3、量是效率很低的，因?yàn)?它會(huì)增加網(wǎng)絡(luò)的延遲和制造性能瓶頸，從而導(dǎo)致應(yīng)用響應(yīng)時(shí)間的緩慢和網(wǎng)絡(luò)掉線。負(fù)載移動(dòng)性和可擴(kuò)展性靜態(tài)安全解決方案在物理靜態(tài)負(fù)載環(huán)境中是有效的。在虛擬化數(shù)據(jù)中心里，負(fù)載移動(dòng)性和遷移是 常態(tài)，那就意味著安全解決方案不僅也要具有移動(dòng)性，還要能夠感知負(fù)載的移動(dòng)。而且它還得保 持狀態(tài)并對(duì)安全策略做出實(shí)時(shí)響應(yīng)。 要做到這一點(diǎn)，最好的辦法就是通過(guò)與云管理平臺(tái)（例如 vCenter 和 OpenStack）緊密集成。在虛擬化環(huán)境里， 負(fù)載增大、減小和移動(dòng)，以滿足業(yè)務(wù)和應(yīng)用的需求， 安全解決方案的可擴(kuò)展性 和彈性顯得尤為重要。固定靜態(tài)的網(wǎng)關(guān)或服務(wù)器安全解決方案可以有效的工作在傳統(tǒng)數(shù)據(jù)中心里，

4、因?yàn)槟抢锩颗_(tái)物理服務(wù)器的負(fù)載都是固定的。然而，移動(dòng)彈性虛擬化數(shù)據(jù)中心需要能夠跟被保護(hù) 的環(huán)境一樣彈性、可擴(kuò)展，以及虛擬化的安全解決方案。這樣能夠確保它不會(huì)在一個(gè)地方成為瓶 頸，過(guò)度的影響其它地方，而沒(méi)有辦法共享資源。理想情況下，安全服務(wù)應(yīng)該一直工作在靠近負(fù) 載的地方。軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化任何虛擬化安全解決方案也必須融入以NFV和SDN為特點(diǎn)的新興數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)中。通過(guò)NFV,交換和路由功能由跑在 X86服務(wù)器上的虛擬機(jī)來(lái)提供，而不再使用物理的路由器和交換機(jī)。SDN通過(guò)使網(wǎng)絡(luò)平面和數(shù)據(jù)平面分離來(lái)提高網(wǎng)絡(luò)的靈活性。今天的大多數(shù)NFV實(shí)現(xiàn)的特點(diǎn)是分布式虛擬路由，這使每個(gè)租戶(hù)擁有自己的虛擬路

5、由器用于子網(wǎng) 之間的通信。它將路由軟件分布在網(wǎng)絡(luò)中所有的虛擬交換機(jī)上，為高度移動(dòng)負(fù)載環(huán)境提供可擴(kuò)展 的性能和策略執(zhí)行。用戶(hù)急需解決的安全問(wèn)題在云環(huán)境中，某虛機(jī)由于某種原因中了病毒，從內(nèi)部向其它虛機(jī)和外部網(wǎng)絡(luò)發(fā)起端口掃描和DoS等攻擊，缺少識(shí)控方案的情況下，只能將有問(wèn)題的虛機(jī)從網(wǎng)絡(luò)中移除，讓問(wèn)題虛機(jī)的管理員線下 解決問(wèn)題后，才允許連接回網(wǎng)絡(luò)，這樣的處理方案簡(jiǎn)單粗暴，雖然隔離了攻擊，但也同時(shí)斷掉了 問(wèn)題虛機(jī)的對(duì)外服務(wù)。對(duì)于云環(huán)境，雖然外部可能部署入侵防御設(shè)施，但可能存在這樣的情況，某虛機(jī)由于弱口令之類(lèi)的漏洞被遠(yuǎn)程控制，然后黑客以此虛機(jī)為跳板，再對(duì)其它虛機(jī)進(jìn)行漏洞掃描和利用入侵，DoS攻擊會(huì)產(chǎn)生大量

6、的會(huì)話，可能通過(guò)云管理平臺(tái)發(fā)現(xiàn)，然而從內(nèi)部發(fā)起的漏洞入侵的過(guò)程在網(wǎng)絡(luò)層面 上與正常訪問(wèn)無(wú)異，無(wú)法被發(fā)現(xiàn)，因此需要識(shí)控的方案。當(dāng)前虛擬化安全解決方案架構(gòu)的局限顯然，傳統(tǒng)的物理安全解決方案無(wú)法滿足新興虛擬化數(shù)據(jù)中心對(duì)安全性、性能、流量和移動(dòng)性的 需求。任何安全解決方案必須像它所要保護(hù)的數(shù)據(jù)中心一樣，是虛擬、敏捷、彈性、移動(dòng)和可擴(kuò) 展的。理想情況下，安全就應(yīng)該作為另一個(gè)虛擬資源 池深度插入到數(shù)據(jù)中心的虛擬化環(huán)境中，隨 著計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源池的增大、減小和遷移。 就像虛擬路由器演進(jìn)成分布式虛擬路由器一樣， 任何虛擬化網(wǎng)絡(luò)服務(wù)必須能夠以分布式的方式部署來(lái)滿足虛擬化數(shù)據(jù)中心的需求。今天的大多數(shù)虛擬數(shù)據(jù)中

7、心安全解決方案使用以下兩種架構(gòu)之一：第一個(gè)是給每個(gè)租戶(hù)分配一個(gè)單防火墻虛機(jī)，同時(shí)解決南北向和東西向流量問(wèn)題，允許每個(gè)租戶(hù) 有一套自己獨(dú)立的防火墻策略應(yīng)用。要無(wú)瓶頸或無(wú)計(jì)算資源浪費(fèi)的滿足平均和突發(fā)負(fù)載的需要， 擴(kuò)展單防火墻虛機(jī)的性能是一個(gè)挑戰(zhàn)。管理大量有自己獨(dú)立策略的不同租戶(hù)的防火墻虛機(jī)也是一 個(gè)很大的困難。第二個(gè)是把防火墻功能插入到 虛擬機(jī)管理程序 層中。 由于它是虛擬機(jī)管理程序的一部分，它就能 更有效地處理負(fù)載在虛擬化環(huán)境中的移動(dòng)和彈性。然而，重要的是要記住，虛擬機(jī)管理程序是整 個(gè)虛擬計(jì)算資源的基礎(chǔ)操作系統(tǒng)，虛擬機(jī)管理程序中任何服務(wù)的問(wèn)題都將對(duì)整個(gè)虛擬化環(huán)境產(chǎn)生影響。這個(gè)問(wèn)題限制了可以應(yīng)用到

8、管理程序的安全服務(wù)的功能和復(fù)雜性。因此開(kāi)發(fā)一個(gè)不會(huì)影響 虛擬化環(huán)境和應(yīng)用性能而又健壯的虛擬機(jī)管理程序防火墻解決方案，是一個(gè)顯著的挑戰(zhàn)。用戶(hù)對(duì)虛擬化安全方案的顧慮云環(huán)境先有網(wǎng)絡(luò)，后有安全，虛擬安全方案如何插入不對(duì)既有網(wǎng)絡(luò)產(chǎn)生影響？傳統(tǒng)物理網(wǎng)絡(luò)中，通常僅需做不同網(wǎng)段間的安全隔離，而虛擬化網(wǎng)絡(luò)中需要細(xì)粒度到虛擬機(jī)之間的隔離，怎么做？幾十臺(tái)甚至上百臺(tái)的分布式安全防護(hù)業(yè)務(wù)虛機(jī)如何管理，會(huì)不會(huì)給管理員帶來(lái)巨大的工作量？云環(huán)境中虛擬機(jī)的動(dòng)態(tài)遷移是常態(tài)，安全防護(hù)如何跟隨？山石網(wǎng)科視角山石網(wǎng)科的云內(nèi)部安全防護(hù)產(chǎn)品（山石云格）基于第三方視角，利用NFV和SDN的優(yōu)勢(shì)，將自己深度插入到虛擬化環(huán)境中，按需部署和擴(kuò)展防

9、火墻資源。與現(xiàn)有的云計(jì)算管理平臺(tái)（如vCe nter和OpenStack）緊密集成，將可視化能力一直深入到虛擬化架構(gòu)中，使防火墻資源隨其要保護(hù)的的虛擬資源增長(zhǎng)和縮減。氏葫PI-1分布式NFV噩務(wù)環(huán)矗補(bǔ)di*圖1 :山石網(wǎng)科的分布式 NFV業(yè)務(wù)環(huán)保證安全服務(wù)始終貼近被保護(hù)的虛擬資源摟口不走安全服務(wù)鏈的流量重定向繞路，也不產(chǎn)生性能瓶頸，山石云格的分布式架構(gòu)將防火墻業(yè)務(wù) 虛機(jī)部署在靠近租戶(hù)負(fù)載的位置上，創(chuàng)建了一個(gè)一直靠近數(shù)據(jù)中心資源的虛擬安全業(yè)務(wù)環(huán)（如圖 1所示），彈性的處理東西向流量和南北向流量。由于安全業(yè)務(wù)環(huán)一直靠近被保護(hù)的虛擬資源， 不會(huì)產(chǎn)生不必要的延遲。揆口Q opensnckvmwarev

10、SSMV*rv5SM接口接口圖2:云內(nèi)部安全防護(hù)產(chǎn)品（山石云格）架構(gòu)類(lèi)似NFV,山石云格是基于虛擬機(jī)和軟件的。為了分發(fā)和擴(kuò)展安全服務(wù)，山石云格將控制平 面和業(yè)務(wù)平面進(jìn)行了分離控制平面，就是山石云格的虛擬安全控制模塊（vSCM）,作為中央安全配置管理器，主備模式設(shè)計(jì)，通過(guò)驅(qū)動(dòng)程序和 RESTful API與數(shù)據(jù)中心的云計(jì)算管理平臺(tái)緊密集成，并提供了管理界面 來(lái)配置和監(jiān)控虛擬安全服務(wù)。業(yè)務(wù)平面，就是山石云格的虛擬安全業(yè)務(wù)模塊（vSSM）,處理安全策略查找和高級(jí)安全服務(wù)，轉(zhuǎn)發(fā)南北和東西向的數(shù)據(jù)流量，隨流量的增加和減少?gòu)椥詳U(kuò)展，以確保沒(méi)有性能瓶頸。圖2展示了山石云格如何在數(shù)據(jù)中心租戶(hù)網(wǎng)絡(luò)中互聯(lián)，以形成

11、一個(gè)安全服務(wù)平臺(tái)，以及如何通過(guò)按需增加vSSM虛機(jī)來(lái)簡(jiǎn)單的完成擴(kuò)展。由于所有這些服務(wù)都是彈性和分布于整個(gè)虛擬化環(huán)境中的，它們總是靠近需要被保護(hù)的虛擬資源。 這使它們能夠不需要流量重定向繞路和無(wú)性能瓶頸的使能安全策略。安全管理員可以管理整個(gè)防火墻架構(gòu)就好像它是一臺(tái)單一的設(shè)備，同時(shí)在管理界面中允許每個(gè)租 戶(hù)有自己的防火墻管理接口和個(gè)人的安全策略集。面對(duì)新的惡意軟件不斷挑戰(zhàn)的安全環(huán)境，防火墻的升級(jí)絕對(duì)是至關(guān)重要的。 不幸的是，升級(jí)可能 破壞防火墻、網(wǎng)絡(luò)和應(yīng)用性能。山石網(wǎng)科在山石云格 中另外做了一個(gè)重要組件，在線軟件升級(jí)（ISSU ），使部署的更新和升級(jí)不會(huì)產(chǎn)生任何服務(wù)中斷。面向虛擬機(jī)的微隔離山石云格

12、將自己深度插入到虛擬化環(huán)境中，能夠做到每一個(gè)虛擬機(jī)跟外部網(wǎng)絡(luò)或內(nèi)部其它虛擬 機(jī)之間通信的精細(xì)監(jiān)控，我們稱(chēng)之為微隔離。這樣的方案才能夠完全解決用戶(hù)急需解決的安全問(wèn) 題，阻斷從內(nèi)部向其它虛機(jī)和外部網(wǎng)絡(luò)發(fā)起的端口掃描和DoS等攻擊，而仍然保持問(wèn)題虛機(jī)的對(duì)外服務(wù)；監(jiān)控到繞過(guò)外部防護(hù)、以被控制虛擬機(jī)為跳板的內(nèi)部入侵，為每一臺(tái)業(yè)務(wù)虛擬機(jī)都提供 最貼身的安全防護(hù)力度。山石云格的優(yōu)勢(shì)山石云格的優(yōu)勢(shì)是十分明顯的。敏捷山石云格的易于擴(kuò)展、移動(dòng)和彈性保證了數(shù)據(jù)中心安全像被保護(hù)的虛擬架構(gòu)一樣敏捷、彈性和靈活，提高業(yè)務(wù)靈活性并為新的IT創(chuàng)新產(chǎn)品縮短上市時(shí)間。 山石云格既保護(hù)了南北向的流 量，也保護(hù)了東西向的流量。高效

13、很多靜態(tài)模型不是在平均負(fù)載時(shí)提供過(guò)多的資源，就是在峰值負(fù)載時(shí)提供不足的資源，山石 云格能夠?yàn)樗柚幧暾?qǐng)確切數(shù)量的資源，非常的高效。應(yīng)用和負(fù)載性能 山石云格 不需要流量重定向而彈性申請(qǐng)安全資源的能力，保證了應(yīng)用程序性能 不會(huì)對(duì)負(fù)載產(chǎn)生不利影響。這對(duì)于關(guān)鍵應(yīng)用特別的重要，因?yàn)樾阅芟陆?、停機(jī)或安全漏洞可能導(dǎo) 致收入的損失或客戶(hù)的丟失。高可靠性 山石云格架構(gòu)的冗余和ISSU方面的考慮確保防火墻的保護(hù)始終正常運(yùn)行不會(huì)中斷。管理簡(jiǎn)單 集中式的管理界面以及跟云計(jì)算管理平臺(tái)的緊密集成，簡(jiǎn)化了虛擬化環(huán)境中的安全管理， 允許更多的 IT 資源被分配給項(xiàng)目和功能，以增強(qiáng)業(yè)務(wù)能力。保護(hù)能力強(qiáng)大 山石云格提供了強(qiáng)大的深度包檢測(cè)、防火墻、入侵防御以及分布式拒絕服務(wù)攻擊 （DDoS ）防護(hù)，以抵御當(dāng)今最復(fù)雜的威脅。實(shí)時(shí)升級(jí)確保新的防御技術(shù)可以被立即應(yīng)用，沒(méi)有 任何業(yè)務(wù)會(huì)因?yàn)樾碌耐{出現(xiàn)而中斷。唧押視至 MFI 1IUK圖3:云內(nèi)部安全防護(hù)產(chǎn)品（山石云格）二層部署為了能夠看到和控制同一 VLAN內(nèi)虛擬機(jī)之間的流量，圖 3展示了山石云格被應(yīng)用在二層網(wǎng)絡(luò) 環(huán)境中的用例。在這個(gè)用例中，不同數(shù)