【博文推荐】云计算安全解决方案白皮书（四）

四、云朵内的安全设计思路—云导流方案

云朵内不同于传统的安全设计思路就是云导流方案。它实现了云朵内以流为核心，重塑信息系统逻辑网络拓扑的过程，同时，定义了该信息系统的安全属性，即部署的网络安全措施。

云导流方案包括三个核心的组成部分：策略管理平台、安全资源池、导流网络。

1、流量引导与控制模块(CFC：云导流模块)

流引导的范围就是导流控制的网络。该网络与虚拟机紧挨着，保证进出VM的流能得到正确的引导；该网络与安全资源池相邻，保证引导的数据包进入相应的资源池，并把处理完的流量再从新引导到正确的目的地。该网络与策略管理平台路由可达，保证执行的是正确的策略。

CFC模块包括如下几个组成部分：

• 交换机：负责数据包的实际转发，与策略管理平台互通，保证流的正确去向。
• 导流网络的边界交换机：对于进入的流，从安全策略服务器获得该业务流路由定义的标签，并为流的所有数据包打上该标签，让后续的交换机知道如何路由到下一跳；对于出去的流，摘掉这个标签，恢复原有的数据包，不影响系统、安全设备对数据包的处理；
• 导流网络的内部交换机：根据数据包的标签转发下一跳，而不是根据流的目的IP；
• 导流网络包括物理的交换机与虚拟平台内的虚拟交换机，两者可以支持不同的协议，只要能够识别统一的标签。
• 安全虚拟机(SVM)：在每个物理服务器内部有一个安全虚拟机，负责该服务器内的所有的VM的监控流量引导；安全虚拟机在物理服务器加入到资源池时，自动安装，并与策略管理平台实时通信，部署在本服务器上VM的安全策略。

流引导的实现是策略服务器与交换机的协议互通，对流进行重新路由。根据安全设备对流处理的要求，流引导需要两种方式：流监控与流过滤。

流监控：不需要改变流原来的路由，需要将全部的流量复制一份交给安全设备处理即可。我们处理的方式是在虚拟交换机上进行端口镜像，将虚拟网卡的流量复制到安全虚拟机，经过处理后，再经过另外的物理网卡直接送到安全资源池。

流监控主要是满足并行接入的安全设备，如IDS、网络审计、异常流量监控等。

流过滤：需要对流的路由进行修改，让流“绕弯”进入安全设备，处理后再返回目标。实现流过滤引导的分两部分流量：

• 南北流量：进入虚拟化池之前，在导流网络的边界交换机上就开始进行流的引导，经过安全处理后再送到服务器虚拟化池的交换机上，最后进入VM；
• 东西流量：导流网络包括虚拟交换机，所以流从VM出来进入，在虚拟交换机的入口上就打上标签，转发到安全资源池，处理后重新导流，转发到实际的目的地。

#p#

在流过滤时，需要支持流引导协议。选择什么协议呢？

流引导协议的核心就是在导流网路(流引导控制区域)内，将原来的网络层参数封装起来，按照安全策略服务器重新定义路由的标签，并让交换机按照标签进行包转发，而不是根据目的IP转发。能够实现这种“重新路由”的协议很多，最为直接的是SDN，因为SDN协议设计时，已经将转发控制器与转发交换机分离，SDN控制器可以根据多个参数去定义新的路由转发策略，而不仅仅是访问控制列表ACL的五元组。下图是Openflow3.1协议支持路由组合的控制要素。

能实现导流网络内重新路由的还有很多成熟的路由协议，如BGP、MPLS、GRE、vxLAN(虚拟扩展LAN)、EVB(一种Vlan嵌套技术)等，其核心都是设立引导控制区域，在域内重新封装域内路由的通道技术。

CFC模块把流引导控制协议设计为接口模块，不同协议作为一个互通接口模块可选择。可以根据用户具体的网络情况，选择一个该网络统一支持的协议作为流引导控制协议。由于SDN交换机需要硬件升级，需要网络改造，因此，对现有网络中建议采用MPLS\EVB等成熟型协议，对于新建网络建议SDN协议。无论采用哪种协议，都要注意网络内物理交换机与虚拟交换机要支持同一种协议，否则标记不通用，就会影响通道路由的落地。

2、安全资源池管理模块 (VSP：虚拟安全池管理平台)

流量引导到安全资源池，需要进一步送到相应的安全措施上去处理，具体送到那个地址的设备上处理，以及处理结果的正确输出，就需要安全资源池管理模块了。

安全资源池管理平台是管理该类安全资源的服务平台，如同该安全资源的负载均衡管理模块，具体完成功能如下：

• 物理资源池管理，动态增加、删除物理设备，了解每个物理设备的运行动态与处理能力；物理资源池化管理可以兼容多个厂家、多种型号的设备，不关心物理接口，只关心处理能力；

• 虚拟资源池管理：管理安全虚拟机，负责动态生成与关闭，动态调整虚拟机的资源分配；虚拟资源池化管理也可以兼容不同厂家的安全软件，可以组合增加安全识别能力；

• 业务处理能力的动态调配。当某业务的流量动态增加或减少到一定的阈值，可以动态调整其占用的物理资源或虚拟资源，保证其处理能力平滑升级。

安全资源池化管理，不仅兼容各个厂家的设备，而且可以同时采用物理设备与虚拟设备，让用户真正实现“自来水”一样地安全使用安全资源，完成了继计算资源、存储资源、网络资源虚拟化之后的新突破，安全资源的虚拟化，让云计算服务为用户提供的是更加完整的IT服务方案。

#p#

3、业务系统安全策略管理平台 (BSM：业务安全管理平台)

有了安全资源处理，有了云导流控制，我们就可以把用户的安全策略落实到位了。业务安全策略管理平台是与导流方案的控制核心，它主要提供如下几方面的服务：

• 业务系统安全策略管理：安全策略的定义、修改，以及该业务系统安全状态的监控；
• 与虚拟化管理平台互通，跟踪虚拟机的动态信息，运行状态；
• 与云导流模块互通，下发安全策略到交换机上，在安全虚拟机内；
• 与安全资源池模块互通，了解安全资源动态与分配情况。

BSM是云朵内安全运维管理的总平台，除了与其他管理模块互联，落实业务安全策略之外，更为主要的就是运维人员的操作接口，从使用者角度，BSM应该实现几个功能模块：

• 业务系统管理，安全域的划分
• 安全资源管理，策略配置管理
• 安全域边界流量监控，发现逻辑安全域之间的异常流量
• 安全事件报警、跟踪处理平台
• 安全日志审计管理平台
• 为某业务管理运维人员(租户)提供安全运维管理通道

BSM为用户建立统一的安全管理平台SOC提供支持，BSM的安全事件监控模块就成为SOC在云朵内的一个采集引擎。也作为安全服务平台，为某业务系统的安全运维提供远程接入服务。

小结

本方案有如下优点：

1、  全程保障：实现虚拟机迁移过程中，安全策略不中断，不开安全保障的“天窗”。服务器虚拟化管理，保障VM迁移过程中，业务系统访问不中断是其重要特点。业务不中断，安全保障就不能中断，这是云计算服务安全解决方案设计的最基本要求。本方案在设计时，在每个物理服务器内设立安全虚拟机，保障VM迁移到那个物理服务器上，都立即接手该VM的安全策略部署，无需安全虚拟机跟随迁移；

2、跨平台：VMWare平台提高很好的服务，但价格昂贵，KVM\XEN等 平台开源，但需要用户自己的技术运维能力较强。随着用户在云上的业务量逐步增大，用户大多会尝试各种虚拟化管理平台，降低云服务的建设与运维成本。跨平台 就成了必然的需求。本方案没有采用专用接口，在各种虚拟化管理平台上移植非常容易，而上层的业务安全策略、安全资源池管理都可以不同改动就直接使用。从用 户的角度看，跨平台迁移时，业务安全策略保持不变，可以大大地降低迁移以及运维的成本；

3、兼 容性：采用安全资源池管理，不仅兼容各个厂家的硬件安全设备，而且可以兼容未来的安全软件模式，延长了用户现有的安全设备使用寿命，保护了用户原有的投 资。由于安全资源管理池化，可以随着用户业务对安全资源的需求增加，而逐步升级安全资源的处理能力，避免一次性建设的大幅投资；

4、不挤占业务资源：安全资源单独管理，不与业务VM在同一个服务器资源池，不影响业务系统自己的日常调度与迁移策略，管理简单化，IT资源条块分割化明显，易管理，好好维护；安全与业务分离还有一个明确优点，就是攻击者攻击安全设备的机会降低，若安全措施自身瘫痪，无疑是灾难性的；

5、网络平滑升级：方案支持SDN、MPLS多种协议，流量引导方式多样化，大大降低了对网络平台的要求，让用户网络规划避免受到安全管理的“绑架”，延长设备寿命周期，降低整体运营成本。