云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)研討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)研討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著虛擬化技術的快速發(fā)展，近年來互聯(lián)網(wǎng)領域?qū)崿F(xiàn)了較為長足的進步，云數(shù)據(jù)中心的廣泛建設便屬于這種進步的直觀體現(xiàn)，這也使得近年來我國圍繞云數(shù)據(jù)中心開展的研究大量涌現(xiàn)。基于此，本文簡單分析了云數(shù)據(jù)中心網(wǎng)絡安全服務需求、云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)思路，并詳細論述了云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)應用實例，希望由此能夠為相關業(yè)內(nèi)人士帶來一定啟發(fā)。

關鍵詞：云數(shù)據(jù)中心；網(wǎng)絡安全服務；分布式網(wǎng)絡架構(gòu)；虛擬化技術

0前言

云數(shù)據(jù)中心（SDDC）的實現(xiàn)離不開成熟的虛擬化技術支持，云數(shù)據(jù)中心物理資源抽象化、資源池化的實現(xiàn)也得益于計算虛擬化、網(wǎng)絡虛擬化、存儲虛擬化，云數(shù)據(jù)中心服務因此具備彈性、敏捷性以及高效性優(yōu)勢。而為了最大發(fā)揮這種優(yōu)勢、推動我國云數(shù)據(jù)中心實現(xiàn)進一步發(fā)展，正是本文圍繞云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)開展具體研究的原因所在。

1云數(shù)據(jù)中心網(wǎng)絡安全服務需求分析

云數(shù)據(jù)中心具備的彈性、敏捷性以及高效性優(yōu)勢使得其對網(wǎng)絡安全存在較高需求，這就使得云數(shù)據(jù)中心的安全服務必須統(tǒng)一到管理平臺上，因此其網(wǎng)絡安全服務需求可以概括為以下兩個方面。

1.1特性需求

由于安全服務必須統(tǒng)一到云數(shù)據(jù)中心管理平臺上，這就使得云數(shù)據(jù)中心的彈性、敏捷性以及高效性將對安全服務提出一定需求，這種需求的具體表現(xiàn)如下所示：（1）敏捷性。安全服務需要靈活部署于云數(shù)據(jù)中心，整個數(shù)據(jù)中心、具體業(yè)務應用均需要納入安全服務保障，且安全服務需保證自身啟停不對中心日常業(yè)務運行造成影響，因此敏捷性需求必須得到關注。（2）彈性。安全服務需具備動態(tài)調(diào)整能力以滿足業(yè)務變化需要，這一動態(tài)調(diào)整應脫離管理員干涉、基于具體服務規(guī)則開展。（3）高效性。需保證安全服務可由所有用戶分享，以此實現(xiàn)統(tǒng)一管理、資源高效利用[1]。

1.2具體需求

除特性需求外，云數(shù)據(jù)中心網(wǎng)絡安全服務的具體需求也應得到關注，這類需求的主要內(nèi)容如下所示：（1）業(yè)務跟隨。需保證安全服務隨用戶虛擬機遷移而遷移，以此實現(xiàn)安全防護、業(yè)務流量的全過程跟隨。（2）服務擴展。安全服務需結(jié)合攻擊演變隨時擴展與調(diào)整，能否在現(xiàn)有基礎上更新、擴展將直接影響安全服務效用發(fā)揮。（3）支持多類型數(shù)據(jù)中心。安全服務需滿足不同云數(shù)據(jù)中心需要，這使得其需要獨立于管理平臺，必要時舍棄Hypervisor技術支持，不同云數(shù)據(jù)中的相同安全保障將由此實現(xiàn)。

2云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)思路

簡單了解云數(shù)據(jù)中心網(wǎng)絡安全服務需求后，本文提出了分布式網(wǎng)絡安全虛擬化架構(gòu)思路，而結(jié)合該思路明確的云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)具體組成同樣具備較高參考意義。

2.1基本思路

部署于用戶虛擬網(wǎng)絡的邊界、在所有需要安全服務的物理機上啟動虛擬化安全設備屬于現(xiàn)階段存在的兩種虛擬化安全設備網(wǎng)絡部署方式，前者本質(zhì)上屬于個體物理安全設備的虛擬化，后者則屬于多臺設備管理器與網(wǎng)絡設備的虛擬化，但考慮到兩種方式均無法較好滿足云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)需要，因此本文提出了一種分布式網(wǎng)絡安全虛擬化架構(gòu)思路。該架構(gòu)主要由數(shù)據(jù)中心管理平臺、安全服務控制平面、安全服務平面、物理服務器集群組成，由此即可實現(xiàn)流量可視化、微隔離、安全服務、支持業(yè)務遷移、全網(wǎng)行為分析等安全服務[2]。云數(shù)據(jù)中心分布式網(wǎng)絡安全虛擬化架構(gòu)的具體組成如下所示：（1）安全服務控制平面。主要由NBI、生命周期管理、用戶資產(chǎn)輪詢、安全管理界面、安全策略管理、日志監(jiān)控、擴展服務管理組成，其中NBI負責對外提供北向接口，而通過這些功能即可實現(xiàn)實時的用戶資產(chǎn)配置獲取，管理員也能夠由此開展高質(zhì)量的安全服務管理。（2）安全服務平面。主要由安全服務虛機、擴展服務虛機、虛擬機、虛擬網(wǎng)絡、Hypervisor組成，虛擬機在其中負責集成復雜功能、擴展服務模塊以形成服務鏈，而Hypervisor則能夠為全服務虛擬機的運行提供支持。

2.2具體組成

結(jié)合更深入分析，確定了由引流平面和安全服務平面分離組成并運行于虛擬機的控制平面（支持高可用性）、采用分布式部署并運行在虛擬機上的安全服務平面、應用SDN引流和虛擬交換機的引流平面，而服務模塊的擴展則通過啟動虛擬機實現(xiàn)，這一云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)思路不僅滿足了上文提及的全部需求，安全服務更被賦予了統(tǒng)一管理和開放接口特性。流量可視化、微隔離、安全服務、支持業(yè)務遷移、全網(wǎng)行為分析屬于該架構(gòu)具備的主要服務能力，如安全服務能夠提供L2到L7的安全服務，防火墻、應用識別、攻擊防護、URL過濾等均屬于安全服務的具體組成，可見該架構(gòu)的完善性[3]。

3云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)應用實例

為提升研究實踐價值，本文圍繞上述云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)在不同類型云數(shù)據(jù)中心的應用進行了詳細論述，該架構(gòu)在不同云數(shù)據(jù)中心基于不同安全需求開展的靈活適配具備較高借鑒價值。

3.1VMware數(shù)據(jù)中心

在VMware數(shù)據(jù)中心的網(wǎng)絡安全服務架構(gòu)應用中，該架構(gòu)實現(xiàn)了與vCenter的協(xié)調(diào)管理，vCenter、安全服務控制平面、物理服務器集群、安全服務平面屬于架構(gòu)的具體應用，而在VSS/VDS（虛擬交換機）的引流支持下，該網(wǎng)絡安全服務架構(gòu)可支持ESXiHypervisor，L2至L7的安全服務也將由此實現(xiàn)。結(jié)合VMware數(shù)據(jù)中心特點，網(wǎng)絡安全服務架構(gòu)特別準備了擴展日志分析模塊，該模塊主要負責流量日志的分析處理，而分析處理的結(jié)果將自動送至數(shù)據(jù)中心日志服務器。

3.2OpenStack數(shù)據(jù)中心

對于應用網(wǎng)絡安全服務架構(gòu)的OpenStack數(shù)據(jù)中心來說，OpenStack、安全服務控制平面、安全服務平面、物理服務器集群屬于該架構(gòu)的主要構(gòu)成，其中OpenStack主要由FWaaSplugin、Neutron、Cinder、Nova組成，由此即可實現(xiàn)用戶網(wǎng)絡信息的獲取和生命周期管理。在OpenStack數(shù)據(jù)中心的網(wǎng)絡安全服務架構(gòu)應用中，使用OpenSwitch引流、支持KVMhypervisor屬于該部署的主要特點，由此實現(xiàn)的多租戶場景支持、在線部署、L2至L7安全服務提供也應得到關注。

3.3自主開發(fā)云平臺

自主云平臺開發(fā)同樣屬于本文研究分布式網(wǎng)絡安全虛擬化架構(gòu)的典型應用，自主開發(fā)管理平臺、安全服務控制平面、SDN控制器、物理服務器集群、安全服務平面屬于該應用的具體組成，而在管理API支持下，該架構(gòu)可實現(xiàn)用戶和網(wǎng)絡信息的獲取、高水平生命周期管理。通過調(diào)用SDN控制器QPI實現(xiàn)鏡像引流、支持ZENhypervisor與KVM，則使得整個架構(gòu)能夠在檢測到虛擬機攻擊行為后在最短時間內(nèi)實現(xiàn)虛擬機隔離，整個平臺的安全性能自然將由此實現(xiàn)大幅提升。

4結(jié)論

綜上所述，本文研究的云數(shù)據(jù)中心網(wǎng)絡安全服務架構(gòu)具備較高推廣潛力，而在此基礎上，文中涉及的分布式網(wǎng)絡安全虛擬化架構(gòu)在VMware數(shù)據(jù)中心、OpenStack數(shù)據(jù)中心、自主開發(fā)云平臺中的實際應用，則證明了設計思想的可行性。因此本文建議相關業(yè)內(nèi)人士關注本文滲透的設計思想，并由此推動我國云數(shù)據(jù)中心的更好發(fā)展。

參考文獻：

[1]張小梅,馬錚,朱安南等.云數(shù)據(jù)中心安全防護解決方案[J].郵電設計技術，2016.

[2]姚帥,陸蓓.基于SDN技術的云數(shù)據(jù)中心演進方案研究及試點[J].電信技術，2015.

[3]張旭輝.運營商云數(shù)據(jù)中心網(wǎng)絡安全技術研究綜述[J].中國新通信，2015.

作者:陳鵬州 單位:中電科海洋信息技術研究院有限公司