云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)研討論文
摘要:隨著虛擬化技術(shù)的快速發(fā)展,近年來互聯(lián)網(wǎng)領(lǐng)域?qū)崿F(xiàn)了較為長足的進(jìn)步,云數(shù)據(jù)中心的廣泛建設(shè)便屬于這種進(jìn)步的直觀體現(xiàn),這也使得近年來我國圍繞云數(shù)據(jù)中心開展的研究大量涌現(xiàn)。基于此,本文簡單分析了云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求、云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)思路,并詳細(xì)論述了云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用實(shí)例,希望由此能夠?yàn)橄嚓P(guān)業(yè)內(nèi)人士帶來一定啟發(fā)。
關(guān)鍵詞:云數(shù)據(jù)中心;網(wǎng)絡(luò)安全服務(wù);分布式網(wǎng)絡(luò)架構(gòu);虛擬化技術(shù)
0前言
云數(shù)據(jù)中心(SDDC)的實(shí)現(xiàn)離不開成熟的虛擬化技術(shù)支持,云數(shù)據(jù)中心物理資源抽象化、資源池化的實(shí)現(xiàn)也得益于計算虛擬化、網(wǎng)絡(luò)虛擬化、存儲虛擬化,云數(shù)據(jù)中心服務(wù)因此具備彈性、敏捷性以及高效性優(yōu)勢。而為了最大發(fā)揮這種優(yōu)勢、推動我國云數(shù)據(jù)中心實(shí)現(xiàn)進(jìn)一步發(fā)展,正是本文圍繞云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)開展具體研究的原因所在。
1云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求分析
云數(shù)據(jù)中心具備的彈性、敏捷性以及高效性優(yōu)勢使得其對網(wǎng)絡(luò)安全存在較高需求,這就使得云數(shù)據(jù)中心的安全服務(wù)必須統(tǒng)一到管理平臺上,因此其網(wǎng)絡(luò)安全服務(wù)需求可以概括為以下兩個方面。
1.1特性需求
由于安全服務(wù)必須統(tǒng)一到云數(shù)據(jù)中心管理平臺上,這就使得云數(shù)據(jù)中心的彈性、敏捷性以及高效性將對安全服務(wù)提出一定需求,這種需求的具體表現(xiàn)如下所示:
(1)敏捷性。安全服務(wù)需要靈活部署于云數(shù)據(jù)中心,整個數(shù)據(jù)中心、具體業(yè)務(wù)應(yīng)用均需要納入安全服務(wù)保障,且安全服務(wù)需保證自身啟停不對中心日常業(yè)務(wù)運(yùn)行造成影響,因此敏捷性需求必須得到關(guān)注。
(2)彈性。安全服務(wù)需具備動態(tài)調(diào)整能力以滿足業(yè)務(wù)變化需要,這一動態(tài)調(diào)整應(yīng)脫離管理員干涉、基于具體服務(wù)規(guī)則開展。
(3)高效性。需保證安全服務(wù)可由所有用戶分享,以此實(shí)現(xiàn)統(tǒng)一管理、資源高效利用[1]。
1.2具體需求
除特性需求外,云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)的具體需求也應(yīng)得到關(guān)注,這類需求的主要內(nèi)容如下所示:
(1)業(yè)務(wù)跟隨。需保證安全服務(wù)隨用戶虛擬機(jī)遷移而遷移,以此實(shí)現(xiàn)安全防護(hù)、業(yè)務(wù)流量的全過程跟隨。
(2)服務(wù)擴(kuò)展。安全服務(wù)需結(jié)合攻擊演變隨時擴(kuò)展與調(diào)整,能否在現(xiàn)有基礎(chǔ)上更新、擴(kuò)展將直接影響安全服務(wù)效用發(fā)揮。
(3)支持多類型數(shù)據(jù)中心。安全服務(wù)需滿足不同云數(shù)據(jù)中心需要,這使得其需要獨(dú)立于管理平臺,必要時舍棄Hypervisor技術(shù)支持,不同云數(shù)據(jù)中的相同安全保障將由此實(shí)現(xiàn)。
2云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)思路
簡單了解云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)需求后,本文提出了分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)思路,而結(jié)合該思路明確的云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)具體組成同樣具備較高參考意義。
2.1基本思路
部署于用戶虛擬網(wǎng)絡(luò)的邊界、在所有需要安全服務(wù)的物理機(jī)上啟動虛擬化安全設(shè)備屬于現(xiàn)階段存在的兩種虛擬化安全設(shè)備網(wǎng)絡(luò)部署方式,前者本質(zhì)上屬于個體物理安全設(shè)備的虛擬化,后者則屬于多臺設(shè)備管理器與網(wǎng)絡(luò)設(shè)備的虛擬化,但考慮到兩種方式均無法較好滿足云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)需要,因此本文提出了一種分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)思路。該架構(gòu)主要由數(shù)據(jù)中心管理平臺、安全服務(wù)控制平面、安全服務(wù)平面、物理服務(wù)器集群組成,由此即可實(shí)現(xiàn)流量可視化、微隔離、安全服務(wù)、支持業(yè)務(wù)遷移、全網(wǎng)行為分析等安全服務(wù)[2]。云數(shù)據(jù)中心分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)的具體組成如下所示:
(1)安全服務(wù)控制平面。主要由NBI、生命周期管理、用戶資產(chǎn)輪詢、安全管理界面、安全策略管理、日志監(jiān)控、擴(kuò)展服務(wù)管理組成,其中NBI負(fù)責(zé)對外提供北向接口,而通過這些功能即可實(shí)現(xiàn)實(shí)時的用戶資產(chǎn)配置獲取,管理員也能夠由此開展高質(zhì)量的安全服務(wù)管理。
(2)安全服務(wù)平面。主要由安全服務(wù)虛機(jī)、擴(kuò)展服務(wù)虛機(jī)、虛擬機(jī)、虛擬網(wǎng)絡(luò)、Hypervisor組成,虛擬機(jī)在其中負(fù)責(zé)集成復(fù)雜功能、擴(kuò)展服務(wù)模塊以形成服務(wù)鏈,而Hypervisor則能夠?yàn)槿⻊?wù)虛擬機(jī)的運(yùn)行提供支持。
2.2具體組成
結(jié)合更深入分析,確定了由引流平面和安全服務(wù)平面分離組成并運(yùn)行于虛擬機(jī)的控制平面(支持高可用性)、采用分布式部署并運(yùn)行在虛擬機(jī)上的安全服務(wù)平面、應(yīng)用SDN引流和虛擬交換機(jī)的引流平面,而服務(wù)模塊的'擴(kuò)展則通過啟動虛擬機(jī)實(shí)現(xiàn),這一云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)思路不僅滿足了上文提及的全部需求,安全服務(wù)更被賦予了統(tǒng)一管理和開放接口特性。流量可視化、微隔離、安全服務(wù)、支持業(yè)務(wù)遷移、全網(wǎng)行為分析屬于該架構(gòu)具備的主要服務(wù)能力,如安全服務(wù)能夠提供L2到L7的安全服務(wù),防火墻、應(yīng)用識別、攻擊防護(hù)、URL過濾等均屬于安全服務(wù)的具體組成,可見該架構(gòu)的完善性[3]。
3云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用實(shí)例
為提升研究實(shí)踐價值,本文圍繞上述云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)在不同類型云數(shù)據(jù)中心的應(yīng)用進(jìn)行了詳細(xì)論述,該架構(gòu)在不同云數(shù)據(jù)中心基于不同安全需求開展的靈活適配具備較高借鑒價值。
3.1VMware數(shù)據(jù)中心
在VMware數(shù)據(jù)中心的網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用中,該架構(gòu)實(shí)現(xiàn)了與vCenter的協(xié)調(diào)管理,vCenter、安全服務(wù)控制平面、物理服務(wù)器集群、安全服務(wù)平面屬于架構(gòu)的具體應(yīng)用,而在VSS/VDS(虛擬交換機(jī))的引流支持下,該網(wǎng)絡(luò)安全服務(wù)架構(gòu)可支持ESXiHypervisor,L2至L7的安全服務(wù)也將由此實(shí)現(xiàn)。結(jié)合VMware數(shù)據(jù)中心特點(diǎn),網(wǎng)絡(luò)安全服務(wù)架構(gòu)特別準(zhǔn)備了擴(kuò)展日志分析模塊,該模塊主要負(fù)責(zé)流量日志的分析處理,而分析處理的結(jié)果將自動送至數(shù)據(jù)中心日志服務(wù)器。
3.2OpenStack數(shù)據(jù)中心
對于應(yīng)用網(wǎng)絡(luò)安全服務(wù)架構(gòu)的OpenStack數(shù)據(jù)中心來說,OpenStack、安全服務(wù)控制平面、安全服務(wù)平面、物理服務(wù)器集群屬于該架構(gòu)的主要構(gòu)成,其中OpenStack主要由FWaaSplugin、Neutron、Cinder、Nova組成,由此即可實(shí)現(xiàn)用戶網(wǎng)絡(luò)信息的獲取和生命周期管理。在OpenStack數(shù)據(jù)中心的網(wǎng)絡(luò)安全服務(wù)架構(gòu)應(yīng)用中,使用OpenSwitch引流、支持KVMhypervisor屬于該部署的主要特點(diǎn),由此實(shí)現(xiàn)的多租戶場景支持、在線部署、L2至L7安全服務(wù)提供也應(yīng)得到關(guān)注。
3.3自主開發(fā)云平臺
自主云平臺開發(fā)同樣屬于本文研究分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)的典型應(yīng)用,自主開發(fā)管理平臺、安全服務(wù)控制平面、SDN控制器、物理服務(wù)器集群、安全服務(wù)平面屬于該應(yīng)用的具體組成,而在管理API支持下,該架構(gòu)可實(shí)現(xiàn)用戶和網(wǎng)絡(luò)信息的獲取、高水平生命周期管理。通過調(diào)用SDN控制器QPI實(shí)現(xiàn)鏡像引流、支持ZENhypervisor與KVM,則使得整個架構(gòu)能夠在檢測到虛擬機(jī)攻擊行為后在最短時間內(nèi)實(shí)現(xiàn)虛擬機(jī)隔離,整個平臺的安全性能自然將由此實(shí)現(xiàn)大幅提升。
4結(jié)論
綜上所述,本文研究的云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)具備較高推廣潛力,而在此基礎(chǔ)上,文中涉及的分布式網(wǎng)絡(luò)安全虛擬化架構(gòu)在VMware數(shù)據(jù)中心、OpenStack數(shù)據(jù)中心、自主開發(fā)云平臺中的實(shí)際應(yīng)用,則證明了設(shè)計思想的可行性。因此本文建議相關(guān)業(yè)內(nèi)人士關(guān)注本文滲透的設(shè)計思想,并由此推動我國云數(shù)據(jù)中心的更好發(fā)展。
參考文獻(xiàn):
[1]張小梅,馬錚,朱安南等.云數(shù)據(jù)中心安全防護(hù)解決方案[J].郵電設(shè)計技術(shù),2016.
[2]姚帥,陸蓓.基于SDN技術(shù)的云數(shù)據(jù)中心演進(jìn)方案研究及試點(diǎn)[J].電信技術(shù),2015.
[3]張旭輝.運(yùn)營商云數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)研究綜述[J].中國新通信,2015.
【云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)架構(gòu)研討論文】相關(guān)文章:
基于智能體服務(wù)的云計算架構(gòu)研究與分析的論文11-02
基于智能體服務(wù)的云計算架構(gòu)研究分析論文11-03
淺析基于云存儲的數(shù)字校園存儲架構(gòu)論文05-28
高清播出系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計研究論文10-22
云計算環(huán)境下軟件開發(fā)架構(gòu)應(yīng)用與設(shè)計論文11-17
基于云計算的船舶裝備維修保障數(shù)據(jù)中心設(shè)計論文11-14