云数据中心网络安全业务需求
云数据中心安全现状
- 云平台安全威胁逐年加剧。
- 云数据中心威胁主要来自于黑客攻击、恶意用户和用户误操作。
- 主要威胁有特权滥用、DDoS攻击、数据泄露和误操作等。
云数据中心网络概述
数据中心(Data Center):是一整套包括建筑在内复杂的设施。它不仅包括计算机系统和其它与之配套的设备(例如通信和存储系统),还包含冗余的数据通信连接、环境控制设备、监控设备以及各种安全装置。
数据中心的使用分层架构。一般L1特指云数据中心基础设施,L2指云数据中心的ICT设备。
云计算的四类部署模式
私有云(Private Cloud)
— 企业利用自有或租用的基础设施资源自建的云
私有云是为某个特定用户 / 机构建立的,只能实现小范围内的资源优化,因此并不完全符合云的本质 -- 社会分工。托管型私有云在一定程度上实现了社会分工,但是仍无法解决大规模范围内物理资源利用效率的问题。
社区云/行业云(Community cloud)
— 为特定社区或行业所构建的共享基础设施的云
社区云是介于公有、私有之间的一个形式,每个客户自身都不大,但自身又处于敏感行业,上公有云在政策和管理上都有限制和风险,所以就多家联合做一个云平台。
公有云(Public cloud)
— 出租给公众的大型的基础设施的云
公有云是为大众建的,所有入驻用户都称租户,不仅同时有很多租户,而且一个租户离开,其资源可以马上释放给下一个租户。公有云是最彻底的社会分工,能够在大范围内实现资源优化。
混合云(Hybrid cloud)
— 由两种或两种以上部署模式组成的云
混合云是公有云、私有云、社区云几种的任意混合,这种混合可以是计算的、存储的,也可以两者兼而有之。在公有云尚不完全成熟、而私有云存在运维难、部署实践长、动态扩展难的现阶段,混合云是一种较为理想的平滑过渡方式,短时间内的市场占比将会大幅上升。
云数据中心
业务呈现/协同层
支持对接社区或第三方商业OpenStack云平台+第三方云管理平台。
支持对接华为FusionSphere云平台+华为ManageOne云管理平台。
FabricInsight的采集器将网络中的TCP SYN、FIN、RST报文镜像到分析器进行大数据分析,从而实现基于真实业务流量发现网络异常。
AC北向与OpenStack Neutron对接,完成网络的建模和实例化,自动编排下发网络配置,并负责将流量引流到VAS设备。
SecoManager对接AC,实现VAS服务的编排和策略管理,完成VAS业务的建模、实例化和配置下发。
网络服务层
由物理设备组成的基础物理组网,用以承载VXLAN Overlay网络。
由物理或虚拟设备提供VAS服务。
( Value-added logistics service) 暂时没有统一的定义,但其核心内容是指根据客户需要,为客户提供的超出常规服务范围的服务,或者采用超出常规的服务方法提供的服务。 1994 我国物流协会对增值物流的定义为“在完成物流基本功能基础上,根据 客户需求 提供的各种延伸业务活动”
计算接入层
支持虚拟化服务器和物理服务器的接入,并支持裸金属服务器的自动化发放。
由vSwitch实现VM接入的网络和策略配置。
云数据中心的服务模式
IaaS(基础架构即服务)
PaaS(平台即服务)
SaaS(软件即服务)
云服务基本概念
VDC:Virtual Data Center,虚拟云数据中心。VDC是一个组织可使用资源的集合,一般包括计算、存储和网络资源。
VPC:Virtual Private Cloud,虚拟私有云。VPC使用VDC中的资源,一个VPC只能属于一个VDC,而一个VDC可包含多个VPC。每个VPC为一个安全域,对应于一个业务/应用/部门。
VDC是VPC的集合
vRouter
vRouter 作为业务子网的网关,用于子网间的三层互通。
一个 VPC 只能有一个 vRouter.
Subnet
Subnet 用于二层广播域的隔离,对应于一个子网网段。
同一 VPC 内不同 Subnet 的三层网关,都在同一个 vRouter 上。
同一 Subnet 内默认互通;不同 Subnet 间默认互通,也可通过配置安全组进行隔离。
vFW
vFW 作为 VPC 的边界,除了可提供外部访问 VPC 内的安全访问控制,还可提供外部访问 VPC 内的接入服务。
可提供的特性有: FW 、 EIP 、 SNAT 、 IPsec VPN 等。
vLB
vLB 用于对外提供内部服务器间的负载均衡能力。
一个 vLB 可以带多个监听器,用户可给不同业务申请不同的监听器。
云数据中心网络安全部署方案
云数据中心网络安全
设备组件
NGFW:提供安全隔离、非法访问防护和访问权限管理等;集成3G/LTE,可以提供主备双链路上行业务承载。
Anti-DDoS:为威胁DCN的DDoS攻击提供检测及流量清洗服务。
SVN:为从非安全区接入DC网络提供安全解决方案;远程分支接入与运维安全通道。
FireHunter:华为沙箱,检测绕过NGFW、IPS和SMG的恶意软件、基于0-Day漏洞的威胁和定向型APT威胁等。
WAF(Web Application Firewall):对静态页面防篡改、阻断SQL注入,XSS攻击。
NIP:对入侵攻击、恶意威胁行为,提供检测及入侵防御能力。
Agile Controller:园区Controller的接入控制组件
UMA(Unified Maintenance and Audit):提供全统一的网络运维、管理及审计能力
LogCenter:整网设备及业务系统信息进行采集、告警呈现
CIS(Cybersecurity Intelligence System):终端异常检测、行为异常检测、流量异常检测、事件异常检测;自定义可疑行为检测;威胁可视化。
华为HiSec@CloudFabric解决方案(该方案满足等保三级要求)
方案总体架构分为三个层次:
业务呈现/协同层:提供安全业务的展现功能,在云网场景下可由云平台直接协同下发安全业务;
FusionSphere:由ManageOne提供统一Portal,租户通过ManageOne Portal订阅、动态打通VAS业务。
第三方Openstack:租户通过第三方Portal或者第三方云平台订阅VAS业务,第三方OpenStack云平台调用Agile Controller-DCN接口动态开通VAS业务。
控制/管理/分析层:承担安全分析以及安全、网络策略下发功能,向上对接云平台、向下纳管安全及网络设备;
Agile Controller:完成网络建模、实例化,自动编排下发网络配置,负责引流至vas。
SecoManager:通过和Agile Controller-DCN融合部署的方式,将界面集成到Agile Controller-DCN中来实现VAS服务的编排和策略管理。
CIS:大数据安全分析系统,动态监测分析APT安全威胁, 实现整网安全态势可视,支持联动网络自动阻断安全威胁。
网络/设备层:cloudfabric的基础架构层,为上层提供大数据安全分析的数据源,并接受上层的统一管理。
由物理和虚拟网络设备组成的承载Overlay网络。
安全设备获取数据流量,基于安全策略执行安全功能;提供硬件和软件两种形态,满足DC边界、租户边界和租户内安全防护需求。
云安全服务
租户流量隔离
当创建一个VPC时,网络设备会相应地创建一个VPN实例用于租户流量隔离。而在防火墙上则表现为创建一个虚拟系统,同时虚拟系统也为VPC提供安全防护能力。
安全组
具有相同的安全策略的一组VM的集合,支持安全组间的访问控制策略和安全组内成员间的互访策略。
安全组与vFW用于东西向流量防护。
每个VM一组ACL,互不影响,VM迁移时安全策略自动刷新。
提供VM粒度的隔离机制,解决VLAN资源不足、配置工作量大的问题。
分布式策略控制,报文无需迂回到集中的策略控制点,避免形成性能瓶颈。
可以和边界防火墙共同部署,构筑立体安全防护能力(南北向流量控制+东西向流量控制)。
SNAT :
支持在云平台上编排 SNAT ,通过 AC-plugin 对接 Agile Controller-DCN 发放 SNAT 服务。
EIP :
支持在云平台上编排 EIP ,通过 AC-plugin 对接 Agile Controller-DCN 发放 EIP 服务。
IPsec VPN :
支持在云平台上编排 IPsecVPN ,通过 AC-plugin 对接 AC 发放 IPsecVPN 服务,包含 IPsec policy 、 IKE policy 、 ipsec-site-connection 等对象。
云数据中心网络安全配置案例
VPC内不同子网互访配置举例
同一VPC内所有虚拟机默认都处于default安全组,不同子网之间可以通信。
- 创建安全组
“控制台 > 网络 > 安全组”,单击“创建”
- 将云主机加入安全组
控制台 > 计算 > 云主机”界面,单击展开云主机详情,点击网卡后符号,在更多中选择加入安全组。
- 退出default安全组
默认有default安全组有4条规则(IPv4和IPv6各两条):
加入“default”安全组的云主机可以访问其他任何子网或安全组中的云主机。
仅加入“default”安全组的云主机不允许其他任何子网或安全组的云主机进行访问。