谭治国
深圳市智慧通信有限公司
摘要:随着计算机网络科技的发展,云数据中心取得了广泛的推广和应用,这与它独有的敏捷性、弹性和高效性具有密不可分的关系。但是在发展过程中云数据中心同时也面临着更大的安全挑战。要想保证云数据中心网络安全,就要在原有服务框架的基础上不断进行改革和创新。
关键词:云数据中心;网络安全;服务框架;研究;实践
1.云数据中心网络安全服务
计算机网络技术实现了计算、存储和网络等虚拟化,这一虚拟化的过程需要通过云数据中心才能发挥作用,而数据中心的演进过程必须要统一到管理平台上才能提高运用效率。同样来说,安全服务也要通过统一管理的平台才能更好地与数据中心进行融合。
1.1云数据中心网络安全服务
1.1.1物业相随
很多用户在使用云数据的时候需要用业务虚拟机进行数据中心的业务迁移,与此同时,相对应的安全服务也会自动实现与业务进行同步迁移,以保证业务流量和安全防护能够同步不发生中断。
1.1.2服务拓展
在云数据中心中,安全防范技术需要随着网络安全威胁的变化进行随时的调整和拓展才能保证防范技术水平,同样来说,安全服务也需要在保证现有服务的基础上进行更新和拓展才能保证服务的连续性。
1.1.3多类型数据中心的应用
用户在使用云数据的时候通常不会局限在某一个数据中心而是多种类型数据中心的同时使用。安全服务能够保持独立性,通过在不同平台上进行部署实现多种类新不同数据中心的应用,为不同类型的数据中心同时提供安全保障。
2.现有的云数据中心网络安全服务架构
目前来说,云数据中心网络安全服务构架可以分为两类:虚拟化安全设备和软件定义安全。其中虚拟化安全设备是最常用到的安全服务方式。
虚拟化安全设备是通过将现有的安全产品进行虚拟,将运行在物理机上的软件转移到虚拟机上,实现网络安全的保障。虚拟化安全设备的网络部署方式有两种,第一种是部署于用户虚拟网络的边界,通过与物理网络相同的组网方式来虚拟化安全设备保护经由网络边界的流量,进而实现对每个用户的虚拟化安全设备进行单独的管理。从本质上来说,虚拟网络的边界是通过将物理安全设备进行虚拟化的方式来实现网络部署的。第二种部署方式是在所有所有需要安全服务的物理机上都启动一个虚拟化的安全设备,并通过安装多设备的管理器为多个虚拟安全进行安全策略的发放。这种部署方式的本质是将多台网络设备和多设备管理器都进行虚拟化的方式来实现网络部署。
虚拟化安全设备能够满足数据中心网络安全的敏捷性、灵活性和多类型数据中心同时应用的需求,但是效率有所不足,同时业务跟随功能和服务拓展功能也有所欠缺。具体来说,虚拟化安全设备只能对单一的用户提供安全服务,而且对于有高度动态需求的用户,会出现资源配置的相关问题。在对用户的数据进行从物理机到虚拟机的转移时,原有设备上的服务状态无法实现同步转移,这会导致用户在使用的过程中出现业务中断的情况。除此之外,由于虚拟化安全设备是对物理设备直接进行虚拟化,自身是一个封闭的系统,因此无法实现进一步的拓展。
3.云数据中心网络安全服务架构的研究
安全服务的设计方向包括控制平面与数据平面的分离、实施虚拟化的架构和提供灵活性、高效性、适应性的服务这三个方面。但是再投入使用之后中却发现,目前很多数据中心并未实现软件定义安全的部署,因此这一解决方案具有一定的局限性。
基于上述的情况,本文提出了开放式分布式的网络安全服务架构,能够通过引流实现虚拟交换机和软件定义安全的部署。这种网络安全服务架构包括数据中心管理平台、Hypervisor (运行在物理服务器和操作系统之间的中间软件层)和虚拟网络。
期刊文章分类查询,尽在期刊图书馆特点是在使用软件定义安全服务架构的时候,软件定义安全控制器可以作为数据中心管理的一部分进行使用。而用户虚拟机则位于Hypervisor之上连接到虚拟网络。网络安全服务就可以在数据中心对安全服务控制平面、引流平面和服务平面进行部署。除此之外,控制平面与数据中心管理平台可以通过信息的结合实现配置服务平面的功能。与传统不同的是,而安全架构的引流平面并不直接引入新的模板,而是使用数据中心对现有的网络单元虚拟,通过调用虚拟交换机来对引流进行配置。安全服务平面的安全模板因为是分布于不同的多个物理机上,可以接受平面的控制和配置。在一定的条件下,模板之间还可以进行相互的通信。以下是对这一开放式分布式的网络安全服务架构进行的详细研究。
3.1安全服务控制平台
控制平面主要是负责服务平面的业务编排、引流的决策及下发、服务平面的生命周期管理等。数据中心管理平台上可以根据不同的用户需求灵活地对安全服务进行配置。生命周期管理模块可以控制服务模块的启动。安全服务则可以实现从数据中心实时获取用户的信息并对信息进行配置。这样一来,控制平面可以实现多台设备的同时部署。同时,安全服务的管理也更加智能化,管理者直接通过界面操作就能进行管理工作。
3.2安全服务平面
安全服务平面有各种服务模板组合而成,物理机与安全服务模板可以是一对一也可以是一对多。为了实现更加复杂的功能,本安全服务架构通过虚拟机来实现服务模块,并通过网络对更多的服务模块进行拓展形成服务链。
3.3引流技术
运行于Hypervisor内部的安全服务模块引流可以直接由 Hypervisor来完成,而运行与虚拟机上的安全模块则需要外部的引流机制来实现从用户虚拟机到服务模板之间的引流工作。
3.4拓展服务
安全服务只有及时更新和拓展才能适应网络环境的多变性。以虚拟机模式实现的安全服务对于服务更加和拓展更加适应,这可以通过对现有的功能进行更新、识别库下载和虚拟机镜像升级来实现。
4.云数据中心网络安全服务架构的实践
目前,这种安全架构已经被运用到各种类型的数据中心。主要有以下三种应用。第一种是VMware数据中心,部署于 VMware 数据中心。通过与 vCenter 协调管理实现 ESXi Hypervisor的应用和虚拟交换机进行引流、在线部署。 第二种是OpenStack数据中心。 部 署 于 OpenStack 数 据 中 心。 通 过OpenStack 服务获取用户网络信息和进行生命周期管理实现 KVM hypervisor的应用、OVS引流、在线部署和多租户场景。 第三种是自主开发云平台,部署于云平台服务商自主开发的数据中心平台。通过调用平台的管理 API 获取用户和网络信息和生命周期管理实现 KVM 和 ZEN hypervisor的应用、 镜像引流、旁路部署。
结语
综上所述,本文通过分析云数据中心网络安全服务的需求和现有的安全服务的具体要求,然后在现有的网络安全服务架构的基础上探求了安全服务的新架构,展示出了新架构的优势,并在实践中验证了设计思想。希望对云数据中心网络安全服务架构的研究与实践提供参考和借鉴。
参考文献
[1]张小梅,马铮,朱安南,姜楠. 云数据中心安全防护解决方案[J]. 邮电设计技术,2016(01):50-54.
[2]敖勇. 私有云数据中心网络及安全设计[J]. 信息安全与通信保密,2014(07):87-89+93.
[3]刘敏. 云环境下资源调度策略的研究与分析[D].江西理工大学,2017.
[4]姜海. 私有云数据中心网络及安全设计策略浅析[J]. 网络安全技术与应用,2017(12):80+98.
论文作者:谭治国
论文发表刊物:《中国西部科技》2019年第12期
论文发表时间:2019/9/19
标签:数据中心论文; 网络安全论文; 架构论文; 平面论文; 网络论文; 用户论文; 安全设备论文; 《中国西部科技》2019年第12期论文;