李勇衛：雲計算網路安全的現狀

7月4日消息，2012年中國電腦網路安全年會今日在西安舉行，思科雲計算架構安全高級顧問工程師李勇衛發表了題目為「雲計算網路安全」的演講。

思科雲計算架構安全高級顧問工程師李勇衛

以下為演講實錄：

大家好，我彙報的題目是「雲計算網路安全」。

今天主要講的內容有三個部分，一是雲資料中心安全戰略；二是雲中心安全架構；三是雲中心安全虛擬服務點。

首先給大家介紹一下雲資料中心網路安全的概念。 雲資料中心第一個特點是資源集中，我們在雲資料中心裡面除了IT資源、網路資源。 現在的資料中心，基本上一個地方幾萬台伺服器，雲資料中心交換量很大。 當我們資源集中以後，我們使用資源，我們希望有一個統一的控制平臺，使用者可以通過這個控制平臺，通過互動式工具來獲取相應的資源。 在我們資源集中以後，如果想使用這個資料的話，彈性的去獲取，或者是撤銷任務。

　　從傳統資料中心到語音化資料中心的嚴謹。 傳統的資料中心是什麼樣子，一個資料中心首先有資料中心外部，資料中心內部。 進入到資料中心內部以後，我們這個資料中心的內部通常有一個交換的網路作為核心。 進到業務區域內部以後，業務區域內部分為核心彙聚，最後接入伺服器，傳統的伺服器一台是一台，這是傳統資料中心的一個架構。 隨著伺服器虛擬化，我們說傳統伺服器為什麼會變成虛擬化的服務中心？ 主要驅動力來自于伺服器的虛擬化。 這種情況下，我們為了資源合理去利用，假如我們把一個伺服器固定在一個固定的位置上，我們希望虛擬機器可以按照我們的需要，在資源普及的環境下，可以自由的去劃分，這樣的話原來那個模型就不太適合這個架構， 從這個角度來說你的虛擬化的服務中心，不光是伺服器的虛擬化，網路也需要虛擬化。 我們把多個虛擬化進行集中，然後把業務分給不同的租戶來使用，這樣就提到了我們剛才說的語音化資料中心。 我們思科針對雲資料中心，我們提供了我們專有的產品，從交換器，我們提供了我們專門的資料中心7K、5K、3K、2K。 我們在做雲資料中心的時候，我們的資源集中化，按照傳統網路，我怎麼能讓我這個伺服器接一個平面化的網路，我需要資源的時候我可以動態的去劃分。 網路是一個大平面，在這個平面裡面只有一個交換器，具體你要使用的話，任何一個伺服器上的虛擬機器，它和其他的是完全對等的，你所想要的業務會非常方便，這是網路對虛擬化的挑戰，而思科是這麼應對的。 同時我們還做了1000K的網路交換器。 另外，我們專門針對資料中心做了安全防火牆，這個防火牆可以做虛擬化，可以把多個防火牆做成一個防火牆，我們可以把我們的安全資源集中化以後，虛擬成一個資源。 除了資料中心的防火牆，我們還有ASA的防火牆卡。

　　安全架構要求。 我們有五個層面，邏輯隔離，這種情況下，我們在做雲資料中心網路安全第一步就是安全隔離。 第二是策略一致性，我們可以做到各個層面的安全防護。 第三，在我使用語言資料中心的時候，我希望正確的人在正確的時間，從資料中心內部或者外部掃描資源，這是基本的要求，我們需要通過認證和授權。 語言資料中心最大的優點就是擴展和性能，我們是不是能夠滿足性能的不斷提升的要求。 當我們加入這樣一個網路安全服務的時候，是不是非常麻煩，還是我統一有一個平面，在這個平面上去做控制。 虛擬化資料中心安全控制框架，我們把所有安全的服務放到一個服務池裡面。 在服務層面，一個資料中心內部到外部的一個保護，還有就是租戶之間，業務之間的安全防護。

雲中心隔離模型。 中小型租戶：1、每個租戶一個VLAN/一個VRF。 2、VLAN映射到VRF。 3、不進行業務/服務層區分。 4、獨立VDC專供此使用者類型接入。 大企業租戶/私有業務：1、租戶利用Global VRF區分。 2、每個租戶多個Intemal VRF。 3、Intemal VRF區分不同部門或者應用。 雲中心業務保護模式。 如果受到保護，流量經過防火牆否則直接流向無保護的區域Zone。 業務末新按照應用特點來考慮服務集成，安全要求應用—FW Only/FW+IPS—保護模式，性能要求應用—高吞吐。 這是混合雲安全架構模型，我們堅持兩層安全架構，這裡面的安全服務就是虛擬資料中心的安全架構中心裡的服務層面概念。 如果僅僅是防火牆，對於中小租戶的話，可能作為共用。 雲中心防火牆的特點，多虛，技術。 需求特點：多虛一，動態擴展防火牆處理能力，性能按需擴展。 保護投資。 防火牆集群：高擴充性，單點管理，群內所有防火牆全部Aclive，有群內負責均衡能力，群內防火牆失敗，全群火牆説明恢復繪畫，保證防火牆群內無單點失敗。 雲中心防火牆的特點，虛多技術。 需求特點：一虛多，虛擬出多個防火牆，租戶邏輯隔離，資源限定防治租戶串擾，減少投資。 防火牆虛擬化，虛牆獨立管理/獨立日誌，虛牆獨立路由層面，虛牆獨立安全性原則/NAT策略/應用層策略。 防火牆資源限定，徹底保護租戶不互相串擾。 在雲資料中心當我們把網路隔離好的話，在雲資料中心安全接入。 一虛多技術，VLAN鏡像技術特點：1、租戶內內部位址規劃獨立。 2、租戶VPN會話與VLAN綁定。 3、所有租戶單公網IP接入。 4、每租戶有獨立的定制介面。 5、每租戶有獨立的認證伺服器組。

雲中心安全虛擬服務電。 伺服器虛擬化潛在問題，1、vMotion在不物理埠遷移虛擬機器一網路原則必須跟隨vMotion。 2、必須察看和應用本地交換的網路和安全性原則。 虛擬化和雲需求推動資料中心需求，傳統資料中心：服務于特有應用。 組成：專用設備，交換模組。 虛擬資料中心：虛擬裝置，動態實施配置，服務隊VM移動透明，可擴展，適合大規模多租戶操作。 設備虛擬化，資源限定，可擴展，性能可靠，適合特定租戶操作。 這是我們思科的Nexus1000V軟體交換器，每個VEM支援200+vEth ports（虛擬網口）。

我就介紹這麼多，謝謝大家。

(責任編輯：技術)