[云数据中心] 《云数据中心网络架构与技术》读书笔记 第八章 构建云数据中心端到端安全
发布日期:2021-05-28 16:50:39 浏览次数:28 分类:技术文章

本文共 2088 字,大约阅读时间需要 6 分钟。

8.1 云数据中心面临的安全挑战

因为云化和SDN化的网络特点(网元出现的位置随意性更大,出现和消失的时间不定):

首先会导致安全业务开通周期长;
其次SDN的自动化能力是现在安全业务所不能达到的,很多安全业务需要手动配置;
最后,为了应对突发流量,数据中心部署了大量冗余的安全设备,造成资源浪费。
安全边界变得模糊:
基于边界的安全防护无法有效工作
可能会出现数据中心内部虚拟机被劫持后发动的攻击
无法防范APT(高级持续性威胁)
安全管理和安全运维复杂化
无法感知应用
安全策略数量庞大,且执行分区域,无法宏观防护
日志格式不统一,安全威胁调查响应速度慢

8.2 云数据中心的安全架构

8.2.1 安全架构全景

云数据中心对安全的新要求:

  • 对安全隔离提出了更高的要求
  • 云内外访问资源需要更严格的控制访问
  • 更加宏观的安全防护体系
  • 以服务形式交付,满足按需部署和弹性扩缩

在架构中我们着重讲解一下红框中的内容,包括:

虚拟化安全中的安全组( Security Group)
网络安全
高级威胁检测防御
安全管理
在这里插入图片描述

8.2.2 安全组件架构

在这里插入图片描述

应用层
安全应用统一编排,按需动态发放安全服务,安全应用再将该服务发送给控制器,最终由控制器下发给网络设备。
安全应用可以利用遥测数据,结合大数据和人工智能进行高级威胁检测,达到了全网防御和主动防御
控制层
即SDN控制器。可能采用网络控制器和安全控制器分开部署的方式。
网络控制器:除了提供网络业务编排和发放之外,还可以提供微分段和业务链的编排和发放,用户可以利用业务链将流量引导到安全设备,协同安全业务发放
安全控制器:提供IPSec,安全策略,Anti-DDoS,安全内容检测,地址转换等安全业务的编排,同时还可以和网络控制器协同全面感知威胁
转发层
网络设备提供诸如ACL,安全组,微分段等网络安全功能,结合安全设备,两者可以实现数据中心边界安全防护,租户边界和租户内的安全防护

8.3 云数据中心的安全方案价值

1.安全资源池化,配置全面自动化

创建东西向业务的防火墙资源池

创建南北向业务的防火墙资源池
防火墙资源池可以弹性伸缩,高效可靠部署
租户间的安全业务可以相互隔离,并实现自动化配置

2.丰富安全能力,按层次联防

**各类防火墙安全能力:**安全策略,IPSec VPN加密,NAT策略,IPS,AV,URL过滤,DDoS攻防,ASPF(Application Specific Packet Filter,针对应用层的包过滤)

微分段:东西向流量安全管控
业务链:引流到多个安全业务功能节点,并安排引流的先后顺序
虚拟化层面的虚拟机隔离(利用安全组)
网络层面

  • 边界部署专业Anti-DDos,针对应用层
  • 边界部署IPS/IDS,APT攻击检测
  • 多引擎虚拟检测技术,Hypervisor行为捕获。检测位置威胁
  • 利用大数据和AI实现安全威胁的自学习检测

安全检测闭环:网络是安全分析的数据采集器,也是安全策略的执行器。

该闭环实现了全网协防,响应并隔离内部威胁,防止威胁扩散

3.防御智能化,安全可视化,安全运维精简化

智能化

利用人工智能检测威胁,主动防御
可视化
全网安全态势感知:对各种安全信息进行汇总,然后分析决策
攻击路径可视:大数据分析关联威胁信息,便于攻击回溯和调查
统一化,简单化
多厂商统一,多类安全设备统一
传统精细化管理和基于业务场景的安全策略分层管理,拥有统一的入口
安全控制器可进行安全策略调优,简化安全策略运维

8.4 云数据中心的安全方案

具体的技术细节

  • 虚拟化安全
  • 网络安全
  • 高级威胁检测防御
  • 边界安全
  • 安全管理

8.4.1 虚拟化安全

虚拟机之间通过安全组实现安全控制和隔离

1.安全组

实现虚拟机之间的互访控制和隔离,可进行自定义安全隔离

通过对报文五元组的匹配来进行访问控制和隔离
安全规则支持随虚拟机动态迁移
在这里插入图片描述
从上面的模型来看,安全组具有以下几个特点:

  • 安全组是具有相同安全属性的VM/BM的抽象集合,以及它们的安全策略集合
  • 每个安全组都包含出入方向的动作定义,类似于ACL的控制模型
  • 同一个安全组内的成员默认互通
  • 组内成员主动发起的南北向访问,默认允许互通
  • 组外的主动访问需要白名单匹配

2.方案实现

实现分为两种,一种是Network Overlay,另外一种是Hybrid Overlay,

两种组网的含义请参考我的博客:
6.3章节

Network Overlay组网中

  • VM接入场景中,由云平台编排并向OVS发放有状态的IPtable,从而实现安全组
  • BareMetal接入场景中,由云平台编排BM的安全组再通过SDN控制器转换为ACL策略下发到接入交换机上
    在这里插入图片描述

Hybrid Overlay组网中

由虚拟交换机替代了OVS

  • VM接入场景中,由云平台接入安全组,再通过SDN向虚拟交换机发放安全组业务
  • BareMetal接入场景中,与Network Overlay相同

在这里插入图片描述

8.4.2 网络安全

8.4.3 高级威胁检测防御

8.4.4 边界安全

8.4.5 安全管理

转载地址:https://blog.csdn.net/qq_33868661/article/details/115382574 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:【哲学向】《反脆弱》一书带给我的启示(5)
下一篇:[PythonCookBook][并发] 判断线程启动与否的方法

发表评论

最新留言

不错!
[***.144.177.141]2024年11月13日 18时19分01秒