返回
虚拟化数据中心网络安全探析

虚拟化数据中心网络安全探析

ID:46818190

大小:63.50 KB

页数:5页

时间:2019-11-28

虚拟化数据中心网络安全探析_第1页
虚拟化数据中心网络安全探析_第2页
虚拟化数据中心网络安全探析_第3页
虚拟化数据中心网络安全探析_第4页
虚拟化数据中心网络安全探析_第5页
资源描述:

《虚拟化数据中心网络安全探析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、虚拟化数据中心网络安全探析【摘要】虚拟化数据屮心给网络安全带来了便利也带了一些挑战,在安全方面不仅面对传统网络已有的安全威胁,还面对自身引入的安全问题,尤其是虚拟机的迁移,计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术,如VLAN访问控制,安全策略上移,网络安全策略跟随虚拟机动态迁移等。【关键词】数据中心,虚拟化,VLAN,VSwitch,VPort【中图分类号】C37【文献标识码】A【文章编号】1672-5158(2013)07-0089-021引言数据中心虚拟化是指采用虚拟化技术构建基础设施池,主耍包括计算、存储以及

2、网络三种资源。虚拟化后的数据中心不再像传统数据中心采用单台设备或使用某条链路,整个数据中心被看做成为资源池,所有数据中心的计算、存储和网络等基础设施作为资源可以按照需求分配不同的资源集屮调配。数据中心虚拟化从硕件资源角度看,包含多设备合一与一设备分多的模式,这两种方式都提供了资源按需分配的手段和技术。而数据中心是由计算、存储和网络三种资源深度融合而成的,因此要合理安全的分配资源是应该急需解决的问题,必须制定合适的网络安全策略与之匹配。多设备合一的技术出现较早,主要包括集群计算等技术,以提升计算性能为主;而一设备分多主要是近几年出现在一台物理X86系统上的多操作系统同时并存的技术,以缩短

3、业务部署时间,提高资源的使用效率为主要目的。2虚拟化数据中心面临的安全问题传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略(如图1所示),网络安全策略能够满足主机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。图1虚拟化数据中心安全架构图虚拟化数据中心対网络安全提出三点需求:*在保证不同用户或不同业务之间流量访问控制,还要支持多业务能力;*网络安全策略可支撑计算集群

4、中成员灵活的加入、离开或者迁移;*网络安全策略可跟随虚拟机自动迁移。在上述三个需求中,第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现,这给当前网络安全策略带来了挑战。3虚拟化数据中心网络规划3.1VLAN隔离及安全控制VLAN(VirtualLocalAreaNetwork,虚拟局域网)是一种二层隔离技术,其原理是在交换机上划分多个VLAN,在同一个VLAN内的用户是相互可访问的,但一个VLAN的数据包在二层交换机上不会发送到另一个VLAN,从而实现网络的逻辑隔离,确保数据的安全控制。虚拟化数据中心作为集中资源对外服务,面对的是不断增加的用户,不断增

5、加的信息网络应用,承载的服务是海量的。数据中心管理人员不但要考虑物理设备的安全、虚拟机的安全和虚拟机或者物理机之间的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。因此需要为虚拟化数据中心的每一个应用或虚拟服务器提供一个唯一的标识。目前看开,根据企业应用的安全级别合理划分VLAN,针对不同的安全级别划分物理机和虚拟机VLAN,同时保证物理机的VLAN与虚拟机隔离,实现应用与设备管理的隔离操作维护。3.2隔离手段与网关选择虚拟化数据屮心关注的重点是实现整体资源的灵活调配,因此在考虑网络安全控制时必须考虑网络安全能支撑计算资源调配的灵活性,只有将二者结合才能实现虚拟化数据

6、中心网络安全的最佳配置。考虑虚拟化数据中心的安全部署时,建议按照先关注灵活性、再关注安全控制的思路进行。无论是集群计算还是虚拟机迁移都涉及到主机调配,当主机资源在同一个二层网络内被调配时,多数应用才能保持连续性,因此为满足计算资源的灵活调配,应该构建二层网络,否则一旦跨网段将导致应用中断或长时间的业务影响。可见,网络安全控制不能阻断二层网络内主机的灵活调配。基于上述思想,网络安全控制点尽量上移,并口服务器网关尽量不设在防火墙上。因为防火墙属于强控制设施,网关一旦在防火墙上灵活性将大大的受到限制。如图2所示,以数据中心主流的服务器连接模式为例,网络安全策略可按如下规划:图2数据中心服务器

7、网络拓扑示意图将二层网络向上扩大,创造一个适合主机调配的二层网络环境。图2左图方案中为传统的虚拟化数据中心网络拓扑图,主机网关地址落在汇聚交换机上。承载网络管理和应用业务的主机划分为同一个VLAN(即VLAND内。针対VLAN部署安全策略,忽略交换机端口差异性,服务器之间互访不受限制。该方案极大的满足了虚拟化数据中心主机调配的灵活性,但完全忽视了网络安全控制,不利于服务器之间安全访问控制策略的实施。图2右图为得到普遍应用的虚拟化数据中心网络安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。