返回
虚拟化数据中心的网络安全设计

虚拟化数据中心的网络安全设计

ID:9224534

大小:604.57 KB

页数:6页

时间:2018-04-23

虚拟化数据中心的网络安全设计_第1页
虚拟化数据中心的网络安全设计_第2页
虚拟化数据中心的网络安全设计_第3页
虚拟化数据中心的网络安全设计_第4页
虚拟化数据中心的网络安全设计_第5页
资源描述:

《虚拟化数据中心的网络安全设计》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、虚拟化数据中心给网络安全带来了一些挑战,尤其是虚拟机的迁移,计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术,如VLAN扩展,安全策略上移,网络安全策略跟随虚拟机动态迁移等。虚拟化数据中心的网络安全设计数据中心虚拟化是指采用虚拟化技术构建基础设施池,主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路,而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。数据中心虚拟化,从主机等计算资源的角度看,包含多合一与一分多两个方向(

2、如图1所示),都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。前者出现较早,主要包括集群计算等技术,以提升计算性能为主;而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术,以缩短业务部署时间,提高资源使用效率为主要目的。图1计算虚拟化的两种表现形式虚拟化后数据中心面临的安全问题传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为

3、唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略(如图2所示),网络安全策略能够满足主机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。。图2数据中心虚拟化安全模型虚拟化数据中心对网络安全提出三点需求:1、在保证不同用户或不同业务之间流量访问控制,还要支持多租户能力;2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移;3、网络安全策略可跟随虚拟机自动迁移。在上述三个需求中,第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现,这给

4、当前网络安全策略带来了挑战。应对之道VLAN扩展虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前看开,VLAN是最好的选择,但由于VLAN数最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。如图3所示,VLAN扩展的有以下两个实现途径。图3VLAN扩展两种思路

5、QinQ:采用VLAN嵌套的方式将VLAN的数量扩展到160万个。内层标签称为用户VLAN即C‐VLAN,外层标签成为运营VLAN,即S‐VLAN,例如100个C‐VLAN不同的同一类用户可以封装同一个相同S‐VLAN,极大的扩展VLAN的数量。该方法配置简单,易维护。但其缺点是接入的用户规模较小。VPLS:用户VLAN封装在不同VPLAS通道内,不同的用户封装不同的VPLS通道即可实现海量用户之间良好的安全控制。其优点是接入规模大,可伸缩性强,易于跨地域数据中心之间平滑扩展。不足之处是VPLS会导致数据中心内配置较复杂,使数据中心之间扩展复杂度变大。在实际

6、选择时,可以根据数据中心对外服务的业务特点,对照上述两种方式的优缺点,选择合适的实现方式。隔离手段与网关选择虚拟化数据中心关注的重点是实现整体资源的灵活调配,因此在考虑网络安全控制时必须考虑网络安全能支撑计算资源调配的灵活性,只有将二者结合才能实现虚拟化数据中心网络安全的最佳配置。考虑虚拟化数据中心的安全部署时,建议按照先关注灵活性、再关注安全控制的思路进行。无论是集群计算还是虚拟机迁移都涉及到主机调配,当主机资源在同一个二层网络内被调配时,多数应用才能保持连续性,因此为满足计算资源的灵活调配,应该构建二层网络,否则一旦跨网段将导致应用中断或长时间的业务影响

7、。可见,网络安全控制不能阻断二层网络内主机的灵活调配。基于上述思想,网络安全控制点尽量上移,并且服务器网关尽量不设在防火墙上。因为防火墙属于强控制设施,网关一旦在防火墙上灵活性将大大的受到限制。如图4所示,以数据中心主流的B/S服务模式为例,网络安全策略可按如下规划:图4主机网关地址落点选择ó将二层网络向上扩大,创造一个适合主机调配的二层网络环境。ó选择网关IP地址的落点与主机分组隔离方案。图4左图方案中不设置防火墙,主机网关地址落在汇聚交换机上。承载业务的WEB、APP、DB主机划分为同一个VLAN(即VLAN1)内。针对VLAN部署安全策略,忽略交换机端

8、口差异性,WEB、APP、DB之间互访不受限制。承载

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。