華為企業(yè)網(wǎng)絡(luò )營(yíng)銷(xiāo)運作部 張東
數據中心安全管理員的心聲“我們的數據中心自身業(yè)務(wù)上千,一個(gè)業(yè)務(wù)分很多模塊,相互交互一下,這要設置多少東西向的訪(fǎng)問(wèn)控制策略,多得嚇人嘍。”
——數據中心安全平臺管理員小凡
國內某大型互聯(lián)網(wǎng)企業(yè)A已成功運營(yíng)其自建云數據中心,除了承擔企業(yè)內部的若干業(yè)務(wù)以外,也會(huì )面向外部提供服務(wù)器的托管服務(wù)。隨著(zhù)A公司的不斷發(fā)展,經(jīng)常會(huì )有新業(yè)務(wù)上線(xiàn),每次為新業(yè)務(wù)部署了服務(wù)器、虛擬機后,就需要對網(wǎng)絡(luò )的設置以及安全策略進(jìn)行調整。而這個(gè)安全策略的調整過(guò)程也是讓數據中心安全管理員小凡最頭疼的事情。為了滿(mǎn)足數據中心南北向的合法訪(fǎng)問(wèn),需要在匯聚與邊界針對新業(yè)務(wù)設置訪(fǎng)問(wèn)控制,更麻煩的是數據中心內部東西向的安全策略,不但要關(guān)注不同租戶(hù)之間的隔離,還要考慮同一租戶(hù)不同業(yè)務(wù)之間,甚至同一業(yè)務(wù)不同模塊之間的策略。像A公司運營(yíng)的大型數據中心,業(yè)務(wù)超過(guò)千種,單臺交換機上東西向的訪(fǎng)問(wèn)控制策略平均達3000條,本地數據中心從核心、匯聚到接入所涉及到的交換機等網(wǎng)絡(luò )設備不下百臺。30萬(wàn)條策略的管理維護工作量巨大,要在2~3小時(shí)這樣短的時(shí)間內更新策略,配置出錯的風(fēng)險極高。尤其是當下數據中心業(yè)務(wù)與網(wǎng)絡(luò )變化普遍,每次都手工配置刷新若干設備的安全策略將十分復雜。而且A公司還部署了檢測平臺進(jìn)行安全威脅檢測,當出現威脅告警時(shí),小凡需要及時(shí)將可疑流量引入相應安全設備進(jìn)行處理,如攻擊防護、入侵檢測、Web防護等等。然而新業(yè)務(wù)上線(xiàn)之初,安全威脅誤報往往較多。通常為了盡可能降低網(wǎng)絡(luò )延時(shí),數據中心安全設備都是旁路部署的,因此小凡每次都要針對告警手工配置交換機或者路由器才能將可疑流量引出,這樣會(huì )造成少則幾天多則一個(gè)月的策略調優(yōu)過(guò)程。冗長(cháng)的調優(yōu)過(guò)程導致安全管理成本無(wú)法匹配業(yè)務(wù)的快速發(fā)展要求,而且還要冒著(zhù)調整失誤引起業(yè)務(wù)中斷、客戶(hù)投訴的嚴重風(fēng)險。如何擺脫當前令人苦惱的工作局面,是小凡面對的問(wèn)題。
SDN:簡(jiǎn)化云數據中心安全管理數據中心頻繁接受來(lái)自外部的訪(fǎng)問(wèn),業(yè)務(wù)可靠性至關(guān)重要。對數據中心運營(yíng)者來(lái)說(shuō),為用戶(hù)提供快速、可靠的訪(fǎng)問(wèn)體驗,是其部署、管理數據中心網(wǎng)絡(luò )的第一要務(wù)。隨著(zhù)云計算與虛擬化技術(shù)的成熟和盛行,數據中心網(wǎng)絡(luò )不斷向更佳用戶(hù)體驗、超大容量、動(dòng)態(tài)、自動(dòng)化和集中管理的方向發(fā)展。SDN的誕生恰好滿(mǎn)足了上述數據中心發(fā)展的核心訴求。特別是在云數據中心安全方面,通過(guò)SDN能夠極大地改善安全策略配置和管理的復雜度,降低企業(yè)IT的運維成本。實(shí)際上,在2007年SDN尚處于學(xué)術(shù)研究階段時(shí),斯坦福大學(xué)的學(xué)生啟動(dòng)了一個(gè)關(guān)于網(wǎng)絡(luò )安全與管理的項目——Ethane,通過(guò)一個(gè)集中式的控制器,讓網(wǎng)絡(luò )管理員可以方便地定義基于網(wǎng)絡(luò )流的安全控制策略,并將這些安全策略應用到各種網(wǎng)絡(luò )設備中,從而實(shí)現對整個(gè)網(wǎng)絡(luò )通信的安全控制。SDN天生帶有簡(jiǎn)便安全策略管理的基因。
華為云數據中心安全解決方案正在向SDN演進(jìn)。在高帶寬時(shí)代,數據中心運營(yíng)商一直擔心安全設備的性能會(huì )影響數據中心業(yè)務(wù)、成為瓶頸,所以通常安全設備采用旁路部署。華為的安全設備具備全業(yè)務(wù)資源池化的能力,即將防火墻、IPS、Anti-DDoS及SWG等功能集中,形成安全防護池。安全資源池通過(guò)網(wǎng)絡(luò )安全設備的虛擬化能力,突破性能瓶頸的限制,以達到與數據中心防護需求最佳匹配的效果。當云數據中心檢測平臺發(fā)現特定威脅流量后,管理員只需設置相關(guān)策略,由SDN控制器調度,即可將策略統一下發(fā)到整個(gè)數據中心內部相關(guān)的交換機上,將可疑流量全部牽引至安全資源池進(jìn)行過(guò)濾或者防護。采用的安全策略有所差異,所觸發(fā)的安全機制進(jìn)而不同,以實(shí)現資源的動(dòng)態(tài)分配。特別是像A公司這樣的云數據中心,也提供租賃與托管服務(wù),對于政府、金融等行業(yè)的租戶(hù)來(lái)說(shuō),必須要通過(guò)防火墻進(jìn)行服務(wù)器的隔離,以便滿(mǎn)足合規性要求。那么在數據中心中便可以通過(guò)安全資源池中的防火墻來(lái)滿(mǎn)足政府、金融行業(yè)租戶(hù)的需求,僅僅是將其服務(wù)器的訪(fǎng)問(wèn)流量全部引流經(jīng)過(guò)防火墻的保護,對其他租戶(hù)的業(yè)務(wù)流量仍然可以保證較高的轉發(fā)效率,不會(huì )產(chǎn)生絲毫的影響。
以下結合實(shí)例,對安全資源自動(dòng)調度的整個(gè)過(guò)程進(jìn)行更加清晰的解釋。當數據中心某租戶(hù)提出需要對自己的Web業(yè)務(wù)進(jìn)行防護,數據中心管理員接收到該需求后:
首先,根據要求在數據中心控制器上設置安全策略;
接著(zhù),數據中心控制器將用戶(hù)/用戶(hù)組信息轉化為相應的服務(wù)器IP地址映射。由于控制器已經(jīng)掌握整個(gè)數據中心網(wǎng)絡(luò )的組網(wǎng)情況,所以能夠輕而易舉地找到IP地址所連接的接入交換機;然后,控制器下發(fā)引流策略,更新接入交換機上的轉發(fā)信息,使得需要處理的流量能夠被轉發(fā)至安全資源池內的Web安全網(wǎng)關(guān)。同時(shí),控制器通知防火墻對該IP地址的Web流量做過(guò)濾操作;
最后,防火墻接收到用戶(hù)的所有流量,按照控制指令,進(jìn)行協(xié)議識別后對Web數據流執行過(guò)濾和防病毒檢查,而其它流量進(jìn)行正常轉發(fā)處理。
在華為云數據中心安全解決方案中,SDN控制器如同整個(gè)方案的大腦,統管全局。無(wú)論數據中心網(wǎng)絡(luò )和業(yè)務(wù)如何變化,無(wú)論涉及到改變的交換機、路由器、安全設備數量有多少,管理員只需根據業(yè)務(wù)、租戶(hù)、安全策略直接在控制器進(jìn)行任務(wù)編排,由控制器將任務(wù)編排轉化為IP地址、訪(fǎng)問(wèn)控制、轉發(fā)路由、安全防護的配置策略,再自動(dòng)分發(fā)到相應的網(wǎng)絡(luò )設備。華為云數據中心安全解決方案改變了數據中心安全設備分層次部署的傳統模式,組建安全資源池,集中部署,降低了企業(yè)采購成本。安全策略設置根據租戶(hù)需求靈活、簡(jiǎn)單,高度客戶(hù)化,徹底屏蔽IP與端口等專(zhuān)用術(shù)語(yǔ)。安全資源調度過(guò)程統一管理,自動(dòng)下發(fā),適應業(yè)務(wù)與網(wǎng)絡(luò )快速變更。實(shí)際操作中通過(guò)管理員與控制一對一的操作即可完成,最大限度地減少工作量和運維成本,縮短了策略調優(yōu)的周期,也避免了在紛繁復雜的大量配置中發(fā)生的誤操作,保證了策略配置的一致性。
小凡是云數據中心管理員的典型代表,在華為基于SDN的云數據中心安全方案的幫助下,工作質(zhì)量得到了改善,工作效率大幅提升。小凡不再為業(yè)務(wù)的上、下線(xiàn)而發(fā)愁,企業(yè)也將在ICT行業(yè)日新月異的變化中不斷前行。
