山石网科刘向明：数据中心网络安全的挑战和变革

　　第四届CSA云安全联盟高峰论坛于11月26日在北京新世纪日航酒店圆满召开!此次大会以“信·用·云”为主题，围绕云计算、云安全等方面的热点话题展开讨论，深入探讨国内外云安全的最新技术、解决方案和研究成果。以下是山石网科CTO刘向明发表主题为《数据中心网络安全的挑战和变革》的演讲。

　　刘向明：大家下午好!我是山石网科的刘向明，很荣幸受到CSA的邀请在这里展示一下大家的思考。我的题目是数据中心的演进和安全的挑战。

　　从数据中心发展也有几十年了，最重要一方面是数据中心的演进是受应用而发展的，我们从一开始IBM的早中端现在还有一些公司在用这个系统，后来出现了C/S架构的应用，适合于客户端的也分开形成数据中心的连接，在应用更加复杂性存在更层级性的应用多层次的应用把数据出现SOA架构应用，这些SOA实际上就是很多服务的对象他们之间互相调用，现在大家都在谈大数据，大数据非常典型的在数据中心内部分布式的存储或者是分布式计算的架构也给数据中心带来新的变化。从另外一个方面来说数据中心内部在服务器的发展也是有它的特点，就是说服务器的密度越来越大，这不仅仅是在数据中心的能耗上面提出更高的要求，带来另外一个变化是说单位的机架上带来的需求越来越多，服务器连到机顶盒上面，这流量的增加也是非常大的趋势。

　　基础架构的演进就不用说了，从计算存储甚至是网络资源的虚拟化，高度虚拟化的数据中心，运营的模式现在数据中心功能可能是非常多种，有一些共有云也有一些私有云，所承载的业务也不一样，可能是IAAS，也可能是SAAS，对安全的需求也都是不一样。

　　这种不同的运营模式下实际上都提出一个要求就是希望能够更加敏捷的去部署，更加自动化的去部署，安全业务也必须跟着计算资源和存储资源去下发。在这样的情况下对于安全一些挑战，现在数据中心的安全挑战分成几个方面，第一方面就是说这网络的边界模糊化，这实际上前面几位专家也都提到了，这虚拟化的出现原来物理的设备插在一个交换机上，随着这虚拟机的出现有了这个虚拟机的边界，跟其他虚拟机之间的边界就更加的明确，随着这个虚拟机可以产生动态的移动，这种边界是动态化的趋势。

　　现在普遍现有的云计算有一些方案也会提到就是有一些效率和性能的问题，比如说硬件方案需要把流量从虚拟设备里面虚拟机里面引出来，做完安全的处理以后再引入，从动态化和灵活性，就是VM迁移要求动态感知的安全服务，VM移动了你的策略可以随着它移动。这数据中心的变化包括有一些部分是需要进行回顾，之前业务的变化是需要安全的配合。最后一点是管理的复杂化，很多的安全方案都做的不是特别好的地方，其实也有它的客观原因，就是说管理系统在很大层面上是处于不太成熟期的，我刚刚在香港参加一个开源云安全管理系统的会，但是可以看到在做的数量就可以知道它是处于一个比较早期的开发状态。

　　这是数据中心的流量，流量分成几种，一种是南北向的流量，这比较好理解假如你访问一个网页，访问数据中心的服务器，这个流量是进出这个数据中心被称为是南北向流量，还有东西向的流量，这是怎么产生呢，就是刚刚说的所谓的多层级应用，比如说你服务器的后端需要访问应用服务器，甚至是多个租户之间现在有一些服务通过API的形式提供给第三方的公司去用，你去调用这些API就产生公司之间的东西向的流量。那东西向的流量实际上比这个南北向的流量要是10倍以上，随着这个大数据的出现就更加增加了我们东西向流量。

　　在这样的情况下东西向的流量增加也使得安全更加困难，原因是说南北向的流量比较容易去做，但是东西向的流量因为这些边界的模糊使得很困难。在这里还想讲一下SDN，软件定义网络，SDN有两个主要的用途，第一个主要的用途就是对物理的设备，物理流量的优化，如何在扩大我这个网络里面需要解决流量优化的问题，SDN解决第二个问题就是网络虚拟化，在高度虚拟化的数据中心中怎么做网络虚拟化，我们认为网络虚拟化是一个将来的技术，这考虑到现在比较小的企业慢慢把IT业务放到云上，现在可能是一两个虚拟机，三四个虚拟机，但是有一天会把整个IT都搬到云上面，这时候需要什么样的东西呢，可能有几十个虚拟机，就会有一个需求就是把这些虚拟机按照功能，按照他们的安全特性，按照他们的部门去划分，然后这些不同的组之间会有安全的策略，实际上在IT内部和子网的划分。网络虚拟化实际上我认为将来是必然的趋势。

　　这SDN的出现，网络虚拟化的出现也给安全带来了一个契机，可以看出来最近这些做SDN的厂商包括VMware啊，原来就是大家意识到这SDN是安全作用于边界上，我们一直都找不到这个边界，但是现在有这个SDN，这边界又开始出现了。提到这安全方案之前我想先说一下现在实际上云的处理方式是非常多的，包括公有云，私有云，社区云和混合云等等，这些云也有大，也有小，而且处理方式也不是特别一样，说到安全的方案呢实际上部署的方式是非常相关的，这些安全的方案以及他们一些缺点实际上我觉得有时候要从另外一个方向去看，你的布局是什么样的情况，现在这些方案能不能解决你的问题，我们认为现在在一些比较中型或者是小型云的部署之内现有的解决方案也可以解决这些问题，只有你说到比较大的用云的时候或者是很多租户的时候现有的方案缺点就开始慢慢的显现。

　　从这个安全方案的选择来说基本上可以分成两种，一种是硬件，一种是软件，硬件是两种方案，比如说把这个硬件放在数据中心的出口，这不管是虚拟化的数据中心还是老的数据中心，还是看南北向的流量，这方案只关心南北向的安全也是可以做的，当然需要解决这个多租户的问题，基本上你还是可以沿用这老的安全的做法。如果你关心东西向的安全，关心你虚拟化数据中心，这硬件也是有方案的，所谓的单臂就是把你的设备单臂的部署在核心交换机上面，当你需要这种东西向流量需要安全的时候这流量被迁移到核心交换机，经过这个安全设备返回到网络里面去，这也是一个现有的方案。这里面东西向流量不是特别大的时候，对于中小型企业也可能可行的方案。

　　除了这个硬件的就是软件的安全设备，一种就是VM的设备，很多硬件厂商其实都有这样的软件设备，就是把硬件的安全功能包装在一个VM里面，提供和这个硬件相同的安全功能。这种情况也是可以针对一些相当于个人或者是相对于中小型企业数据来说当做一个网关或者是安全设备来用。

　　另外一些就是在软件方面就是对于一些比较有的厂商比如说VMware，包括思科等等都可以有做到。这硬件解决方案呢，引流方案，目前可以用VlAN，将来可以用SDN，GRE，WlAN来做，它的缺点就是说当你东西向的流量网络之间流量比较大的时候这有很多流量需要去引到这个核心交换的层面。我们也知道这数据中心有一个搜链比的说法，如果这网络带宽越大，在一个机架里面假如说有一个交换机，假使是40个口的话，可能有400G的带宽，而且都是不阻塞的，假使你有很多流量需要引到这个核心交换去做的话就有可能对你的核心造成一个阻塞。这是说到现有方案的限制，就是硬件方面提到了单臂部署，弹性受硬件设备限制，硬件要兼并，虚拟防火墙就是说首先第一点也是一个性能，因为虚拟防火墙受制于你把VM放到什么样的设备中，你超过这个服务器性能也是涉及到集群的问题。正因为你这个VM跑在不是一个专有的硬件上，在延时上面保证了但是不容易保证，相对来说在小型的部署下或者是小型客户下是可以使用。还有一个是管理的问题，就是对云的服务提供商有很多租户，给每一个租户都有一个或者是多个设备，最后也是一个管理相对来说增加的复杂性。

　　还有一个是Hypervlsor防火墙，这稳定性要求也比较高，对于一个虚拟系统来说相当于一个操作系统的内核，一般的这里面做的安全都是非常简单的，只有这样才可以保证这比较稳定的性能，不会因为一些异常的出现而造成这整个系统出现问题。

　　谈到目前安全方案，刚刚提到的更多是设备层面上内容，实际上还在管理层面上也有很多的问题。现在的管理层面上主管对付这种弹性的需求，这种弹性的需求是来自于各个方面，第一个是业务的拓展，可能是因为业务越来越大，这一套系统是不是能够支持更多的容量，更多的带宽。第二个是租户的发展，现有的这些方案比如说在硬件部署我们可以用VLAN，就是看你的方案能不能够在租户发展的时候随着你的租户数量的发展而发展。第三个就是服务的发展，也许今天你的客户安全需求相对比较简单，可能它的业务只需要一些简单的防火墙或者是IDS，将来可能会需要更加复杂的安全功能。这种更多的安全服务将来能不能加到现有系统，而不用更多去改变你现有系统的部署。

　　安全部署和管理系统的协同，从数据中心来说最最看重就是自动化，这业务的部署或者是从以前有几天时间到这个数据虚拟化中心可能几个小时，几分钟就可以完成，这自动化是非常重要的，但是这安全加进去以后是希望能够以同样的你的安全不要用另外一套系统，到另外一个系统操作一个事情，所以安全系统要和管理系统协同。

　　为什么在经过这么长时间甚至在SDN出现以后，这安全实际上还是不是特别清晰，安全这一条路应该怎么样走不是很清晰，我的想法可能是因为有这样的原因，这云安全的特性有两个比较矛盾的点，我跟大家分享一下。第一点就是说从这东西向流量越来越大，我们现在需要更多关注东西向的安全，希望安全能对东西向的流量更加的友好，希望这安全的部署能够更加接近这VM，如果你每一个东西向流量都迁移到很远做安全的检查那会对整个网络的流量和布局都有一定的影响。还有安全部署要靠近VM，举个例子比如说防病毒，来了一个文件可能要解包，这个对资源需求非常大了，如果放到一个离设备特别近的时候它对弹性支持就不好，有的时候不用就闲置在那里，对这种安全特别是应用安全实际上是用一个数据中心，资源池的模式去服务它是比较好的。所以从这一点上说这两个要求有一点矛盾，这是我们现在想的方法，就是通过一个混合的模式，有大部分的流量如果是技术安全，网络的安全我们让它靠近VM，靠近虚拟机和物理设备去，如果是资源使用随机的应用安全我们把它放到一个资源池里面去做，从流量对比说需要技术安全的流量会远远大于这需要应用安全的，那基础安全大部分的流量不需要迁移。

　　这是数据中心对安全几个框架图，其中就是安全触角，这就是靠近物理机，靠近VM的，它是一个可以随着你的数据中心的扩展而扩展，是一个比较固定的，就是跟着你机架走。它是分布式部署的，这安全触角知道哪些VM归我管了，哪些VM走了，根据这种变化和调整安全策略。局部的配置下不需要知道你这某一个机架上只有20个租户，你不知道知道其他几百几千租户的策略，另外这安全触角也负责流量，如果是仅仅需要网络层的安全可以直接通过靠近VM层。

　　另外一部分就是安全资源池，这安全资源池就是需要更深层次的，资源需求更加大的应用层来讲，它是一个全局的资源你也可以把它分布在各个机架上，也可以分布管理，我觉得还是统一管理比较好，这样可以把整个资源都利用上。这也是集中管理的资源池，自动部署的意思就是说它可以感知到资源的使用情况，当资源使用比较多的时候也可以通过增加VM的形式，增加这些安全的设备。当然这资源池也可以是硬件，也可以是软件。

　　在这资源池里面通过这种安全触角和安全处理得配合可以取得很好的效果，剩下就是管理的层面，一个管理的系统必须要和数据中心管理整个一套体系要集成起来，这样才可以把计算资源和存储资源能够统一的部署下去，这安全管理的功能也包括了对全局各个模块的监控和安全控制的作用。谢谢大家!

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。