云平台的安全设计不仅要能够满足共性安全需求,还应能够兼顾各用户的动态、特定安全需求。为满足需求,需设计安全资源池方案。安全资源池是将云计算技术应用于安全领域,通过将安全系统、安全功能、资源进行云化,形成专门的安全能力快速交付的资源池;为客户提供按需的网络安全服务,从而实现网络安全即服务的一种技术和业务模式。

1.安全资源池组成

安全资源池由虚拟化网关服务资源池、虚拟化分布式安全网关、云安全管理平台三个主系统组成,安全资源池具体组成模块如图1所示。

云平台的安全设计技术和模式_安全网关

图 1 安全资源池具体组成模块

虚拟化网关服务资源池对数据中心南北向流量可提供灵活编排的安全防护,分布式安全网关用于防护数据中心东西向流量。具体来说,虚拟化网关服务资源池通过SDN导流、NFV架构对VPN、负载均衡、防病毒网关等安全资源进行池化,每个租户创建一组安全资源,可以提供访问控制,访问控制、入侵防御、Web 防护、VPN和病毒过滤等安全功能服务。

虚拟化分布式安全网关是在每个物理服务器上安装一个或多个虚拟化分布式防火墙,通过SDN的服务链注册机制,或者Hypervisor底层的流量重定向机制,实现把本台物理服务器上每个客户虚拟机的流量重定向到虚拟化安全网关中,从而实现虚拟机之间的,以及进出虚拟机的流量的安全防护功能。

2.用户VPC的安全保障

在虚拟资源的防护上,采用基于软件方式的NFV网络设备功能虚拟化部署架构在每个VPC中,具体如图2所示。

云平台的安全设计技术和模式_虚拟化_02

图2 NFV 部署架构图

应用系统的云主机上通过安全组规则进行基于端口的访问控制。通过安全策略设置,实时监控虚拟机,实现资源隔离,并保证每个虚拟机都能获得相对独立的物理资源,并能屏蔽虚拟资源故障,确保某个虚拟机崩溃后不影响其他虚拟机,虚拟机只能访问分配给该虚拟机的物理磁盘;不同虚拟机之间的虚拟CPU指令实现隔离;定时进行漏洞检测、安全加固和补丁升级,保障虚拟化平台的动态可靠。

通过部署虚拟路由器实现VPC内部不同子网的网络互通,各VPC之间通过VLAN实现逻辑隔离。通过SDN导流技术进行灵活的安全防护编排,满足各类租户的特殊性安全需求,实现精确防护。