虚拟化数据中心网络安全探析

李跃

【摘 要】虚拟化数据中心给网络安全带来了便利也带了一些挑战，在安全方面不仅面对传统网络已有的安全威胁，还面对自身引入的安全问题，尤其是虚拟机的迁移，计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术，如VLAN访问控制，安全策略上移，网络安全策略跟随虚拟机动态迁移等。

【关键词】数据中心，虚拟化，VLAN，VSwitch，VPort

【中图分类号】C37【文献标识码】A【文章编号】1672-5158（2013）07-0089-02

1 引言

数据中心虚拟化是指采用虚拟化技术构建基础设施池，主要包括计算、存储以及网络三种资源。虚拟化后的数据中心不再像传统数据中心采用单台设备或使用某条链路，整个数据中心被看做成为资源池，所有数据中心的计算、存储和网络等基础设施作为资源可以按照需求分配不同的资源集中调配。

数据中心虚拟化从硬件资源角度看，包含多设备合一与一设备分多的模式，这两种方式都提供了资源按需分配的手段和技术。而数据中心是由计算、存储和网络三种资源深度融合而成的，因此要合理安全的分配资源是应该急需解决的问题，必须制定合适的网络安全策略与之匹配。多设备合一的技术出现较早，主要包括集群计算等技术，以提升计算性能为主；而一设备分多主要是近几年出现在一台物理X86系统上的多操作系统同时并存的技术，以缩短业务部署时间，提高资源的使用效率为主要目的。

2 虚拟化数据中心面临的安全问题

传统数据中心网络安全包含纵向安全策略和横向安全策略，无论是哪种策略，传统数据中心网络安全都只关注业务流量的访问控制，将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间，即增加网络安全策略（如图1所示），网络安全策略能够满足主机顺畅的加入、离开集群，或者是动态迁移到其它物理服务器，并且实现海量用户、多业务的隔离。图1 虚拟化数据中心安全架构图

虚拟化数据中心对网络安全提出三点需求：

* 在保证不同用户或不同业务之间流量访问控制，还要支持多业务能力；

* 网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移；

* 网络安全策略可跟随虚拟机自动迁移。

在上述三个需求中，第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现，这给当前网络安全策略带来了挑战。

3 虚拟化数据中心网络规划

3.1 VLAN隔离及安全控制

VLAN（Virtual Local Area Network，虚拟局域网）是一种二层隔离技术，其原理是在交换机上划分多个VLAN，在同一个VLAN内的用户是相互可访问的，但一个VLAN的数据包在二层交换机上不会发送到另一个VLAN，从而实现网络的逻辑隔离，确保数据的安全控制。

虚拟化数据中心作为集中资源对外服务，面对的是不断增加的用户，不断增加的信息网络应用，承载的服务是海量的。数据中心管理人员不但要考虑物理设备的安全、虚拟机的安全和虚拟机或者物理机之间的安全，还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。因此需要为虚拟化数据中心的每一个应用或虚拟服务器提供一个唯一的标识。目前看开，根据企业应用的安全级别合理划分VLAN，针对不同的安全级别划分物理机和虚拟机VLAN，同时保证物理机的VLAN与虚拟机隔离，实现应用与设备管理的隔离操作维护。

3.2 隔离手段与网关选择

虚拟化数据中心关注的重点是实现整体资源的灵活调配，因此在考虑网络安全控制时必须考虑网络安全能支撑计算资源调配的灵活性，只有将二者结合才能实现虚拟化数据中心网络安全的最佳配置。考虑虚拟化数据中心的安全部署时，建议按照先关注灵活性、再关注安全控制的思路进行。无论是集群计算还是虚拟机迁移都涉及到主机调配，当主机资源在同一个二层网络内被调配时，多数应用才能保持连续性，因此为满足计算资源的灵活调配，应该构建二层网络，否则一旦跨网段将导致应用中断或长时间的业务影响。可见，网络安全控制不能阻断二层网络内主机的灵活调配。

基于上述思想，网络安全控制点尽量上移，并且服务器网关尽量不设在防火墙上。因为防火墙属于强控制设施，网关一旦在防火墙上灵活性将大大的受到限制。

如图2 所示，以数据中心主流的服务器连接模式为例，网络安全策略可按如下规划：图2 数据中心服务器网络拓扑示意图

将二层网络向上扩大，创造一个适合主机调配的二层网络环境。

图2左图方案中为传统的虚拟化数据中心网络拓扑图，主机网关地址落在汇聚交换机上。承载网络管理和应用业务的主机划分为同一个VLAN（即VLAN1）内。针对VLAN部署安全策略，忽略交换机端口差异性， 服务器之间互访不受限制。该方案极大的满足了虚拟化数据中心主机调配的灵活性，但完全忽视了网络安全控制，不利于服务器之间安全访问控制策略的实施。

图2右图为得到普遍应用的虚拟化数据中心网络安全方案。承载业务的主机划分为三个VLAN内，相同保护等级的主机属于相同VLAN，形成一个独立安全域，VLAN内的主机可在对应的二层网络内灵活调配。

3.3 三层交换机控制

三层交换机仍然是L2与L3的分界点，面向服务器一侧工作在三层模式，面向服务器之间网络一侧工作在二层模式。服务器按照相应的安全级别划分不同的VLAN，三层交换机作为服务器的网关，服务器二层分区之间互访经由三层交换机ACL做访问控制；防火墙作为边界安全控制设备。同一安全级别的WEB/APP/DB通过交换机二层转发访问，并以ACL进行访问控制；不同安全级别服务器之间的访问，跨三层交换机设置ACL访问。满足不同安全级别服务器之间访问控制，同时适合虚拟化环境下虚拟机迁移的需求，由于不同安全级别服务器之间的隔离采用交换机ACL实现，因此适合安全隔离要求较严，主机调配灵活性要求稍高的环境。

3.4 虚拟机动态迁移

虚拟化数据中新带来的最大挑战就是虚拟机迁移，虚拟机的迁移需要控制在相同安全级别，针对同一安全级别的物理服务器允许迁移，不同安全级别的物理服务器之间禁止迁移虚拟机。同时在应用虚拟交换机上应满足虚拟机相关特性，针对虚拟机的网络配置信息及安全策略在虚拟交换机上也应该同时迁移。在创建虚拟机或虚拟机迁移时，虚拟机主机需要能够正常运行，除了在服务器上的资源合理调度，其网络连接的合理调度也是必须的。

图3 虚拟机迁移网络示意图目前正在形成标准的VDP方案对网络安全配置自动迁移提供了良好的支撑能力。邻接交换机使用VDP协议发现虚拟机实例，并向网管系统获取对应的网络安全配置Profile并部署到相应的vPort 接口上。同时，虚拟机迁移前的接入位置物理交换机也会通过VDP 解关联通告，去部署相应的profile 对应的本地配置。加入VDP后，完全不依赖网管系统对虚拟机接入物理网络的定位能力，提高网络配置迁移的准确性和实时性。

4 结束语

虚拟化数据中心是当前与未来的发展方向，而网络安全作为基础的承载保障平台面临一些新的挑战，一方面我们对现有技术进行优化改进以适应这种挑战，另一方面新技术与方案也在不断的出现来应对挑战。只有这样才能多快好省的构造虚拟化数据中心的网络安全。