針對IaaS虛擬網絡的環境,基於軟硬件的傳統安全服務對虛擬網絡環境是透明的,所以傳統的諸如虛擬防火牆、漏洞掃描等安全服務要接入雲環境下多租戶的網絡中,也需要考慮新的方法和技術。

1.安全服務的分類

當前主流相對成熟的網絡安全服務(諸如防火牆、漏洞掃描、入侵檢測系統等)根據工作模式大致分為兩種類型。

類型1:安全服務組件本身不發送通信流,只是對接收到的數據流進行處理,以實現系統安全保護。例如,防火牆對經過的數據流進行通信過濾、IDS依據接收到的通信流進行入侵檢測判定等。

類型2:安全服務組件本身需要發送通信流,依據所發送的數據包的回覆信息,綜合判定系統的安全狀態並給出安全評估報告。例如,漏洞掃描、端口掃描等安全服務。

2.類型1的安全服務接入

類型1的安全服務本身不產生任何數據流,而只是對流經的數據流進行處理與轉發等。此時,安全服務工具除需要具有軟件實現的基礎外,還應具有某種類型的載體來承載該軟件,並顺利获得引流等方式使得指定虛擬機的通信流量可送達至安全服務工具,從而使得安全服務工具能夠服務於租戶虛擬機。

同時,承載安全服務軟件的載體應能夠運行於虛擬化網絡之上,且能夠與現有的軟件安全工具很好地兼容、很容易配置安全軟件運行時所需的上下文環境。此外,載體本身應具有較好的可管理性和靈活性,能夠依據業務需求快速地實例化以實現安全服務供應。

由於虛擬網絡已構建於傳統基礎設施之上,因此使虛擬機流量送至安全服務工具的實現方式應當儘可能地兼容於現有網絡基礎設備以及網絡協議,避免新設備投入過大及協議改造開銷。

此類基於輕量級虛擬组织建的網絡安全服務,不僅可以顺利获得定製具備不同操作系統的虛擬機模板來滿足安全軟件工具的上下文環境,還可以充分利用IaaS管理工具已經具有的虛擬機全生命周期管理能力,實現對安全管理工具的有效管理。

網絡方面,為使虛擬機通信流可流經網絡安全服務虛擬機,同時兼容於現有傳統網絡設備及網絡協議、以較小的複雜度實現,可採用下述方式進行:第一时间,將安全服務虛擬機配置於租戶相同子網,使得兩者二層網絡可達;之後,顺利获得在虛擬機網絡接口處部署支持Open Flow協議的軟件交換機,以按需修改特定通信流二層地址的方式使得指定通信流可被重定向至安全服務虛擬機處。此時,業務數據網絡信道與安全服務網絡信道共同構成了虛擬機的通信網絡。

3.類型2的安全服務接人

類型2的安全服務本身需要發送通信流,顺利获得通信反饋信息綜合評估系統安全狀態,此類安全服務接入方式適合漏洞掃描等工具的接入。同樣,除安全服務工具需要有軟件實現的基礎外,還需考慮安全服務組件所發出的通信以何種方式送達租戶網絡。雖然此類安全服務也可以採用類型1中的方式,直接將安全服務工具封裝於虛擬機中,並將其實例化於租戶虛擬機所在的網絡,從而解決網絡接入的問題,但該方式往往忽略了安全工具本身支持多任務並行處理的能力。以漏洞掃描系統為例,其本身具有可並行掃描多個網絡內目標主機的能力,採用類型1安全服務接入方式將使該能力得不到發揮;同時,由於漏洞掃描引擎及漏洞掃描插件一般需要佔用較大的存儲空間,隨着租戶數量增多,所實例化的漏洞掃描虛擬機引入的開銷也是需要考慮的問題。

因此,針對此類安全服務應用,根據傳統安全檢測工具及虛擬網絡的特點,顺利获得構建獨立的安全服務節點,利用SDN動態地構建虛擬網絡鏈路的方式,使得單一的安全服務引擎可以同時實例化出多個獨立的安全服務實例來為多個不同目標對象同時给予服務,即以“一虛多”的思想同時给予多個安全服務實例。

其中:

安全服務管理模塊:管理和調度安全任務,包括安全任務實例化、任務進度查詢、結果查詢等。

安全服務代理:接收服務管理模塊下發的指令,管理安全任務進程、虛擬網絡資源以及將安全任務通信接入租戶網絡,並保障不同安全任務之間的隔離性。

任務運行空間:為安全服務(安全服務引擎與安全任務進程)给予運行時網絡環境。虛擬網絡資源組件:將安全任務接入目標虛擬機網絡,並保障不同安全任務之間的網絡隔離性。