H3C云安全服务技术白皮书-V1.0

H3C云安全服务技术白皮书

Copyright © 2016 杭州H3C技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目录

1 概述 (1)

2 云安全架构与模型 (1)

2.1 云数据中心安全访问控制需求 (1)

2.2 云安全总体架构 (2)

2.3 基于租户的安全隔离 (3)

2.4 安全架构的两种模型 (4)

3 嵌入式安全 (5)

3.1 安全组ACL功能 (5)

3.2 分布式状态防火墙功能 (6)

4 云服务链 (6)

5 基于SDN和服务链的云安全组网方案 (8)

5.1 VSR做网关的服务链方案 (8)

5.2 物理交换机做网关的服务链方案 (9)

5.3 服务链和第三方安全设备对接 (10)

5.4 服务链支持东西向和南北向安全的总结 (12)

6 安全资源池化 (12)

6.1 网络服务资源虚拟化和池化 (12)

6.2 多资源池支持 (14)

6.3 安全资源池之大规模租户技术 (15)

6.3.1 硬件资源池支持大规模租户 (15)

6.3.2 软件资源池支持大规模租户 (16)

6.4 云安全微分段服务 (17)

6.5 安全资源池之高可靠性技术 (17)

7 多层次安全防护体系 (18)

7.1 异构设备组成的统一安全资源池 (18)

7.2 多层次的安全体系 (19)

8 安全功能通过云服务部署 (19)

9 H3C云安全优势总结 (21)

1 概述

云计算技术的发展，带来了新一轮的IT技术变革，但同时也给网络与业务带来巨大的挑战。网络服务模式已经从传统的面向连接转向面向应用，传统的安全部署模式在管理性、伸缩性、业务快速升级等方面已经无法跟上步伐，需要考虑建设灵活可靠，自动化快速部署和资源弹性可扩展的新安全防护体系。

同时，按照云计算等保规范《信息系统安全等级保护第二分册云计算安全要求》草案7.1.2网络安全章节的描述，对云网络安全也有下述要求：

•保证云平台管理流量与云租户业务流量分离；

•根据云租户的业务需求自定义安全访问路径；

•在虚拟网络边界部署访问控制设备，并设置访问控制规则；

•依据安全策略控制虚拟机间的访问。

H3C充分探索了云安全的需求，引入基于SDN和服务链的安全体系，可以灵活结合软硬件安全设备提供各种安全服务。安全服务有FW、LB和IPS/AV等。通过云平台进行统一调度，使得云租户可以依据自身需求申请安全服务，自定义业务应用系统安全架构及安全访问策略，这些访问控制策略能够为虚拟机迁移过程提供防护。

2 云安全架构与模型

2.1 云数据中心安全访问控制需求

图1云数据中心安全访问控制路径

如图1所示：目前云数据中心主要存在3条转发路径：

•外部网络与数据中心网络间

•数据中心内部不同的子网间

•数据中心同一子网内终端间

如何实现这三条转发路径的安全防护需求是云安全的核心内容。

2.2 云安全总体架构

按照上述云数据中心的安全访问控制需求，H3C提出了一个新的云安全总体架构（参见图2）。在这个云安全总体架构中融合了云、网络虚拟化、安全等一些技术的方案。将原先基于连接的、孤立离散的安全策略，转变为基于SDN的、面向对象可定义和自适应的安全体系。

图2H3C云安全总体架构

云安全总体架构从上到下分为4个层次。就像今天的云计算一样，我们也可以把安全变成一种服务，安全云服务通过在云平台H3Cloud OS上的安全服务入口统一对外提供服务。

SDN解决了传统安全部署时的拓扑依赖问题，实现全局视野的“统一安全策略”，SDN控制器的角色由H3C VCF控制器担当；嵌入式安全是指嵌入在H3C S1020V上的安全功能，可以帮助我们把不同安全终端连接起来；而NFV则提供了安全设备的“弹性扩展”及“快速交付”能力，NFV安全将具有安全防护能力的防火墙功能提供给虚拟机，实现随时随地的安全防护，这样使得安全部署的敏捷性得到了大大提升。硬件安全则提供了高性能硬件安全服务。

服务链将这些安全设备全部串接在一起。我们通过H3C VCF控制器实现对安全资源的分配，通过服务链APP实现对安全策略主动性的安全调控。另外，还可以通过代理等方式实现第三方安全设备的接入。

NFV（Network Function Virtualization，网络功能虚拟化）通过使用x86等通用性硬件以及虚拟化技术，把网络功能承载在服务器上。NFV安全设备是指直接运行在服务器上的软件，云安全环境下使用的NFV软件主要是VSR、vFW、vLB这三种。

NFV通过将网络设备的硬件和软件解耦，并把传统网络设备内的业务功能分解成一个个VNF（即虚拟网络转发单元），通过对VNF的统一编排和管理，根据应用需求定义为不同的业务链，实现不同业务流经过不同VNF进行处理，从而实现各种复杂的网络业务逻辑。

硬件安全设备有M9000，F5000，L5000等。F5000是盒式的物理防火墙设备，L5000是盒式的物理负载均衡设备，M9000是框式安全设备。硬件安全设备支持下述特性：

•支持丰富的攻击防范功能。包括：Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic、Ping of Death、Tiny Fragment、Tear Drop、IP Spoofing、

IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、

地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、

CC等常见DDoS攻击的检测防御。

•对NAT的支持也非常完善，静态NAT、源地址NAT、目的地址NAT、NAT ALG等都可以支持。

•支持安全ONE平台（SOP）。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙：SOP之间实现了基于进程的真正相互隔离；SOP通过统一的OS内核可以对系统的静

态及动态的资源进行细粒度的划分；SOP数目可以根据用户需求动态的进行调整。

•在每个SOP内部还可以通过VRF虚拟出更多的vFW、vLB，以满足大规格租户场景的需求。

2.3 基于租户的安全隔离

云安全架构的服务对象是租户，实现租户之间的隔离是基础。H3C通过VPC方案实现租户的安全隔离，在云计算平台中，向租户提供从逻辑上完全隔离的虚拟数据中心环境，租户间是完全无法相互访问的。并且通过VPN在租户自身网络到虚拟数据中心网络间建立安全通道，保证访问数据传输完全。

VPC是DC资源出租单元，租户以VPC为粒度进行资源租用。一个VPC就是一朵虚拟私有云，是一个组织（企业一般由若干组织组成）的虚拟数据中心，它是灵活管理该组织下资源的逻辑抽象，用于对可用的CPU、内存资源、存储和网络进行管理。

一个VDC（虚拟数据中心）包含一个或多个VPC。不同VPC之间默认隔离，一个VPC对应一个VRF。所以说，租户与VDC存在对应关系，一个VDC（租户）可以包含多个VPC。