H3C云安全服务技术白皮书-V1.0
H3C云安全服务技术白皮书
Copyright ? 2016 杭州H3C技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目录
1 概述 (1)
2 云安全架构与模型 (1)
2.1 云数据中心安全访问控制需求 (1)
2.2 云安全总体架构 (2)
2.3 基于租户的安全隔离 (3)
2.4 安全架构的两种模型 (4)
3 嵌入式安全 (5)
3.1 安全组ACL功能 (5)
3.2 分布式状态防火墙功能 (6)
4 云服务链 (6)
5 基于SDN和服务链的云安全组网方案 (8)
5.1 VSR做网关的服务链方案 (8)
5.2 物理交换机做网关的服务链方案 (9)
5.3 服务链和第三方安全设备对接 (10)
5.4 服务链支持东西向和南北向安全的总结 (12)
6 安全资源池化 (12)
6.1 网络服务资源虚拟化和池化 (12)
6.2 多资源池支持 (14)
6.3 安全资源池之大规模租户技术 (15)
6.3.1 硬件资源池支持大规模租户 (15)
6.3.2 软件资源池支持大规模租户 (16)
6.4 云安全微分段服务 (17)
6.5 安全资源池之高可靠性技术 (17)
7 多层次安全防护体系 (18)
7.1 异构设备组成的统一安全资源池 (18)
7.2 多层次的安全体系 (19)
8 安全功能通过云服务部署 (19)
9 H3C云安全优势总结 (21)
1 概述
云计算技术的发展,带来了新一轮的IT技术变革,但同时也给网络与业务带来巨大的挑战。网络服务模式已经从传统的面向连接转向面向应用,传统的安全部署模式在管理性、伸缩性、业务快速升级等方面已经无法跟上步伐,需要考虑建设灵活可靠,自动化快速部署和资源弹性可扩展的新安全防护体系。
同时,按照云计算等保规范《信息系统安全等级保护第二分册云计算安全要求》草案7.1.2网络安全章节的描述,对云网络安全也有下述要求:
?保证云平台管理流量与云租户业务流量分离;
?根据云租户的业务需求自定义安全访问路径;
?在虚拟网络边界部署访问控制设备,并设置访问控制规则;
?依据安全策略控制虚拟机间的访问。
H3C充分探索了云安全的需求,引入基于SDN和服务链的安全体系,可以灵活结合软硬件安全设备提供各种安全服务。安全服务有FW、LB和IPS/AV等。通过云平台进行统一调度,使得云租户可以依据自身需求申请安全服务,自定义业务应用系统安全架构及安全访问策略,这些访问控制策略能够为虚拟机迁移过程提供防护。
2 云安全架构与模型
2.1 云数据中心安全访问控制需求
图1云数据中心安全访问控制路径
如图1所示:目前云数据中心主要存在3条转发路径:
?外部网络与数据中心网络间
?数据中心内部不同的子网间
?数据中心同一子网内终端间
如何实现这三条转发路径的安全防护需求是云安全的核心内容。
2.2 云安全总体架构
按照上述云数据中心的安全访问控制需求,H3C提出了一个新的云安全总体架构(参见图2)。在这个云安全总体架构中融合了云、网络虚拟化、安全等一些技术的方案。将原先基于连接的、孤立离散的安全策略,转变为基于SDN的、面向对象可定义和自适应的安全体系。
图2H3C云安全总体架构
云安全总体架构从上到下分为4个层次。就像今天的云计算一样,我们也可以把安全变成一种服务,安全云服务通过在云平台H3Cloud OS上的安全服务入口统一对外提供服务。
SDN解决了传统安全部署时的拓扑依赖问题,实现全局视野的“统一安全策略”,SDN控制器的角色由H3C VCF控制器担当;嵌入式安全是指嵌入在H3C S1020V上的安全功能,可以帮助我们把不同安全终端连接起来;而NFV则提供了安全设备的“弹性扩展”及“快速交付”能力,NFV安全将具有安全防护能力的防火墙功能提供给虚拟机,实现随时随地的安全防护,这样使得安全部署的敏捷性得到了大大提升。硬件安全则提供了高性能硬件安全服务。
服务链将这些安全设备全部串接在一起。我们通过H3C VCF控制器实现对安全资源的分配,通过服务链APP实现对安全策略主动性的安全调控。另外,还可以通过代理等方式实现第三方安全设备的接入。
NFV(Network Function Virtualization,网络功能虚拟化)通过使用x86等通用性硬件以及虚拟化技术,把网络功能承载在服务器上。NFV安全设备是指直接运行在服务器上的软件,云安全环境下使用的NFV软件主要是VSR、vFW、vLB这三种。
NFV通过将网络设备的硬件和软件解耦,并把传统网络设备内的业务功能分解成一个个VNF(即虚拟网络转发单元),通过对VNF的统一编排和管理,根据应用需求定义为不同的业务链,实现不同业务流经过不同VNF进行处理,从而实现各种复杂的网络业务逻辑。
硬件安全设备有M9000,F5000,L5000等。F5000是盒式的物理防火墙设备,L5000是盒式的物理负载均衡设备,M9000是框式安全设备。硬件安全设备支持下述特性:
?支持丰富的攻击防范功能。包括:Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic、Ping of Death、Tiny Fragment、Tear Drop、IP Spoofing、
IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、
地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、
CC等常见DDoS攻击的检测防御。
?对NAT的支持也非常完善,静态NAT、源地址NAT、目的地址NAT、NAT ALG等都可以支持。
?支持安全ONE平台(SOP)。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙:SOP之间实现了基于进程的真正相互隔离;SOP通过统一的OS内核可以对系统的静
态及动态的资源进行细粒度的划分;SOP数目可以根据用户需求动态的进行调整。
?在每个SOP内部还可以通过VRF虚拟出更多的vFW、vLB,以满足大规格租户场景的需求。
2.3 基于租户的安全隔离
云安全架构的服务对象是租户,实现租户之间的隔离是基础。H3C通过VPC方案实现租户的安全隔离,在云计算平台中,向租户提供从逻辑上完全隔离的虚拟数据中心环境,租户间是完全无法相互访问的。并且通过VPN在租户自身网络到虚拟数据中心网络间建立安全通道,保证访问数据传输完全。
VPC是DC资源出租单元,租户以VPC为粒度进行资源租用。一个VPC就是一朵虚拟私有云,是一个组织(企业一般由若干组织组成)的虚拟数据中心,它是灵活管理该组织下资源的逻辑抽象,用于对可用的CPU、内存资源、存储和网络进行管理。
一个VDC(虚拟数据中心)包含一个或多个VPC。不同VPC之间默认隔离,一个VPC对应一个VRF。所以说,租户与VDC存在对应关系,一个VDC(租户)可以包含多个VPC。
图3云租户安全隔离方案
?VPC间隔离:通过Router的逻辑划分,实现不同VPC之间的流量在网关和服务节点内隔离;
?VPC内二层隔离:通过Underlay报文中的VXLAN标识,实现不同Subnet之间的二层流量隔离;
?利用H3C S1020V的状态防火墙提供同一租户内部VM之间的4层安全防护能力;
?利用vFW实现同一租户不同Subnet之间的4~7层安全防护能力;
?利用vFW实现租户内网与外网的4~7层安全防护能力。
如果在综合组网中部署了网关或服务节点,虚拟网络的报文在网关或服务节点处理时,会根据所属租户的vRouter为报文确定虚拟转发域(VRF)。网关或服务节点设备根据报文目的IP地址和所属VRF查找路由转发表。通过VRF技术实现了不同租户的转发表隔离,在网关或服务节点上实现了不同租户流量隔离和IP地址重叠。
2.4 安全架构的两种模型
在谈到云数据中心安全访问控制需求时,我们在图1中描述了3条转发路径。这3条转发路径在没有服务链的情形和有服务链的情形,安全防护的转发逻辑有差别:
?无服务链情况:路径1和路径2的流量都会经过VXLAN IP网关,可以通过网关外挂的安全设备(NFV/M9000)进行防护,支持4~7层的安全;路径3的流量通过vSwtich上的防火墙
功能进行防护,支持4层的安全。
?有服务链情况:路径1同无服务链情况时相同,路径2和路径3可以通过服务链导流到安全服务节点NFV设备上进行防护,也支持4~7层的安全。
基于东西向安全防护在有无服务链情况下的差别,我们把安全模型分类为两种:
第一种是嵌入式安全模型,东西向的安全功能集成在H3C S1020V上,支持4层安全组ACL和状态防火墙,为虚拟机提供最贴身的安全防护。通过分布式架构,提供高容量安全性能。安全服务分布在各个H3C S1020V上,并且安全行为可以跟随虚拟机迁移,因此是一种分布式安全方案;
另外一种是服务链安全模型,该模型支持通过服务链实现多种安全业务的组合自定义。可以支持FW/LB/IPS/AV等更丰富的安全特性。通过服务链引流解决了路径依赖问题。同时还可以集成物理安全设备,提供安全高转发性能;形成安全资源池,满足租户对安全资源的弹性需求。服务链安全模型采用安全资源池提供安全服务,是一个典型的集中式安全方案。
H3C的云安全方案支持以上两种模型的组合,可以形成立体多维度的安全防护体系。
图4H3C云安全模型
3 嵌入式安全
H3C S1020V是H3C自有的vSwitch软件。嵌入式安全主要通过H3C S1020V上的安全组功能实现,安全组又分安全组ACL和状态防火墙两种功能。
3.1 安全组ACL功能
图5安全组ACL功能示意图
安全组ACL功能是一组安全规则合集,在虚拟交换机上针对不同类型虚拟机下发ACL,实现虚拟机访问的控制。用户可以根据需求创建多个安全组,并将虚拟机加入指定安全组。安全组ACL的特点是:
?以虚拟机为粒度的安全防护;
?主要用于实现东西向防护;
?同一安全组内,虚拟机可以互访;
?不同安全组内的虚拟机,需按照设定的策略访问。
3.2 分布式状态防火墙功能
状态防护墙是安全组的另一种实现方式,依据下发的防火墙策略对端口报文做相应处理。
H3C S1020V上的状态防火墙,可以支持4层协议,如TCP、UDP、IP和ICMP等协议。可以基于源IP地址、目的IP地址、协议类型(如TCP)、源端口和目的端口的五元组下发规则,可以灵活决定报文是允许还是丢弃。
配置防火墙策略后,原有转发流程会以黑盒的形式嵌入到防火墙Netfilter框架的报文处理过程中,接收到报文后依据配置的防火墙策略在Netfilter的对应阶段调用相应的钩子函数实现对应的防火墙功能。
在虚拟机迁移或删除时,H3C VCF控制器控制下发相关防火墙策略随即迁移,实现整个数据中心的分布式防火墙功能。
H3C VCF控制器与H3C S1020V的连接中断重连时,H3C VCF控制器会与H3C S1020V进行安全策略平滑。
分布式状态防火墙功能和安全组ACL功能可以共存,可以同时配置,同时生效。
状态防火墙和安全组的区别是,状态防火墙是有方向的,比如VM1和VM2之间互访,状态防火墙可以实现VM1能访问VM2,VM2不能访问VM1这样的需求。另外状态防火墙还可以检测状态会话,比如可以检测TCP连接,在TCP连接建立起来之前,会拒绝访问。
4 云服务链
等保规范要求的根据云租户的业务需求定义安全访问路径,我们可以考虑通过服务链来实现。
图6云安全服务链
如图6所示,可以为不同VM之间的流量单独定义“安全服务链”,安全资源池化与物理拓扑无关;安全资源池可以支持弹性扩展。
数据报文在网络中传递时,需要经过各种各样的服务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。网络流量按照业务逻辑所要求的既定顺序经过这些服务节点,这就是服务链(Service Chain)。
服务链的节点说明如图7,服务链是支撑虚拟化、业务网络可编程的关键技术。通过服务链,VPC 数据中心各服务节点可以真正实现业务应用与网络位置解耦,实现网络业务灵活快速部署。
图7服务链节点说明
服务链中的角色说明如下:
(1) 服务节点(ServiceNode):服务节点作为资源被分配使用,它的物理位置可以是任意的,分
散的。通过服务链的导流串联,完成预定义的工作。例如防火墙、负载均衡器等,都是服务节点。
(2) 控制器(Controller):服务链的集中控制核心部件。解析用户配置的服务策略,下发给服务
节点网关,并引导服务链流量至服务节点处理。
(3) 服务链接入节点(VTEP1):通过流分类,确定报文是否需要进入服务链。需要进入服务链,
则将报文做VXLAN+服务链封装,转到服务链首节点处理。
(4) 服务链首节点(SF1):首节点对报文处理后,将用户报文做服务链封装,再转发给服务链下
一个节点。
(5) 服务链尾节点(SF2):对报文处理后,服务链尾节点需要解服务链封装,把报文修改为普通
VXLAN封装,再转发给目的VTEP。如果SF2不具备根据用户报文寻址能力,需要将用户报
文送到网关设备VTEP3,VTEP3再查询目的VTEP发送。
(6) 代理节点:对于不支持服务链封装的服务节点(例如传统物理服务节点),需要通过代理节点
剥离服务链封装,将业务策略信息转换成VLAN等,转交给服务节点处理。
5 基于SDN和服务链的云安全组网方案
通过H3C VCF控制器的统一调度,集中控制整个服务链的构建与部署,将NFV形态或硬件形态的服务资源抽象为统一的服务资源池,实现服务链的自定义和统一编排。同时,还可以灵活引入第三方安全设备进行安全防护。
5.1 VSR做网关的服务链方案
如图8所示,VSR充当VXLAN IP GW,提供Overlay网关功能;S1020V充当L2 VTEP,实现虚拟机接入到VXLAN网络中,其中H3C S1020V支持运行在ESXi、KVM、H3C CAS等多种虚拟化平台上。
安全服务节点包括VSR、vFW、vLB等设备,通过H3C VCF控制器集中控制和编排实现东西向和南北向服务链服务节点的功能。服务链能够支持vPort、Network、Subnet、IP地址进行服务链分流配置,服务节点的经过顺序是先vFW再vLB。在OpenStack、H3Cloud OS等云平台上配置安全服务,H3C VCF控制器配合实现安全服务功能,安全服务功能在云平台上配置。这种场景下南北向由VSR集成vFW功能,vLB独立部署;东西向跨网段vFW业务集成在VSR上,vLB独立部署。
图8VSR做网关的服务链
5.2 物理交换机做网关的服务链方案
如图9所示,S12500-X/S9800作为VXLAN IP GW,提供Overlay网关功能;H3C S1020V、S6800作为L2 VTEP,实现虚拟机或物理服务器接入到VXLAN网络中,其中H3C S1020V支持运行在ESXi、KVM、H3C CAS等多种虚拟化平台上。
安全服务节点包括VSR、vFW、vLB、M9000/F5000、L5000等设备。
在Openstack、H3Cloud OS等云平台上配置安全服务,H3C VCF控制器配合实现安全服务功能,安全服务功能在云平台上配置。
如图9所示,南北向由S12500-X或S9800设备做VXLAN终结,由H3Cloud OS或OpenStack通过服务链实现引流到M9000、L5000;对于跨网段的东西向流量,可以共享南北向的M9000、L5000安全防护,由H3C VCF控制器通过服务链引流到M9000/F5000、L5000。
图9S12500-X/S9800做网关的服务链
5.3 服务链和第三方安全设备对接
1. 东西向服务链代理
和第三方安全设备对接,东西向流量的安全防护方案通过服务链代理的方式实现。如图10所示,H3C VCF控制器通过S6800做代理,可以灵活引入第三方安全设备提供服务链性质的安全防护功能,可以实现东西向的防护。
图10服务链代理
2. 南北向服务链引流
和第三方安全设备对接,南北向流量的安全防护方案通过服务链引流的方式实现。如图11所示,南北向由S12500-X或S9800设备做VXLAN终结,再由H3C VCF控制器通过服务链实现引流到第三方安全设备实现安全防护。
图11南北向支持第三方安全设备
5.4 服务链支持东西向和南北向安全的总结
表1服务链支持东西向和南北向安全的总结
设备形态支持的业务部署方式
南北向转发硬件(M9000、L5000)
IPsec VPN、Floating IP、
SNAT、FW、IPS、AV等业务
落在M9000上,LB业务落在
L5000上
南北向采用服务链方式引流到
(M9000+L5000)
NFV(VSR、vFW、vLB)
IPsec VPN、Floating IP、
SNAT、FW等业务落在VSR
上(FW也可以单独部署在
vFW上),LB业务落在vLB上
方式1:南北向VSR(自带FW功
能)+vLB部署
方式2:南北向VSR+vFW+vLB部
署
两方案都采用服务链方式引流
东西向转发
硬件(F5000、L5000)
或NFV(vFW、vLB)FW、LB,服务链顺序是先
FW,再LB
东西向vFW+vLB单跳或者多跳服
务链
6 安全资源池化
6.1 网络服务资源虚拟化和池化
网络除了基本连通性需求,还需提供安全、负载分担、监控、VPN等各种网络服务。对于云数据中心,既可以使用物理安全设备、物理负载均衡设备等专业设备承载网络服务需求,也可以将vFW/vLB 等NFV虚拟网元安装在通用服务器内承载上述网络服务。物理安全设备和NFV安全设备共同构成Overlay网络服务资源。
H3C VCF控制器通过网络服务虚拟化技术,将承载层物理网络服务资源进行归一化的切片和抽象,建立虚拟网络服务节点。虚拟网络服务节点可以涵盖虚拟防火墙节点、虚拟LB节点、虚拟IPS节点等多种类型。一旦虚拟网络服务节点完成定义,H3C VCF控制器会将这些虚拟资源和承载层网元自动映射,承载层网元被切片和隔离,形成多个独立的服务空间,承载上述虚拟网络服务节点的实际业务处理。
H3C VCF控制器将异构的承载层网络服务设备进行抽象,形成为统一的虚拟网络服务节点,隐藏了底层物理网络服务设备的复杂性,可更好的管理网络服务资源。在网络服务抽象的基础上,H3C VCF控制器控制了虚拟网络服务节点的按需分配,结合数据中心融合控制层的运行和交互,这些抽象后的虚拟网络服务被按需的映射到物理网络,自动分配物理网络资源。
进一步,在H3C VCF控制器的控制下,各种类型的虚拟网络服务资源被构建为资源池,例如防火墙资源池、LB资源池、网关资源池。这些资源池简化了虚拟网络的组建,虚拟化租户可以按需向资源池申请资源。
图12云安全资源池化
抽象后的虚拟网络服务资源示例如表2所示:
表2虚拟网络安全服务资源
元素名称描述
FWaaS 按需分配的虚拟防火墙
LBaaS 按需分配的虚拟负载均衡器
VPNaaS 按需分配的虚拟VPN
网络资源池的承载层可以是物理网络设备(例如物理防火墙),也可以是安装在标准服务器上的NFV 虚拟化网元集合。网络资源池的承载层通过堆叠、主备、负载分担等方式为上层资源池提供高可靠性、高性能支撑,上层虚拟化资源池不需要关注底层实现技术,只需要按照虚拟网络服务节点抽象模型向网络资源池按需动态申请和释放网络资源。
6.2 多资源池支持
图13多资源池支持
H3C VCF控制器还可以支持多安全资源池,不同的租户业务绑定到不同的资源池中。资源池的定义有以下几种类型:
?一个M9000或者多个M9000作为一个资源池;
?一个M9000上的一个引擎组配置为一个资源池;
?使用M9000上的一个SOP单独创建资源池,使用VRF来进行资源池的内部分配。
一个安全资源池可以有多个出口,既可以满足连接多个ISP互联网出口的要求,也可以实现不同出口实现不同安全策略的需求。
6.3 安全资源池之大规模租户技术
6.3.1 硬件资源池支持大规模租户
图14硬件资源池支持大规模租户
硬件资源池支持大规模租户如图14所示,M9000上的每块业务板可以配置为一个单独的引擎组,在多块业务板的情况下,M9000设备本身就可以充当一个集成式的安全池。
集成式的安全池,每块业务板可以虚拟化出几十个逻辑安全设备(FW/SLB/IPS),并且支持在逻辑安全设备上创建VRF,每个VRF可以对应一个VPC,以提升租户数量。通过SOP+VRF叠加的技术,每块业务板可以支持1K以上的VPC数目。
集成式安全池,通过SOP+VRF的方式解决了在横向扩展能力上的弱点,可以支持在公有云上的大规模租户应用。
集成式的安全池依靠NP/多核CPU实现硬件转发,转发性能强。
集成式安全池中的单个逻辑设备可终结Overlay隧道,实现与服务链方案的对接。
6.3.2 软件资源池支持大规模租户
图15NFV软件资源池
软件安全资源池也可以通过NFV技术实现对大规模租户的支持。
H3C NFV解决方案完全遵循NFV标准的体系框架,实现ETSI架构中的VNF和VNF Manger功能。
通过REST API、NETCONF等开放接口,和H3C VCF控制器实现无缝集成,交付端到端的整体解决方案。
?NFV转发设备由X86服务器承担,用X86服务器实现NFV虚拟安全池的最大好处是横向扩展性好;每台服务器可以虚拟化出几十甚至上百个NFV安全设备,并且安全设备可以跟随服
务器的增加线性增长,也同样适合于大规模租户。
?通过NFV Manage工具VNF Manager可实现虚拟安全池的快速部署及资源弹性管理。
?NFV资源池还可以和第三方的控制平面:NFV Orchestrator、OSS/BSS等系统实现对接,因此NFV的虚拟化安全池方案适合在云计算中心部署。
6.4 云安全微分段服务
图16云安全微分段服务
传统安全模型只支持集中式的防火墙功能,无法区分东西和南北流量,制约了安全的防护能力。H3C VCF控制器针对同一租户部署多套安全资源池:如图16所示,东西向的安全资源池和南北向的安全资源池分开部署,不同Subnet之间的安全资源池又可以分开部署,实现了将流量进行分段防护,称为云安全微分段服务。这样就实现了对东西向和南北向流量的精细化安全处理,满足租户全方位的安全微服务。
6.5 安全资源池之高可靠性技术
可靠性是安全资源池最为重要的指标之一,也是云计算租户和服务商之间SLA协议的关键性指标,它关系到租户业务对外提供的持续性和健壮性。H3C高性能安全资源池提供了基于IRF技术的HA 可靠性,保证了业务故障的快速切换。
无论是NFV设备还是物理安全设备,都可以通过IRF技术把两台设备堆叠在一起,在逻辑上形成一个管理节点。基于该管理节点可以实现IRF组内两台设备之间的全局统一配置,业务流量转发的统一调度,以及减少多设备组网可能导致的二层环路,简化路由配置。H3C的安全资源池设备的HA可靠性设计,充分利用了IRF技术的优势,以IRF技术为基础,将多台安全设备形成逻辑上的单一安全管理节点,基于该管理节点,一方面可以实现多设备的统一配置管理,备份设备之间的配置保存全局同步;另一方面通过设备之间的HA心跳线实现设备之间的状态同步,包括诸如防火墙的会话状态同步,负载均衡产品各VIP虚服务的调度表项同步等;同时结合IRF链路捆绑技术等特性可以实现业务流量的自动分发和链路故障后的50ms级别的切换,最大限度的提升HA的水平。
7 多层次安全防护体系
7.1 异构设备组成的统一安全资源池
图17异构设备组成统一安全池
H3C S1020V集成了安全组ACL和状态防火墙功能,并通过H3C VCF控制器下发安全组规则和防火墙规则实现嵌入式的安全防护。
H3C VCF控制器集成了VNF Manager负责NFV资源池的管理;还集成了NGFW Manager实现了硬件安全资源池的纳管。NGFW Manager可以管理安全框式设备、安全盒式设备以及安全插卡设备。此外,H3C VCF控制器还是一个开放的体系,可以通过服务链引流把第三方安全设备集成进安全资源池。从而形成涵盖从嵌入式安全、NFV虚拟安全设备、到硬件安全设备(安全盒式设备、安全插卡设备、安全框式设备)的异构安全资源池。