在云数据中心里,虚拟化安全防护应该考虑哪些因素
1、数据中心需要考虑投入产出比
2、云计算数据中心的虚拟化场景需要安全解决方案的良好配合。
例如:为每个租户分配不同的虚拟安全设备及管理账号,让其自行管理,这就要求安全设备的虚拟化是完整的(包括接口、路由、策略、管理员等各种对象)。另外不同租户的业务不同,对安全保护的要求也各不相同。例如Web服务商需要IPS,邮件服务商需要反垃圾邮件,这就要求安全设备的所有功能都能在虚拟化之后正常工作。
3、在云计算时代,虚拟化的确成了防火墙(包括下一代防火墙、UTM等多功能网关)的必备功能。安全部署必须无缝贴合云计算虚拟化的结构。完全独立的虚拟化,全功能虚拟化。这两点看似既简单又理所应当,但实际实现还是有较高技术难度的,需要云计算数据中心的注意。
开放接口安全的解决方案有哪些
1. 数据中心设计原则
依据数据中心网络安全建设和改造需求,数据中心方案设计将遵循以下原则:
1.1 网络适应云环境原则
网络的设计要在业务需求的基础上,屏蔽基础网络差异,实现网络资源的池化;根据业务自动按需分配网络资源,有效增强业务系统的灵活性、安全性,降低业务系统部署实施周期和运维成本。
1.2 高安全强度原则
安全系统应基于等保要求和实际业务需求,部署较为完备的安全防护策略,防止对核心业务系统的非法访问,保护数据的安全传输与存储,设计完善的面向全网的统一安全防护体系。同时,应充分考虑访问流量大、业务丰富、面向公众及虚拟化环境下的安全防护需求,合理设计云计算环境内安全隔离、监测和审计的方案,提出云计算环境安全解决思路。
1.3 追求架构先进,可靠性强原则
设计中所采用的网络技术架构,需要放眼长远,采用先进的网络技术,顺应当前云网络发展方向,使系统建设具有较长的生命周期,顺应业务的长远发展。同时保证网络系统的可靠性,实现关键业务的双活需求。同时,应为设备和链路提供冗余备份,有效降低故障率,缩短故障修复时间。
1.4 兼容性和开放性原则
设计中所采用的网络技术,遵守先进性、兼容性、开放性,以保证网络系统的互操作性、可维护性、可扩展性。采用标准网络协议,保证在异构网络中的系统兼容性;网络架构提供标准化接口,便于整体网络的管理对接,实现对网络资源的统一管理。
2. 云计算环境下的安全设计
随着目前大量服务区虚拟化技术的应用和云计算技术的普及,在云计算环境下的安全部署日益成为关注的重点问题,也关系到未来数据中心发展趋势。在本设计方案中,建议采用高性能网络安全设备和灵活的虚拟软件安全网关(NFV 网络功能虚拟化)产品组合来进行数据中心云安全设计。在满足多业务的安全需求时,一方面可以通过建设高性能、高可靠、虚拟化的硬件安全资源池,同时集成FW/IPS/LB等多种业务引擎,每个业务可以灵活定义其需要的安全服务类型并通过云管理员分配相应的安全资源,实现对业务流量的安全隔离和防护;另一方面,针对业务主机侧的安全问题,可以通过虚拟软件安全网关实现对主机的安全防护,每个业务可以针对自身拥有的服务器计算资源进行相应的安全防护和加固的工作。其部署示意图如下所示:
2.1 南北向流量安全防护规划
在云计算数据中心中,针对出入数据中心的流量,我们称之为“南北向流量”。针对南北向流量的安全防护,建议采用基于虚拟化技术的高性能安全网关来实现。
虚拟化技术是实现基于多业务业务隔离的重要方式。和传统厂商的虚拟化实现方式不同,H3C的安全虚拟化是一种基于容器的完全虚拟化技术;每个安全引擎通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上,多台虚拟防火墙相互独立,每个虚拟防火墙实例对外呈现为一个完整的防火墙系统,该虚拟防火墙业务功能完整、管理独立、具备精细化的资源限制能力,典型示意图如下所示:
虚拟防火墙具备多业务的支持能力
虚拟防火墙有自己独立的运行空间,各个实例之间的运行空间完全隔离,天然具备了虚拟化特性。每个实例运行的防火墙业务系统,包括管理平面、控制平面、数据平面,具备完整的业务功能。因此,从功能的角度看,虚拟化后的系统和非虚拟化的系统功能一致。这也意味着每个虚拟防火墙内部可以使能多种安全业务,诸如路由协议,NAT,状态检测,IPSEC VPN,攻击防范等都可以独立开启。
虚拟防火墙安全资源精确定义能力
通过统一的OS内核,可以细粒度的控制每个虚拟防火墙容器对的CPU、内存、存储的硬件资源的利用率,也可以管理每个VFW能使用的物理接口、VLAN等资源,有完善的虚拟化资源管理能力。通过统一的调度接口,每个容器的所能使用的资源支持动态的调整,比如,可以根据业务情况,在不中断VFW业务的情况下,在线动态增加某个VFW的内存资源。
多层次分级分角色的独立管理能力
基于分级的多角色虚拟化管理方法,可以对每个管理设备的用户都会被分配特定的级别和角色,从而确定了该用户能够执行的操作权限。一方面,通过分级管理员的定义,可以将整个安全资源划分为系统级别和虚拟防火墙级别。系统级别的管理员可以对整个防火墙的资源进行全局的配置管理,虚拟防火墙管理员只关注自身的虚拟防火墙配置管理。另一方面,通过定义多角色管理员,诸如在每个虚拟防火墙内部定义管理员、操作员、审计员等不同角色,可以精确定义每个管理员的配置管理权限,满足虚拟防火墙内部多角色分权的管理。
2.2 东西向流量安全防护规划
数据中心中虚机(VM)间的交互流量,我们称之为“东西向流量”。针对东西两流量,采用虚拟软件安全网关产品来实现安全防护。
对于普通的云计算VPC模型的业务,既可以将NFV安全业务安装在业务服务器内,也可以部署独立的安全业务网关服务器。可采用部署独立的安全业务网关服务器,此时安装了NFV的独立的服务器资源逻辑上被认为是单一管理节点,对外提供高性能的VFW业务。
考虑到在虚拟化之后服务器内部的多个VM之间可能存在流量交换,在这种情况下外部的安全资源池无法对其流量进行必要的安全检查,在这种情况下,基于SDN架构模式的虚拟化软件安全网关vFW产品应运而生,在安全功能方面,为用户提供了全面的安全防范体系和远程安全接入能力,支持攻击检测和防御、NAT、ALG、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN、IPSec VPN等丰富业务功能。
vFW技术带来如下优势:
• 部署简单,无需改变网络即可对虚拟机提供保护
• 安全策略自动跟随虚拟机迁移,确保虚拟机安全性
• 新增虚拟机能够自动接受已有安全策略的保护
• 细粒度的安全策略确保虚拟机避免内外部安全威胁;
vFW解决方案能够监控和保护虚拟环境的安全,以避免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云计算网络带来全面的安全防护,帮助企业构建完善的数据中心和云计算网络安全解决方案。
3. 云计算环境下数据安全防护手段建议
基于以上云计算环境下的数据安全风险分析,在云计算安全的建设过程中,需要针对这些安全风险采取有针对性的措施进行防护。
3.1 用户自助服务管理平台的访问安全
用户需要登录到云服务管理平台进行自身的管理操作设置,如基础的安全防护策略设置,针对关键服务器的访问权限控制设置,用户身份认证加密协议配置,虚拟机的资源配置、管理员权限配置及日志配置的自动化等等。这些部署流程应该被迁移到自服务模型并为用户所利用。在这种情况下,云服务管理者本身需要对租户的这种自服务操作进行用户身份认证确认,用户策略的保密、不同租户之间的配置安全隔离以及用户关键安全事件的日志记录以便后续可以进行问题跟踪溯源。
3.2 服务器虚拟化的安全
在服务器虚拟化的过程中,单台的物理服务器本身可能被虚化成多个虚拟机并提供给多个不同的租户,这些虚拟机可以认为是共享的基础设施,部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作,同时,针对全部虚拟机的管理平台,一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。
在此背景下,不同的租户可以选择差异化的安全模型,此时需要安全资源池的设备可以通过虚拟化技术提供基于用户的专有安全服务。如针对防火墙安全业务的租户,为了将不同租户的流量在传输过程中进行安全隔离,需要在防火墙上使能虚拟防火墙技术,不同的租户流量对应到不同的虚拟防火墙实例,此时,每个租户可以在自身的虚拟防火墙实例中配置属于自己的访问控制安全策略,同时要求设备记录所有安全事件的日志,创建基于用户的安全事件分析报告,一方面可以为用户的网络安全策略调整提供技术支撑,另一方面一旦发生安全事件,可以基于这些日志进行事后的安全审计并追踪问题发生的原因。其它的安全服务类型如IPS和LB负载均衡等也需要通过虚拟化技术将流量引入到设备并进行特定的业务处理。
3.3 内部人员的安全培训和行为审计
为了保证用户的数据安全,云服务管理者必须要对用户的数据安全进行相应的SLA保证。同时必须在技术和制度两个角度对内部数据操作人员进行安全培训。一方面通过制定严格的安全制度要求内部人员恪守用户数据安全,另一方面,需要通过技术手段,将内部人员的安全操作日志、安全事件日志、修改管理日志、用户授权访问日志等进行持续的安全监控,确保安全事件发生后可以做到有迹可寻。
3.4 管理平台的安全支持
云服务管理者需要建设统一的云管理平台,实现对整个云计算基础设施资源的管理和监控,统一的云管理平台应在安全管理功能的完整性以及接口API的开放性两个方面有所考虑。前者要求管理平台需要切实承担起对全部安全资源池设备的集中设备管理、安全策略部署以及整网安全事件的监控分析和基于用户的报表展示;后者的考虑是为了适配云计算环境中可能存在的多种安全设备类型或多厂商设备,也需要在API接口的开放性和统一性上进行规范和要求,以实现对下挂安全资源池设备的配置管理和日志格式转换等需求。也只有这样才能实现设备和管理平台的无缝对接,提升云管理平台的安全管理能力。
绿色数据中心,应该从哪些方面考虑节能降耗?
一是机房规划与设计。在机房规划的过程中,要充分考虑节能的可能和空间。影响数据中心能耗的因素除电源、UPS和空调的配置之外,还有更多因素需要考虑,因此在规划建设数据中心机房时,需要全面考量。
二是IT设备与技术。数据中心真正的“用户”是IT设备,不应该忽视IT设备的工作温度和湿度。如果选用了对工作温度和湿度都很敏感的IT设备,就不得不再花费大量的人力、物力去建立和维护耗能很大的空调保障系统。
除了工作温度和湿度,IT设备自身的能效比也需要关注。IT设备能效比=IT设备每秒的数据处理流量或每秒的数据吞吐量/IT设备的功耗。IT设备的能效比越高,意味着IT设备每消耗1瓦的电能,所能处理、存储和交换的数据量越大。较高的IT设备能效比带来的一个好处是,可以大幅度地降低与数据中心机房配套的UPS、空调系统的容量及功耗,从而达到节能、节省投资和节省机房安装面积的目的。
西信最新的PUE值是1.6以内,远领先于国内平均水平。
绿色数据中心
实现绿色数据中心肯定是接下来一个发展的目标,现在都在提倡绿色社会,提倡绿色数据中心已经成为趋势,施耐德电子在各行业都有涉及,在业务上更是还涵盖了可再生能源,使施耐德电子产品供电更安全、可靠、全面实心自动化、节能增效作用也更加明显,其中能耗是数据中心主要的运维成本,建设绿色数据中心,可以达到节省运维成本、提高数据中心容量、提高电源系统的可靠性及可扩展的灵活性等效果。绿色数据中心是新一代数据中心发展的重要方向之一,至于如何实现绿色数据中心节能,施耐德电子在通过更优化的设计,力图在提升产品性能的同时,推出更加节能的产品,以帮助数据中心实现节能降耗。
如何规划数据中心的发展战略
为了专注于他们的工作和数据中心,数据中心的管理者不光要定期回过头看看工作和数据中心发生了什么,还需要往前看,这就是数据中心的管理者应该要做的事情,帮助企业更好的管理。与其说往前看是对数据中心将往何去的猜测,还不如说是对其未来的思考。数据中心管理者必须借助策略来让今日的展望变成明日的事实。然而,战略往往和其他预测一样缥缈无形,所以忙于日常工作的数据中心管理者们可能会忘记战略策划以及其他所有非手头上的事情。
无战略的管理企业系统说明了没有通过战略来协调运营及技术发展所带来的后果。不完整的系统会花费大量的时间和资源。如果有实施战略的话,企业就不会浪费时间在确定战略上,而是执行满足组织要求的系统。但是,企业忙忙碌碌,保持系统运行,而战略会在这种氛围中被抛至脑后。
建立战略信心计划会指导数据中心管理者如何设计一个框架并开发战略计划来打破这种没有战略而失控的恶性循环。作为数据中心的管理者,首先考察当前情形、清查缺失和需求。可从这些基准信息来制定战略计划。战略计划可用于实现诸如提高质量,或取得竞争优势等高层次的目标,而且还可用于更为具体的目标,比如如何利用新技术更新系统。
竞争力领袖的新信息系统提出了一个旨在提供竞争优势全面信息系统的组织,展示了如何让系统操作适应这个组织。它解释了信息系统和数据中心必须支持的新技术。最重要的是,它说明了战略是如何影响系统操作、信息系统以及整个组织。主导信息系统的数据中心必须为整个组织提供优质的服务。向用户提供优质的服务必须是任何数据中心管理者的首要任务。
提供信息系统优质服务讨论了如何实现一个成功的优质服务战略。数据中心会有很多职能外包给第三方公司。那么数据中心管理者如何才能保证外部组织运行领域的优质服务呢?
实现优质外包解释的,优质外包寻求的是能共享统一价值观和原则并能提升能力的商业伙伴。本章为数据中心管理者寻求这样的合作伙伴提供一个框架。由于技术每6个月就变革,所以计划长期实施新技术是何等困难。
收购和部署先进的信息技术提供了一些信息以帮助管理者为技术变革建立秩序以及如何在整个企业内部进行部署。前面的章节讨论了开发战略计划。本节将以如何实施战略的独特方法结尾。
运用JAD进行战略实施。借助系统开发所采用的联合应用开发技术(JAD)来实施战略。通过一些列简便化环节,JAD提供一个有效的流程来收集信息并对问题提出详尽的解决方案。其结果往往使项目实施的更优质、更流畅。
三叶草公司采取众多组织相同的方式进行企业系统的开发运行。三叶草公司在20世纪70年代成立了一些独立的主机系统,到了80年代,这些不相容的独立系统雨后春笋搬增加到100多个,统统都链接在一个网络上。直到实施了集中局域网战略,系统才实现互用性。今天,局域网和电信系统已成为该组织的支柱,但是,除非开发更新的IT战略,否则这些系统将不再能够跟得上三叶公司及其员工不断变化的需求。
组织及系统概要
这个结构众多的组织拥有2,300多名工作人员。信息技术(IT)支撑着这个工作多样、业务分散的组织,与此同时,局域网已演变成电子中枢神经系统。尽管通讯和信息技术政策对三叶草公司尤为重要,但其交接给了最多不过是初级技术专家的员工来处理。高级管理人员不再为公司技术基础设施建设出谋划策了。
大概是在1971年,三叶草公司第一批创建和管理的两个自动化数据项目办公室是用于飞机燃料系统和跟踪/任务的飞机维修零部件系统。基于大型机的数据和硬件,这些办公室作为独立的实体与现场启动自动化系统共同协作,以支持此类自动系统的现场用户。从基本的故障排除到程序代码修正,现场协助分部(FAB)始终致力于终端用户的支持。与局域网和广域网链接的主机系统犹如所有问题报告智囊库在进行服务,独立应用软件FAB的运用能得到有效的解决方案。FAB的创建为援助提供了客户需求,这些援助来自三叶草公司发展使用的越来越多的自动化系统用户,经常即时解决急切问题。三叶草管理层实施的默认信息技术战略使系统陷入了巨大的错位中。相互操作性从未在系统发展中考虑过,从而这些自动化系统——他们的辅助办公室的可及性及信息分享能力(覆盖范围)不比单个系统更宽。其结果是一大堆“大烟囱”系统和办公室——15英尺外创建的两个自动化系统可能完全互不相容。
20世纪80年代,三个充满活力的初级电气工程师认识到这些烟囱系统引起的问题,并提出了解决方案——数据通讯的双路宽带网络(即一个简单的宽带线路,每个节点有独立的输入/输出宽带供给)。该宽带主干网建成并纳入双绞线路,以9,600bps的速度运行在每个独立的自动化系统办公室。数据网络结构允许在三叶草公司进行主机信息的网络运行,并且允许现场用户与相应的主机联网。该数据网络引发的激烈响应使更多的宽带升级到中级水平。数据通信的宽带升级到同轴电缆,运行速度达到10Mbps,响应速度更快和访问客户更多。
数据通信网络建成后,初级技术人员了解到,通过软件升级到现有的应用,数据通信网络主干就可以支持信息网络。技术人员对协调各办公室之间通信价值的认知带动了信息网络的建立。局域网10Mbps操作速度达到了数据通信网络的速度。然而,独立办公专用软件的多样特性常常会让网络软件超载。此外,网络管理软件和办公电脑硬件过剩之间的冲突导致相互操作性瘫痪,造成整个网络荡机。三叶草的计算机业务主管形容将此技术平台称为“一次庞大的计算机集结。”
数据中心如何做好选址和规划?
企业数据需要在不断发生变化,新数据中心基础设施建设正挑战每位公司高管的神经,尽管推动建立一个新数据中心让人兴奋,但这个过程非常长,充满了挑战和痛苦。 企业决策者启动一个建设计划首先是选择一个最佳的物理位置,但数据中心选址并不象一般房地产选址那么简单,需要考虑公共事业,信道的可用性,安全问题,本地人才和地方政府的刺激措施,这些因素可以帮助你在数据中心建设项目中关键决策时不会失误。 为现在和未来做好规划 建立一个新数据中心不仅需要考虑建筑成本,正确选址是一个充满挑战的决策过程,总会出现有形和无形的问题,有几点是很明显的,新的数据中心必须提供足够的物理空间,为设备和员工提供安全保障。例如,数据中心至少需要一个高可用,不太昂贵的电源和WAN连接,当然有多个冗余WAN连接是最好的。 但不要忽略了项目有形的因素,所选择的位置应该相对稳定,无潜在的地质隐患,同时也要考虑当地恶劣天气的影响,应该避开机场和核电厂,因为在紧急情况下,完全有可能要求你转移或关闭你的基础设施。 这些因素都应该仔细权衡,不仅要考虑建设需要,也要考虑未来整个数据中心运营周期。先不要担心这些因素的成本问题,或许政府出台的优惠政府就能抵消这些成本。 经济状态和发展 通过搜索引擎你就能找出当地的经济情况,并尽可能了解当地政府的未来规划,了解得越多越好,例如企业倒闭的数量,大学毕业生占当地人口的百分比,当地政府一般会出台一些优惠政策吸引投资,因此你必须搞清楚所有的优惠政策和实施细则,这些因素可能会逐步缩小你的选址范围。 了解税收 税收是不可避免的,但你应该了解支付的具体税收数目,并且尽可能与其它地方的税收进行对比。另外,可以考虑在国外建立数据中心,例如,2007年冰岛的税收是17%,而美国的是39%。 防范潜在的灾难 即便是有最优惠的税收政策,但如果经常发生自然灾害,那也不应该考虑这种地方,特别是靠近地震断层,洪水淹没区域,海洋风暴或龙卷风经常光顾的地方更不能考虑。 选址国外也需要考虑几个潜在的问题,如自然灾害,电力供应,税收,同时还需要考虑该国的政治因素。 熟练的IT专业人员 越复杂和自动化的数据中心越需要技术熟练的专业人员维护,在你现在的数据中心可能有这样的人选,但你不要期望他们都愿意离开现在的地方,到遥远的,无人认识的新数据中心去认真工作。因此,最好是在当地寻找合适的人选,可以通过一些技术培训和传帮带使其成为熟练的专业人士,但不是所有地方都有大量的人才供你挑选。 购买土地 当你确定了一个合适的地区后,就该着手考虑真正的土地问题了,你可以通过当地经济发展办公室了解到很多信息,也可以到当地政府网站去了解土地拍卖信息。 不能建设新的,就改造旧的 专家一般都认为建设一个新数据中心比改造旧数据中心更容易,风险更小,但总有些公司出于种种原因,原本打算建设新数据中心的想法被迫暂时搁浅,只能选择升级改造现有数据中心。 改造数据中心的挑战有所不同,比如可能会面临电力和制冷基础设施的全部更新换代,地板加固等等,最困难的是这些改造行动必须在保证现有服务不中断的情况下实施。 建设一个新数据中心就简单多了,比如直接购买Sun公司模块化的数据中心S20或SGI的冰块模块化数据中心,这种集装箱式的数据中心受到客户的极力赞扬,它们具有密度高,部署快速(也易于重新部署)和低成本的优点。