基于NSX網(wǎng)絡(luò)虛擬化的微分段機(jī)制探討及應(yīng)用

朱洪武

(西南民族大學(xué)信息與教育技術(shù)中心，四川 成都 610041)

隨著云計(jì)算的大規(guī)模普及，大量公司和高校已經(jīng)將傳統(tǒng)的數(shù)據(jù)中心改造為基于虛擬化技術(shù)的軟件定義數(shù)據(jù)中心(SDDC).如今的虛擬化，已經(jīng)不僅是服務(wù)器的虛擬化，網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化、桌面虛擬化以及安全虛擬化等虛擬化技術(shù)及其衍生產(chǎn)品已經(jīng)接踵而至，在我們的生產(chǎn)生活中發(fā)揮著巨大作用.虛擬化技術(shù)已經(jīng)成為軟件定義數(shù)據(jù)中心的靈魂.使用虛擬化技術(shù)，可以更快、更靈活地實(shí)現(xiàn)業(yè)務(wù)的開(kāi)展和支持；可以隨著業(yè)務(wù)需求的變更，動(dòng)態(tài)地實(shí)現(xiàn)資源的調(diào)配；此外，還能避免硬件設(shè)備的重復(fù)投資建設(shè).

以作者所在的高校為例，學(xué)校幾年前就將傳統(tǒng)數(shù)據(jù)中心全面改造為基于VMware虛擬化技術(shù)的軟件定義數(shù)據(jù)中心.虛擬化云計(jì)算基礎(chǔ)平臺(tái)實(shí)現(xiàn)了服務(wù)業(yè)務(wù)模塊化、需求自主化、管理一體化和資源使用計(jì)量管理.學(xué)校協(xié)同辦公、電子郵件、財(cái)務(wù)查詢(xún)等各大核心業(yè)務(wù)均由數(shù)據(jù)中心提供支撐，同時(shí)，又不斷有新業(yè)務(wù)在數(shù)據(jù)中心上線(xiàn)，數(shù)據(jù)中心的業(yè)務(wù)負(fù)載和復(fù)雜度直線(xiàn)上升.數(shù)據(jù)中心的穩(wěn)定運(yùn)行就至關(guān)重要，特別是數(shù)據(jù)中心的業(yè)務(wù)數(shù)據(jù)安全，更是重中之重[1].

1 數(shù)據(jù)中心內(nèi)部存在的網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)的安全威脅，主要來(lái)自于黑客攻擊、病毒入侵、惡意用戶(hù)和用戶(hù)的誤操作.傳統(tǒng)的數(shù)據(jù)中心通常預(yù)先規(guī)劃好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，劃分好VLAN，利用不同的物理網(wǎng)絡(luò)來(lái)區(qū)分不同的業(yè)務(wù).業(yè)務(wù)的重要程度不同，對(duì)應(yīng)的安全級(jí)別也不同.傳統(tǒng)的數(shù)據(jù)中心一般認(rèn)為安全威脅來(lái)自于網(wǎng)絡(luò)外部，數(shù)據(jù)中心內(nèi)部相對(duì)安全.如圖1所示，通常只在對(duì)外的邊界上設(shè)置防火墻，抵御外部的攻擊.在邊界防火墻上設(shè)置大量規(guī)則，針對(duì)每一個(gè)獨(dú)立應(yīng)用，關(guān)閉其不需要的端口，防止被外部攻擊.而在數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)設(shè)備管控上，通常不采取措施.

圖1 傳統(tǒng)數(shù)據(jù)中心安全邊界Fig.1 Traditional data center security boundary

這是因?yàn)?，如果要防范?shù)據(jù)中心內(nèi)部不同的業(yè)務(wù)系統(tǒng)之間的安全威脅，就需要在數(shù)據(jù)中心內(nèi)額外配置防火墻，這將是一筆巨大的開(kāi)銷(xiāo).并且，系統(tǒng)管理人員對(duì)防火墻的維護(hù)也是相當(dāng)?shù)姆爆?此外，當(dāng)業(yè)務(wù)狀況進(jìn)行調(diào)整，不同業(yè)務(wù)對(duì)應(yīng)的服務(wù)器的流量訪(fǎng)問(wèn)發(fā)生改變，就需要重新配置網(wǎng)絡(luò)和防火墻.如果數(shù)據(jù)中心內(nèi)部沒(méi)有按照業(yè)務(wù)的需求進(jìn)行東西向流量的隔離，當(dāng)一個(gè)安全性較低的服務(wù)器被攻擊并感染上木馬或者病毒后，就會(huì)迅速感染數(shù)據(jù)中心內(nèi)部其他服務(wù)器，學(xué)校的教學(xué)和科研將受到影響.

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下，東西向流量之間配置防火墻繁瑣、費(fèi)時(shí).在虛擬化網(wǎng)絡(luò)中，NSX通過(guò)軟件配置就能實(shí)現(xiàn)這個(gè)功能，大大節(jié)省了人力和財(cái)力.傳統(tǒng)物理網(wǎng)絡(luò)通過(guò)網(wǎng)段或者VLAN隔離不同網(wǎng)絡(luò)，也僅僅能做到物理服務(wù)器之間隔離，同一臺(tái)服務(wù)器上的虛機(jī)之間沒(méi)法做到隔離.公安部2017年頒布的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分:云計(jì)算安全擴(kuò)展要求》(等保2.0)中明確提到:要求云租戶(hù)能夠?qū)崿F(xiàn)虛擬機(jī)之間的安全隔離、安全策略能跟隨虛擬機(jī)進(jìn)行遷移等一些列針對(duì)云計(jì)算、虛擬化環(huán)境的安全要求.不具備網(wǎng)絡(luò)虛擬化功能的數(shù)據(jù)中心很難解決上訴問(wèn)題.[2-10]

2 基于NSX的解決方案

基于云計(jì)算的網(wǎng)絡(luò)虛擬化NSX，在云環(huán)境中提供了一個(gè)安全的虛擬化網(wǎng)絡(luò)，將各業(yè)務(wù)、各虛擬機(jī)和物理網(wǎng)絡(luò)隔離開(kāi).并且，將傳統(tǒng)的網(wǎng)絡(luò)功能轉(zhuǎn)變?yōu)槔密浖姆绞綄?shí)現(xiàn)，從而提供了轉(zhuǎn)發(fā)效率，減少發(fā)夾彎流量，提升端到端的安全防護(hù).NSX在整個(gè)數(shù)據(jù)中心的物理網(wǎng)絡(luò)設(shè)備上，構(gòu)建一個(gè)虛擬化交換機(jī)，所有的虛擬機(jī)通過(guò)虛擬網(wǎng)卡連接在這個(gè)虛擬交換機(jī)上，而這個(gè)虛擬交換機(jī)橫跨整個(gè)集群所有物理服務(wù)器.我們把NSX構(gòu)建的這個(gè)虛擬交換機(jī)稱(chēng)之為分布式交換機(jī)(Distributed Switch).NSX在虛擬網(wǎng)絡(luò)上可以提供常規(guī)的路由器、負(fù)載均衡和防火墻功能外，還能提供傳統(tǒng)物理網(wǎng)絡(luò)所不能實(shí)現(xiàn)或不容易現(xiàn)實(shí)的一些網(wǎng)絡(luò)安全功能.在安全聯(lián)動(dòng)方面，NSX提供了安全標(biāo)準(zhǔn)接口，可供第三方安全產(chǎn)品接入，為無(wú)代理殺毒等安全解決方案提供了平臺(tái)保障.

NSX在已有的VLAN隔離的基礎(chǔ)上，提出了“微分段”的概念.如圖2所示，采用微分段模式，可以為一臺(tái)虛擬服務(wù)器或多臺(tái)虛擬服務(wù)器定義一個(gè)安全組，在安全組之間構(gòu)建防火墻，設(shè)置防火墻安全策略.這樣，就能真正做到虛擬服務(wù)器與虛擬服務(wù)器之間的隔離，精細(xì)度更高.還能限制任意兩臺(tái)虛擬服務(wù)器之間的訪(fǎng)問(wèn)，只允許授信虛擬服務(wù)器之間互訪(fǎng).NSX的微分段是等保2.0的最佳解決方案.

圖2 微分段安全組隔離Fig.2 micro-section security group isolation

NSX微分段能夠得以實(shí)現(xiàn)虛擬機(jī)級(jí)別的安全防護(hù)，正是依賴(lài)其構(gòu)建在分布式交換機(jī)的分布式防火墻.分布式防火墻部署在數(shù)據(jù)中心的虛擬化層ESXi上，和每一臺(tái)虛擬服務(wù)器的虛擬網(wǎng)卡相連，做到了集中管理、分布處理，實(shí)現(xiàn)了虛擬網(wǎng)卡級(jí)別的最細(xì)化的安全管控.

我們利用NSX為虛擬服務(wù)器設(shè)置安全組，將具有相同業(yè)務(wù)的虛擬服務(wù)器歸屬到同一個(gè)安全組，再針對(duì)安全組之間的數(shù)據(jù)往來(lái)要求，配置相應(yīng)的防火墻安全規(guī)則，就能實(shí)現(xiàn)虛擬服務(wù)器之間的隔離.并且，安全組的規(guī)劃具有動(dòng)態(tài)性，可以根據(jù)虛擬服務(wù)器名字或者標(biāo)簽的變化，動(dòng)態(tài)增減組內(nèi)的虛擬服務(wù)器，虛擬服務(wù)器之間的安全隔離和安全策略也能跟隨虛擬服務(wù)器進(jìn)行遷移，滿(mǎn)足云計(jì)算和虛擬化環(huán)境的安全要求[11].

3 虛擬服務(wù)器隔離實(shí)例

當(dāng)前云環(huán)境下，在同一臺(tái)計(jì)算主機(jī)上，有四臺(tái)虛擬服務(wù)器，其中有兩臺(tái)服務(wù)器用于學(xué)校在線(xiàn)課程，一臺(tái)為在線(xiàn)課程登錄播放系統(tǒng)，IP地址:10.240.6.150，一臺(tái)為在線(xiàn)課程數(shù)字資源數(shù)據(jù)庫(kù)，IP地址:10.240.6.151.另外兩臺(tái)服務(wù)器是學(xué)校保衛(wèi)處使用，一臺(tái)為監(jiān)控錄像的查詢(xún)系統(tǒng)，IP地址:10.240.6.152，一臺(tái)為監(jiān)控錄像存儲(chǔ)的數(shù)據(jù)庫(kù)，IP地址:10.240.6.153.四臺(tái)虛擬服務(wù)器都關(guān)聯(lián)到vCloudvRA-V76分段，處于同一VLAN.由于業(yè)務(wù)需求，在線(xiàn)課程登錄播放服務(wù)器和在線(xiàn)課程數(shù)字資源服務(wù)器需要發(fā)布到公網(wǎng)，提供給所有需要進(jìn)行在線(xiàn)學(xué)習(xí)的教師和學(xué)生使用.而保衛(wèi)處的監(jiān)控查詢(xún)和錄像存儲(chǔ)服務(wù)器不需要發(fā)布到公網(wǎng)，只在校園網(wǎng)內(nèi)提供給有權(quán)限的人員使用.處于公網(wǎng)環(huán)境下的服務(wù)器，相對(duì)于校園網(wǎng)環(huán)境下的服務(wù)器，面臨著更多的網(wǎng)絡(luò)安全威脅，更容易由于系統(tǒng)本身漏洞或者黑客攻擊等行為，感染病毒或者木馬.如果基于傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)，處于同一網(wǎng)段的這四臺(tái)虛擬服務(wù)器通常沒(méi)有進(jìn)行隔離，一旦公網(wǎng)服務(wù)器被病毒感染，很容易就會(huì)導(dǎo)致同網(wǎng)段的其他虛擬服務(wù)器也被病毒感染.

3.1 添加標(biāo)記創(chuàng)建安全組

利用NSX的微分段，我們可以較容易地將在線(xiàn)學(xué)習(xí)平臺(tái)的服務(wù)器和保衛(wèi)處的監(jiān)控錄像平臺(tái)的服務(wù)器隔離，禁止兩個(gè)不同業(yè)務(wù)之間的服務(wù)器互相訪(fǎng)問(wèn)，提高虛擬機(jī)的安全性，將威脅降到最低.

我們?cè)贜SX平臺(tái)上，找到這兩個(gè)業(yè)務(wù)的四臺(tái)虛擬服務(wù)器，四臺(tái)服務(wù)器處在同一個(gè)VLAN中.為了便于對(duì)它們進(jìn)行業(yè)務(wù)的區(qū)分，可以將四臺(tái)服務(wù)器分別添加安全標(biāo)記.如圖3所示，屬于在線(xiàn)課程業(yè)務(wù)的兩臺(tái)虛擬機(jī)添加的標(biāo)記為:在線(xiàn)課程，屬于校園監(jiān)控業(yè)務(wù)的兩臺(tái)服務(wù)器添加的標(biāo)記為:校園監(jiān)控.為虛擬機(jī)添加標(biāo)記的好處在于，當(dāng)某一個(gè)業(yè)務(wù)有多臺(tái)虛擬機(jī)，并且虛擬機(jī)的名稱(chēng)并不都是容易識(shí)別的中文，可以通過(guò)添加標(biāo)記的方式，方便地定位該業(yè)務(wù)的所有虛擬機(jī).并且，當(dāng)一個(gè)業(yè)務(wù)由于擴(kuò)展的需要，進(jìn)行二期甚至三期項(xiàng)目建設(shè)，我們也可以通過(guò)標(biāo)記，將不同時(shí)期創(chuàng)建的虛擬機(jī)進(jìn)行更細(xì)致地區(qū)別.

圖3 虛擬服務(wù)器標(biāo)記Fig.3 tags of virtual machines

為虛擬服務(wù)器添加標(biāo)記后，我們就可以對(duì)NSX平臺(tái)納管的所有虛擬服務(wù)器進(jìn)行安全組的劃分.我們創(chuàng)建了“在線(xiàn)課程安全組”和“校園監(jiān)控安全組”.其中，“在線(xiàn)課程安全組”成組條件為:虛擬機(jī)標(biāo)記＝“在線(xiàn)課程”，“校園監(jiān)控安全組”的成組條件為:虛擬機(jī)標(biāo)記＝“校園監(jiān)控”.如圖4所示，這四臺(tái)虛擬服務(wù)器就分別屬于兩個(gè)不同的安全組.

圖4 NSX安全組Fig.4 security groups in NSX

NSX為創(chuàng)建安全組提供了多種成組條件，我們還可以根據(jù)虛擬服務(wù)器的名字和操作系統(tǒng)組成不同的安全組.如果是要根據(jù)業(yè)務(wù)的不同，進(jìn)行細(xì)致隔離，我覺(jué)得用標(biāo)記最方便和直觀.

3.2 為安全組配置防火墻策略

我們利用NSX提供的微分段，是為了隔離在線(xiàn)課程業(yè)務(wù)和校園監(jiān)控業(yè)務(wù)之間的互相通信，所以，我們需要配置一個(gè)分布式防火墻策略，禁止“在線(xiàn)課程安全組”和“校園監(jiān)控安全組”之間互相通信.如圖5所示，我們新建一個(gè)防火墻策略，策略名稱(chēng)為“在線(xiàn)課程與校園監(jiān)控”，在此策略下，建立兩個(gè)規(guī)則.規(guī)則1:通信源為校園監(jiān)控安全組，通信目標(biāo)為在線(xiàn)課程安全組，拒絕源到目標(biāo)的任意服務(wù)的通信.規(guī)則2:通信源為在線(xiàn)課程安全組，通信目標(biāo)為校園監(jiān)控安全組，拒絕源到目標(biāo)的任意服務(wù)的通信.

圖5 安全組防火墻策略Fig.5 firewall policies for security groups

如圖6所示，同時(shí)啟用防火墻兩個(gè)規(guī)則，并發(fā)布生效后，兩個(gè)安全組之間的虛擬服務(wù)器相互通信就被立刻禁止，關(guān)閉規(guī)則后，安全組之間的通信恢復(fù).整個(gè)過(guò)程中，同一個(gè)安全組內(nèi)的虛擬服務(wù)器之間的通信不受影響.

圖6 兩個(gè)安全組之間的通信情況Fig.6 communication between two security groups

如果只生效規(guī)則1，則為校園監(jiān)控安全組到在線(xiàn)課程安全組的單向通信禁止，如果只生效規(guī)則2，則為在線(xiàn)課程安全組到校園監(jiān)控安全組的單向通信禁止.我們可以根據(jù)業(yè)務(wù)的需求和調(diào)整，在NSX的管理界面進(jìn)行動(dòng)態(tài)切換.相對(duì)于登錄到防火墻后臺(tái)進(jìn)行設(shè)置，可讀性和易用性均有了大幅度的提高[12].

3.3 安全組成員動(dòng)態(tài)調(diào)整

如果后期業(yè)務(wù)擴(kuò)大，需要增加新的服務(wù)器，我們只需要將新創(chuàng)建的服務(wù)器添加對(duì)應(yīng)的標(biāo)記，該服務(wù)器立刻便能加入對(duì)應(yīng)的安全組.基于此安全組的防火墻策略也立即對(duì)此虛擬服務(wù)器生效.如圖7所示，我們添加一臺(tái)操作系統(tǒng)為CentOS7.6的在線(xiàn)課程備用服務(wù)器，IP地址:10.240.6.154，添加“在線(xiàn)課程”標(biāo)記，此服務(wù)器自動(dòng)加入了“在線(xiàn)課程安全組”，應(yīng)用了之前啟用的防火墻策略，被禁止與“校園監(jiān)控安全組”之間的相互通信.

圖7 新建虛擬機(jī)自動(dòng)加入安全組應(yīng)用防火墻策略Fig.7 new virtual machine automatically joins security group and applies firewall policy

4 結(jié)語(yǔ)

利用NSX虛擬網(wǎng)絡(luò)提供的微分段，我們可以非常輕松的對(duì)同一個(gè)VLAN下的不同虛擬服務(wù)器進(jìn)行隔離.而在傳統(tǒng)網(wǎng)絡(luò)中，是很難實(shí)現(xiàn)精細(xì)度如此高的隔離，即便能夠做到，也需要大量的硬件設(shè)備和邏輯上的網(wǎng)段劃分.采用物理手段實(shí)現(xiàn)的隔離，對(duì)于后期服務(wù)器的管理和維護(hù)都是一個(gè)非常沉重的負(fù)擔(dān)，對(duì)服務(wù)器管理人員也非常不友好.此外，NSX提供的安全標(biāo)記，還為后期虛擬服務(wù)器和第三方安全產(chǎn)品之間提供了一個(gè)標(biāo)準(zhǔn)的組件.比如，我們可以基于這樣的安全標(biāo)記，實(shí)現(xiàn)虛擬服務(wù)器和防病毒軟件的無(wú)代理殺毒，實(shí)現(xiàn)低資源占用的自動(dòng)化安全防護(hù)等.NSX還有很多的安全功能，亟待云計(jì)算平臺(tái)的運(yùn)維管理人員去發(fā)掘.熟悉并合理使用NSX的安全防護(hù)功能，能保證數(shù)據(jù)中心的虛擬服務(wù)器高效、穩(wěn)定地運(yùn)行，保障教學(xué)、科研工作持續(xù)穩(wěn)定地開(kāi)展.