NetApp Tech OnTap
     

加强 SMT 的安全性

NetApp、Cisco 和 VMware 增强了多租户环境的安全性

无论您是部署大规模的虚拟化、私有云,还是部署公共云,安全性都是一项挑战。Cisco、NetApp 和 VMware 认为安全性是共享基础架构所面临的一个重要问题,并且多年来一直共同致力于解决这个问题。

您可能已看过以前关于联合安全多租户 (SMT) 解决方案的 Tech OnTap® 文章。在 2010 年 1 月,Cisco 的 Chris Naddeo 详细撰述了 Cisco 的服务质量 (QOS) 功能。几个月后刊登的一篇文章又谈论了根据详细的 Cisco® 验证设计 (CVD) 在云环境中部署第一代 SMT 解决方案。但是,这两篇文章都没有提供关于 SMT 安全性功能的详细信息。

现在,自首次发布不到一年的时间,我们业已推出 SMT 的改进版,提高了部署灵活性并进一步扩展了设计的功能和安全性。在本文中,我们将讨论增强版安全多租户设计的安全性架构。增强版 SMT 设计由许多基础组件以及可用于针对特定安全性要求灵活地调整环境的可选组件组成。在本文后面的部分中将详细介绍这些组件。

了解 SMT 安全性


最初的 SMT 设计关注以下四大“支柱”:

  • 可用性
  • 安全隔离
  • 服务保证
  • 服务管理

我们的增强版 SMT 架构继续关注这四个方面。尽管自第一个版本以来我们在所有方面做出了显著的改进,我们还是要具体地谈谈针对多租户环境的安全隔离。在我们的阐述中,多租户环境是指多个租户共享基础架构的环境。租户可以定义为单独的客户、不同的业务单位、部门、应用程序或需要安全隔离的任何其他实体。

增强版 SMT 的安全隔离组件所提供的服务。

图 1) 增强版 SMT 的安全隔离组件所提供的服务。

安全隔离确保一个租户不能访问另一个租户的资源,如虚拟机 (VM)、网络和存储。每个租户必须与所有其他租户安全地隔离。

增强版 SMT 架构可防止一个租户访问另一个租户的数据,还可防止租户访问共享基础架构的管理功能。我们的 SMT(现在是第二代 SMT)实施在安全隔离方面的主要创新体现在可以在每个层(计算、网络和存储)提供完全隔离上。其他解决方案只能在基础架构内提供孤立隔离,而非端到端租户隔离。

此架构中实施的主要安全原则包括:

  • 隔离:隔离为多租户数据中心的安全性提供了基础。根据设计目标,可以通过使用防火墙、访问列表、VLAN、虚拟化、存储和物理隔离来实现隔离。以上各项的不同组合可以为不同租户内的应用程序和服务提供合适的安全实施级别。
     
  • 策略实施和访问控制:在多租户环境中,需要认真考虑访问控制和策略实施的问题。可以利用架构中每个层内的设备的功能来创建复杂的策略和访问控制级别,从而增强每个租户内的安全隔离。
     
  • 可见性:共享基础架构在扩展方面变得非常灵活,从而可以容纳新的虚拟机和服务。通过 VMotion™ 等服务器虚拟化功能和技术,可以部署新服务器并将新服务器从一个物理位置移到另一个位置,几乎不需要手动操作。当移动这些设备并且流量模式改变时,会给安全管理员主动监控威胁带来挑战。此架构利用网络中每个层都具有的威胁检测和减少功能来收集警报、数据和事件信息并动态分析和关联信息,以确定威胁来源、可视化攻击路径并建议和(可选)实施响应操作。
     
  • 弹性:弹性意味着多租户环境中的端点、基础架构和应用程序受到保护,并且可以抵御会导致出现服务中断、数据泄露和未经授权访问等问题的攻击。为获得所需级别的弹性,一些必须执行的步骤包括适当地加强基础架构、提供应用程序冗余和实施防火墙。

此架构中的网络、计算、存储和管理组件提供共同构成确保安全隔离的框架的特性和功能。图 2 描绘了本设计中使用的安全性架构,突出显示了解决方案、组件及其对应安全性功能的功能范围。

增强版 SMT 架构框架。

图 2) 增强版 SMT 架构框架。

增强版 SMT 可以应对共享环境中存在的不同流量模式。流量模式逻辑上分为两类:东西向和南北向。在典型案例中,VMware® vShield 为东西向的流量提供安全性,同时特定的 Cisco 安全性服务组合用于为南北向流量提供必要的安全性级别。稍后将更加详细地介绍这些组件。

“横向”流量的安全性与“纵向”流量的安全性。

图 3) “横向”流量的安全性与“纵向”流量的安全性。

纵向流量相对于 SMT 基础架构或为进入流量或为外出流量,并且本质上一般发生在客户端与服务器之间。此类型流量在数据中心中流动并且在其路径中很容易接触到任意数量的服务,其中包括防火墙、负载平衡、入侵检测和网络分析设备。在多租户环境中,还可以迫使租户之间的流量通过共享基础架构网络服务。由于每个租户策略在每个租户之间一致应用,因此该功能非常理想。进入-外出流量是否接触数据中心中的安全性服务取决于应用程序的具体要求和企业的总体安全性策略。

请务必注意此架构的灵活性,安全架构师可以使用后面介绍增强版 SMT 安全性选项的部分中所述的安全性功能任意组合来创建安全性服务。我们把这种灵活性称为深度防御。

横向流量是指数据中心中服务器之间的通信。保护服务器之间的通信安全可以是基于应用程序的要求,也可以是基于企业的要求。通常,企业级应用程序需要的可用性、可扩展性和(或)处理能力要高于单个服务器实例的能力。为了解决这些问题,应用程序开发人员使用专用服务器角色。每个角色都具有专门的用途并依赖其他服务器。虚拟机完全支持此应用模型。在 SMT 中,可能在单个租户容器中或租户之间出现虚拟机之间的服务器到服务器流量。

为了优化虚拟数据中心内横向流量模式,建议使用 vShield 等虚拟防火墙设备,以在虚拟机之间提供安全连接。此服务可以安全地支持租户内部或租户之间的通信。例如,需要访问位于通用基础架构租户中的基础架构服务(如 Active Directory)的租户虚拟机,可以借助虚拟防火墙实现安全连接。

增强版 SMT 基础组件


用于 SMT 的基本基础架构包括:

  • Cisco Nexus® 数据中心交换机
  • Cisco Unified Computing System™ (Cisco UCS)
  • Cisco Nexus 1000V 分布式虚拟交换机
  • NetApp® 存储
  • VMware vSphere™
  • VMware vCenter™ Server

SMT 所需的基础架构本质上与最近发布的 FlexPod™ 架构相同,在本期 Tech OnTap 的另一篇文章中介绍了 FlexPod。FlexPod 是了解增强版 SMT 的一个极佳的起点,但是默认情况下不提供 SMT。

增强版 SMT 基础需要在基本基础架构组件之上安装几个额外组件。

VMware vShield 安全性解决方案系列为虚拟数据中心和云环境提供虚拟化感知保护,加强应用程序和数据安全性、提高可见性和控制以及加快 IT 合规性。vShield 系列包括:

  • vShield Edge,提供网络边缘安全性和服务,以将端口组中的虚拟机与外部网络隔离。vShield Edge 将隔离的租户末端网络与共享(上行链路)网络相连接,并提供常用边界安全性服务,如 DHCP、VPN 和 NAT。
     
  • vShield App 通过在每个虚拟网络适配器上配置防火墙过滤器在虚拟机之间提供防火墙。防火墙过滤器运行完全透明,不需要网络更改或修改 IP 地址即可创建安全区。可以使用 vCenter 分组(如数据中心、群集、资源池和 vApp)或网络对象(如端口组和 VLAN)来编写规则,以减少防火墙规则的数量并使规则更易于跟踪。
     
  • VMware vShield Zone 是一个集中管理、有状态的分布式虚拟防火墙,与 vSphere 4.1 捆绑在一起,利用 ESXi 主机邻近性和虚拟网络可见性创建安全区。通过利用各种 VMware 逻辑容器,可以显著减少保护多租户环境所需的规则数,从而减少随租户和应用程序的隔离和分段而产生的操作负担。这一创建安全性策略的新方法与 VMware 虚拟机对象密切关联,因而在使用 VMotion 期间跟随 VM。

    除了作为端点和资产感知型防火墙之外,vShield Zone 还包含微流级虚拟网络报告功能(对于了解和监控虚拟通信流量至关重要),并根据安全和网络管理员可获得的丰富信息实施分区策略。
     
  • 流量监控功能按应用程序协议粒度显示允许和阻止的网络流。该功能可用于审核网络流量并用作故障排除工具。

Cisco Nexus 1000V。尽管 Cisco Nexus 1000V 交换机是一个标准 FlexPod 组件,但由于它所具有的安全性功能,我们特地在本文中加以讨论。Cisco Nexus 1000V 是服务器上的软件交换机,可以向服务器所托管的虚拟机提供 Cisco VN-Link 服务。它利用 VMware vSphere 框架在服务器和网络环境之间提供紧密集成,并帮助确保为数据中心的所有服务器提供一致、基于策略的网络功能。它允许策略在实时迁移期间随虚拟机移动,确保持续的网络、安全和存储合规性,从而改善业务连续性、性能管理和安全合规性。

由于数据中心在本质上变得更加灵活,因此安全管理员更加难以主动地监控基础架构中的威胁。为解决该问题,Cisco Nexus 1000V 虚拟分布式交换机使用 NetFlow、Switch Port Analyzer (SPAN) 和 Encapsulated Remote SPAN (ERSPAN) 支持监控。这些功能使 Cisco Nexus 1000V 可以将 VM 流量数据从虚拟环境导出到传统的外部分析设备或高级虚拟服务刀片。在这两种情况中,Cisco Nexus 1000V 为安全性团队提供改进的可见性,以确定威胁来源、可视化攻击路径并最终采取操作。

Cisco Nexus 1010 Virtual Services Appliance 托管 Cisco Nexus 1000V 虚拟管理模块 (VSM) 并支持 Cisco Nexus 1000V 网络分析模块 (NAM) 虚拟服务刀片来为虚拟访问交换提供全面的解决方案。Cisco Nexus 1010 为 VSM 提供专用硬件,使虚拟访问交换机部署更加简单,同时增强性能和操作效率。

通过 NetApp MultiStore®,您可以在称为 vFiler™ 单元的独立管理域的单个 NetApp 存储系统上创建单独、完全私有的逻辑分区。这些 vFiler 单元可让一个物理存储控制器看起来像多个逻辑控制器。每个 vFiler 单元都可通过不同的性能和策略特性组合单独管理。您可以利用 MultiStore 使多个客户可以共享相同的存储资源,同时尽可能地减少对隐私或安全性的危害。甚至可以将虚拟存储容器的管理控制直接分配给客户。最近一篇 Tech OnTap 文章谈论了 MultiStore。

增强版 SMT 安全性选项


除上一部分中所述的标准组件之外,您还可以选择各种与安全性相关的可选组件来满足特定安全性要求。

VMware vCloud Director (VCD) 构建在 VMware vSphere 基础之上,并将虚拟共享基础架构作为与基础硬件完全分离的多租户虚拟数据中心。这意味着使用该技术,您可以通过基于 Web 的目录在共享基础架构上提供标准化 IT 服务。最近的另一篇 Tech OnTap 文章讨论了 vCloud Director。

Cisco Catalyst® 6500 系列 Virtual Switching System (VSS) 1440 平台完全支持使用 Cisco 集成服务模块,如 Cisco 应用控制引擎 (ACE)、防火墙服务模块和网络分析模块。Cisco Catalyst VSS 用作增强版安全多租户架构的基于网络的服务平台。

Cisco 防火墙服务在 SMT 架构内提供有状态的防火墙安全性功能。作为模块或专用设备实现集成,虚拟 Cisco 防火墙安全性上下文可以在第 2 层网络级别采用透明的形式或在第 3 层作为路由器“跳转”。通过任一部署模式,可以一致地应用与每个虚拟防火墙上下文相关联的安全性策略来保护相关网络。

Cisco 应用控制引擎 (ACE) 模块和应用平台在单个网络设备中执行以下所有任务:服务器负载平衡、网络流量控制、服务冗余、资源管理、加密和安全性以及应用加速和优化。Cisco ACE 技术向数据中心提供设备级别和网络服务级别的可用性、可扩展性和安全性功能。

Cisco ACE 提供以下设备级别的服务:

  • 具有故障转移功能的物理冗余
  • 通过虚拟化进行扩展允许从逻辑上对 ACE 资源进行分区和分配,以满足特定租户服务要求
  • 安全性服务包括 ACL 和 ACE 虚拟上下文、客户群和关联的服务器群之间的传输加密 (SSL/TLS)

Cisco 入侵防护系统 (IPS) 设备是可以在基础架构中定位为各种网络分析设备或内嵌式入侵防护系统的网络传感器。Cisco IPS 传感器使用与蠕虫、病毒和各种滥用应用程序情况相关联的攻击特征,通过检测、划分并阻止基于网络的威胁来提供保护。在每个连接上执行此流程,以使合法流量畅通地流动。

Cisco 网络分析模块 (NAM) 采用以下几种形式提供:

  • 用于 Cisco Catalyst 6500 交换平台的集成服务模块
  • 支持千兆或万兆以太网的物理设备
  • 用于 Cisco Nexus 1000V 部署的虚拟服务刀片

无论采用何种模式,NAM 均提供针对应用程序、主机和会话的基于流动的流量分析,对应用程序、服务器和网络延迟的基于性能的评测,针对基于网络的服务的体验质量衡量标准,以及使用深层次、具有洞察力的数据包捕获的问题分析。Cisco NAM 包括基于 Web 的嵌入式流量分析器 GUI,可提供对配置菜单的快速访问并提供易于查看、针对不同类型的服务和流量的关于 Web 的性能报告。Cisco NAM 产品系列改进了对基础架构内大量物理和虚拟层性能的了解和监控。

Cisco Security Manager 是一个企业级管理应用程序,专为在 Cisco 网络和安全性设备上配置防火墙、VPN 和入侵防护系统 (IPS) 安全性服务而设计。

结论

虽然我们没有展开讨论增强版 SMT 架构的所有功能,但希望本文能帮助您很好地概括了解其安全性功能。若要了解关于安全隔离功能以及关于其他“支柱”(可用性、服务保证和管理)的新功能和改进功能的更多信息,请查看综合设计指南。(请注意,本指南将增强版 SMT 称为 ESMT,两者是一样的。)本指南共有 140 页,涵盖了 SMT 架构和部署的各个方面。

NetApp 社区
 对增强 SMT 有任何见解?

请在 NetApp 社区中在线提出问题、交流观点、分享看法。

Chris O'Brien

Chris O'Brien
Cisco
解决方案架构师

Chris 在 Cisco 的系统架构和策略团队负责最新数据中心技术的设计。他目前致力于数据中心设计验证和应用程序优化。之前,Chris 是一名应用程序开发人员,在 IT 行业的工作时间已超过 15 年。

David Klem

David Klem
NetApp
参考架构师

David 于 2005 年加入 NetApp,成为负责架构和构建 NetApp Kilo 客户端(NetApp 工程部使用的 1,700 节点内部云)的原始团队的成员。David 现在效力于 NetApp 基础结构和云实施团队,主要从事云架构最佳实践和解决方案方面的工作。在加入 NetApp 之前,他在 Cisco 工作了六年,是一名 Cisco Catalyst® 交换机平台工程师。

 
了解
 
TRUSTe
联系我们  |  如何购买  |  反馈  |  招聘  |  预订  |  隐私策略  |  © 2011 NetApp