发布日期:2013-04-28 15:13 来源:中国电信网络安全实验室 标签: 安全 云服务 资源
 

安全云服务的资源池化和虚拟化(1)

云计算的核心理念就是通过互联网络为用户提供按需的IT资源服务。为了达到这个目标,云服务提供商首先要保证拥有一个容量充足的资源池以满足在并发的业务高峰时刻仍能满足用户的服务要求,这就是云服务的资源池化,而这个容量充足、可扩展的资源池也就是按需业务提供的基础。另一方面,由于用户在使用云服务时无须了解云中的实际架构和技术实现,从用户感知上其使用的是独立完整的设备或计算资源,用户在使用云服务时对计算资源的这种独立性要求,将驱动云服务解决方案在实现资源池化的基础上提供将计算资源划分为多组的业务逻辑单元并提供给用户的能力,这就是云服务的资源虚拟化。

在理想的状态下,云计算的技术方案最好能做到资源池化和虚拟化的无缝连接,也就是在资源池的构建上可以通过物理设备的加入实现弹性的动态容量扩展。另一方面,在已经构建的资源池上进行灵活的按需独立逻辑分组。在实际实现时,由于目前云计算技术的限制,很多资源的云化提供上并未能完全实现这一点。例如在设备的虚拟化方面,目前跨物理主机的虚拟设备解决方案就尚未成熟。

安全云服务作为一种特定的云服务,在其技术实现中最重要的也是资源能力的池化和虚拟化,只不过这种池化和虚拟化所针对的是网络安全这种特殊的计算资源和能力。综合7.1及7.2.1节的分析,为了满足用户的各种网络安全防范要求,安全云服务提供商在安全云服务的业务体系中一般包括防火墙访问控制、DDoS攻击防护、入侵检测和防护、特定应用的安全检测和过滤(如Email、Web的内容过滤,木马、病毒等恶意代码的检测和过滤,特定URL流量过滤,垃圾邮件过滤等)、网络安全脆弱性扫描检测、Web等特定应用的安全检测、安全事件的监控和分析、网络异常流量的检测、在线病毒和木马查杀、在线终端安全性检测等服务。这些安全云服务根据其业务提供的层次和形式分属于SIaaS、SPaaS、SSaaS的范畴,但不管这些业务的提供内容和形式如何,作为一种特定的云计算服务,均存在着资源池化和虚拟化的实现问题,所不同的是对于不同的安全云服务,其资源池化和虚拟化所采用的技术实现方案有所不同。

安全云服务资源池化指的是在多台安全设备中采用集群技术或者在安全处理软件中引入分布式计算技术,从而形成对用户透明的统一网络安全能力池的过程。安全云服务资源池化过程中要解决的主要问题是可扩展性、可管理性和可靠性。可扩展性指的是资源池的容量可以根据用户业务需求的增加进行弹性的扩充。可管理性指的是在资源池化之后系统具有对资源池的统一监控调度和分配的能力。可靠性指的是池化之后的资源池具有统一的一体化的协同处理和容错能力,不会因为特定物理安全设备单元的故障或失效影响到整个资源池的正常运作。

安全服务资源虚拟化指的是在实现资源池化的基础上根据用户需求在资源池中划分出逻辑独立的虚拟化安全能力提供给用户使用的过程。在用户看来,用户正在使用的是一个完全独立的安全设备和软件。安全服务资源虚拟化过程中要解决的主要问题是逻辑隔离、业务复用和智能感知。逻辑隔离指的是通过设备或用户管理实现用户之间资源和数据的隔离,保障用户独立资源使用的业务体验。业务复用指的是多个用户使用的虚拟安全能力资源在时间、带宽等方面实现在资源池中物理设备的复用,提高安全资源的利用率。智能感知指的是在安全服务资源虚拟化过程中可以智能感知资源池的业务状态和用户要求,实现设备资源和用户需求的契合。

以上分析了在安全服务资源池化和虚拟化过程中面临的一些主要问题。在各种安全云服务中,为了获得特定的业务能力,所采用的安全设备、安全软件各不相同,其资源池化和虚拟化采用的方法也各不相同,实现的难度也各异。

根据安全云服务的实现特点,可以将各种安全云服务能力大致分为三种。

(1)流量检测和控制类安全能力

包括防火墙访问控制、DDoS攻击防护、入侵检测和防护、网络异常流量的检测等,这类能力的特点是用户本身的网络流量必须流经安全云服务中心,由安全云服务中心根据策略作出相应的控制和处理。此类安全服务在安全云服务体系中属于SIaaS的范畴。

(2)安全检测和分析类安全能力

包括特定应用的安全检测和过滤(如Email、Web的内容过滤,木马、病毒等恶意代码的检测和过滤,特定URL流量过滤,垃圾邮件过滤等)、网络安全脆弱性扫描检测、Web等特定应用的安全检测、安全事件的监控和分析等,这类能力的特点是与用户本身的流量无关,依赖于特定的平台或系统,为客户提供远程的网络或应用安全性检测或特定的安全性分析,此类服务根据业务模式和特点在安全云服务体系中既可以属于SIaaS,也可以属于SPaaS的范畴。

(3)在线软件类安全能力

包括在线病毒和木马查杀、在线终端安全性检测等,这类能力的特点是利用在线软件的方式,通过Web为用户提供病毒木马检测、终端安全性检测等安全业务,此类业务在安全云服务中处于SSaaS范畴。

在以上所述的三类安全能力中,第三类在线软件类的安全能力的资源池化和虚拟化的难度相对而言是最低的,此类服务的业务容量主要取决于Web服务器的能力。因此其资源池化主要针对安全软件所运行的服务器,对于Web服务器的集群,目前一般采用七层交换机的负载均衡的方式,实现方案简单成熟,同时其虚拟化的技术难度也相对较低,主要完成用户标识、认证、用户的业务自服务、用户检测报告的隔离等工作就基本能满足该类业务虚拟化的要求。

在资源池化和虚拟化过程中难度低一点的是以上所述的第二类,也就是安全检测和分析类能力。对于此类能力,一般在资源池化实现中采用两种方式。第一种方式是采用多台检测和分析类设备或安装了相应分析软件的服务器堆叠,开发相应的任务调度和管理系统,实现资源的管理,由任务调度管理系统智能感知各设备或服务器的性能、任务运行现状等,根据新的用户需求合理分配相应的物理处理设备。另外一种方式是采用分布式计算技术,开发特定安全分析功能的云分析处理系统,来完成分析资源的池化。在完成资源池化的基础上,由用户自服务系统实现资源的虚拟化,用户通过自服务系统实现与其他用户间的隔离,并完成业务参数的设置以及检测分析报告的获取。

相关评论

专题信息
    随着云计算技术的应用越来越广泛,云计算的可信性和安全性问题凸显。本书叙述了采用可信云安全技术解决云计算可信和安全问题的方法。可信云安全技术是在云计算环境中,针对云端互动的人进行可信计算和安全计算的技术。