发布日期:2013-04-28 15:14 来源:中国电信网络安全实验室 标签: 安全 云服务 资源
 

安全云服务的资源池化和虚拟化(2)

在资源池化和虚拟化过程中难度最大的是上述第一类,也就是流量检测和分析类安全能力。这类业务能力不仅涉及多用户的流量分配问题,而且一旦处理不当很容易导致用户网络性能的急剧下降。同时此类业务很多时候还需考虑基于应用状态或上下文的安全策略检测和特征检测,这也给资源池化和管理带来了很大的压力。另外,即便是属于同一类的安全能力,在池化过程中也会因为业务特征不同而带来实施方案的差异。本文就将分别以防火墙访问控制和DDoS攻击防护为例,探讨这两类安全能力的池化和虚拟化方案。在研究其云化解决方案之前,我们首先来分析这两种业务的特点。

总结起来,防火墙访问控制和DDoS攻击防护这两类安全云业务有以下不同。

首先,防火墙访问控制和DDoS攻击防护尽管均属于流量检测和控制类业务,但在客户业务流量与云服务中心的关系上完全不同。防火墙访问控制业务要求客户流量长期流经云服务中心进行流量检测和安全策略的控制,而DDoS攻击防护类业务仅在客户网络检测到DDoS攻击时才要求将特定流量牵引至云服务中心进行流量的检测和过滤。

其次,两种业务对于流量的控制点不同。为了达到更好的安全防护能力,对于防火墙访问控制业务的流量控制点应该尽量靠近客户的网络;而对于DDoS攻击防护业务,流量的控制点应该尽量靠近DDoS攻击发起的网络源端(很多时候源端并非只有一个),这种近源的过滤思路不仅能最大限度保障客户网络在遭受DDoS攻击时的可用性,而且能够节省网络带宽,保障其不为DDoS垃圾流量所挤占。

第三,设备对于网络状态检测的依赖程度不同。尽管历史上也有过完全不依赖于网络状态检测的包过滤防火墙,但为了提高性能和安全防范能力,现在大多数的防火墙均采用了状态检测技术;而对于DDoS攻击防护设备,现在大部分均不依赖于状态检测技术。这个不同也影响到了这两种业务资源池化实现方案的不同。

第四,客户业务使用和业务体验导致了虚拟化要求的不同。相比较于云计算的IaaS服务,安全云服务客户一般只关注于安全防范保护的效果,而对安全云服务设备使用的逻辑独立性等虚拟化要求通常偏低。防火墙访问控制业务由于具有客户自行维护其防火墙安全策略的要求,因此需要实现资源池化后的设备虚拟化;而对于DDoS攻击防护业务,由于在业务实施中无须客户的交互和配置,因而几乎不需要为用户提供相应的虚拟设备。当然,在虚拟化过程中对于业务复用和状态智能感知的实现均是这两种业务要解决的重要问题。

根据以上的分析,在实施防火墙访问控制和DDoS攻击防护这两种业务的云化过程中主要有以下一些特点。

(1)为了实现对全网用户的业务要求,防火墙访问控制和DDoS攻击防护这两种业务均需建立分布式的安全云服务中心。所不同的是对于防火墙访问控制业务来说,各分中心主要为就近接入的客户提供业务,一般情况并不需要提供为远端客户的服务能力,各分中心属于松耦合关系,因此其安全资源池的调度一般仅限于分中心,实现方案如图7-2所示。而对于DDoS攻击防护业务,各分中心不仅需要为所辖区域用户提供业务,在大多数情况下还需要根据主安全云服务中心的调度,为远端客户提供远程的服务,各分中心属于紧耦合关系,实现方案如图7-3所示。

图7 2  防火墙访问控制业务安全资源池实现方案示意图

图7 3  DDoS攻击防护业务安全资源池实现方案示意图

(2)在各安全云分中心的构建上,由于DDoS攻击防护设备一般不需要进行网络状态检测,因而一般情况下只需要通过等价路径的方式来实现资源的池化,实现方案如图7-4所示。

图7 4  DDoS攻击防御业务资源池化方案示意图

 

相关评论

专题信息
    随着云计算技术的应用越来越广泛,云计算的可信性和安全性问题凸显。本书叙述了采用可信云安全技术解决云计算可信和安全问题的方法。可信云安全技术是在云计算环境中,针对云端互动的人进行可信计算和安全计算的技术。