vShield App设计指南[上]

预览

 

VMware vShield App 是 VMware vShield 产品家族的一员，可用于保护虚拟数据中心中的应用或资源池免受来自内部和外部的网络威胁。虚拟数据中心（ vDC ）是一个新的虚拟化基础架构部署方式，它可以帮助服务商更好地向用户提供按需的基础架构服务，在共享基础架构上确保资源的隔离、安全与灵活。本文旨在帮助管理员理解如何在虚拟数据中心中使用 VMware vShield App 。首先，我会简单介绍一下从烟囱式的物理基础架构转变为整合的虚拟基础架构的历史。接下来讨论安全设计的最佳实践，这些最佳实践被很多大公司用来保护它们的资产。最后，会介绍两个供用户参考的设计模型，它们可以帮助用户在虚拟架构上有效应用 vShield App 产品。

九十年代后期， IT 人员将每一套应用都部署在单独的物理基础架构（ Encalve ）之上，每个 Encalve 都有一套服务器，存储和网络组件。这种架构通常存在较大的资源浪费，因为我们必须按照峰值时的性能要求来配置资源，但是大部分时间这些资源的利用率都很低。在 2000 年初， VMware 推出了 x86 服务器虚拟化技术， IT 人员开始实施服务器虚拟化，从而对现有的基础架构进行整合，以提高利用率。有了服务器虚拟化，多个应用程序可以运行在一台物理服务器之上，以充分利用多核处理器的处理能力。但是服务器整合却在安全方面带来了挑战，需要合适的方法来隔离那些运行在同一物理架构上的不同应用。

先让我们来看一看传统的安全设计方法。

 

图1：安全部署方式的演变

 

在不同的时期，网络与安全管理员采用不同的方法为 IT 基础架构提供安全性保障，包括物理分段，或是利用 VLAN 实现逻辑分段。并引入不同的安全设备以控制流量。图 1 显示的是安全部署方式的进化史，从最初的物理隔离方式（ Air Gap ）发展到基于 VLAN 逻辑隔离的混合信任区域，采用 VLAN 的方式需要管理员维护复杂的网络与安全配置。这些方法限制了云的部署，呆板的物理基础架构不能够灵活地按需移动资源，基于 VLAN 的逻辑隔离则对虚拟机之间的流量缺乏可见性和控制力。基于 vShield App 的虚拟 Enclaves 来划分信任区域是较好的方法，从根本上解决了传统安全部署方式所存在的问题。表 1 在部署和管理复杂度等方面对几种安全设计进行了比较。

 

表 1 安全部署比较

指标	物理隔离	采用独立网络的混合信任域	采用VLAN 的混合信任域	采用虚拟 Enclaves 的混合信任域
资源利用率	服务器和网络资源的利用率不高	服务器利用率得到提升，网络资源利用率不高	服务器与网络资源利用率高	服务器、网络与安全资源利用率高
整合	无整合	仅服务器整合	最佳整合	最佳整合
物理设备的数量	高	高	中	低
采购与运维成本	最高的采购与运维成本	较高的采购与运维成本	较高运维成本	较低的采购与运维成本
复杂性	低	中	高	低
部署与管理所面对挑战	需管理多个设备	需要服务器配置多块网卡（刀片服务器无法提供足够多的端口）线缆管理复杂，需管理多个网络与安全设备	VLAN ，防火墙规则，防火墙阻塞点配置复杂，安全区域较大	部署安全性的新方法，非常容易部署与管理

 

安全设计与分区

 

对于任何一家公司而言，安全设计的目标都是为了满足业务需求，在保护资产的同时让授权用户可以正常访问。不同的部门有不同的安全需求，安全管理员首先要定义安全区域，将公司的资产根据风险分析结果指定到不同的安全区域。这些区域可以帮助安全管理员根据资产的重要程度创建安全策略。如图 2 所示，对于大多数公司来说，主要有两类区域。

・         边界区域，也称为 DMZ （停火区）：这一区域容纳那些可从公共互联网访问的资产。

・         内部区域：是为内部组织创建的内部网络区域，与公共区域和其它组织的内部区域隔离。

 

图2 安全区域

 

每个区域都有它自己的安全需求，这取决于它的功能，区域内所运行的应用程序。本文主要讨论如何实现内部区域的安全性，边界区域的安全性通过 vShield Edge 来实现。

内部区域可用来隔离不同的部门，也可以用来隔离不同的应用层。一些企业已经开始向私有云模型转换， IT 部门变身为公司各部门的服务商，基础架构是服务内容之一。这种场景下，灵活性很关键，用户希望可以按需地创建或删除资源池或区域。

现在让我们来看看虚拟基础架构上的安全部署流程。 IT 部门已经为服务器虚拟化的部署建立了新的流程。然而，部署安全防护的流程可能还没有对虚拟化基础架构做出适应。下面的部分将讨论 VI 管理员如何构建整合的基础架构，以及几种传统的安全部署方式存在哪些缺陷。

整合工作负载与安全

 

正如我在预览部分中介绍的一样，有三种传统的部署模型可以用来保护虚拟化基础架构的安全性：

・         物理隔离（ Air Gap ）为每个部门或组织部署独立的虚拟基础架构，类似于为不同的应用提供不同的物理服务器。在安全防护方面的主要影响是资源利用率较低。这种架构下，安全防护容易实现，但是采购与维护成本都较高。

・         网络隔离的混合信任域（ Mixed-Trust with Network Silo ）为了使好地利用物理服务器资源，提高整合比，同时也利用物理网络隔离的方法来保证安全性。

・         基于 VLAN 的混合信任域（ Mixed-Trust with VLAN ）：利用 VLAN 来逻辑分隔网络，这样可以充分整合现有硬件资源，这种方法的缺点在于随着平台的增长，安全规则会越来越复杂，管理难度会不断加大。

下面让我们通过一个实际的例子来看看几种部署场景的实现细节，现在假设有三个组织（ HR ， FIN 和 Sales ）需要部署三种不同的应用，我们需要为每个组织提供隔离保护与安全防护，我们会通过下述常用的标准来评估每一种部署方式：

1)      抵御内部攻击的能力（从位于同一台物理主机的一台虚拟机向另一台虚拟机发起攻击）

2)      可防范因外部攻击所造成的破坏（攻击可能来自于其它主机上的虚拟机，内部区域或数据中心外部）

3)      可监控基础架构内部通讯

4)      支持可以随虚拟机移动的动态安全策略（自适应）

5)      操作简单且具有良好扩展性的解决方案（简单和扩展性）

物理隔离安全部署

 

如图 3 所示，客户将不同组织（ HR ， Fin 和 Sales ）的三种不同应用部署在三台独立的主机，每一台都有单独的存储、网络和安全设备。假设每个组织都有一个单独的二层域（或单独的 VLAN ），则三个应用只有在路由器与防火墙策略允许的情况下才能相互通讯。虚拟架构管理员必须清楚地知道网络管理员为每个子网中分配了哪些地址范围，以及哪些服务器的端口是可以连接的。安全管理员则要为不同的区域创建防火墙规则以对进出区域的流量加以限制。负载均衡器则负载在集群内分配负载。 IPS 用于监测进出集群的流量以发现不正常的流量或是安全威胁。 IPS 只能监测到那些流过主机网卡的流量，对通过虚拟交换机在主机内部传递的流量则无法感知。

 

图3：物理隔离安全部署

 

基于独立网络的混合信任域

 

如图 4 所示，这一次，我们把来自三个部门的三种不同应用部署在一台（或多台物理主机构成虚拟化集群）连接有存储和网络的物理主机上，为了隔离应用，我们为主机配置了三块物理网卡，它们分别连接到三个虚拟交换机，在物理网络中，有三套独立的物理交换机和安全设备分别服务于三个部门的应用。这种设计实现了服务器的整合，但是网络与安全设备并没有减少，物理服务器需要配置较多的网卡。

图4：基于独立网络的混合信任域

 

基于VLAN的混合信任域

 

如图 5 所示，客户将三组不同的应用部署在连接有存储与网络的同一台（或多台）物理主机，这次主机只采用一块（或一组）网卡连接到虚拟交换机，虚拟交换机上配置多个端口组，每个端口组对应不同的 VLAN ，通过这种方式实现 HR ， FIN 和 Sales 三个部门之间的隔离。管理员需要维护物理交换机上的 VLAN 配置，以及管理相关的防火墙，负载均衡设备和 IPS 设备。这个方案对服务器和网络进行了整合，也不需要那么多物理网卡和网络设备了 ，但是这种设计带来了一些新的挑战：

-          复杂的网络与防火墙设备配置

-          需要为不同的区域配置基于 IP 地址的防火墙规则

-          对于多台虚拟机集中运行在高性能服务器和 10GB 网络环境中时，防火墙将成为阻塞点。

-          所有来自虚拟机的流量都必须流经物理网络，可能导致潜在的性能问题。

-          当虚拟机在不同的物理主机之间漂移时，必须手工调整安全策略。

图5：基于VLAN的混合信任域

本文出自 “西蒙[爱生活，爱学习]” 博客，转载请与作者联系！