[云数据中心] 《云数据中心网络架构与技术》读书笔记 第八章 构建云数据中心端到端安全

8.1 云数据中心面临的安全挑战

因为云化和SDN化的网络特点(网元出现的位置随意性更大,出现和消失的时间不定):
首先会导致安全业务开通周期长;
其次SDN的自动化能力是现在安全业务所不能达到的,很多安全业务需要手动配置;
最后,为了应对突发流量,数据中心部署了大量冗余的安全设备,造成资源浪费。
安全边界变得模糊:
基于边界的安全防护无法有效工作
可能会出现数据中心内部虚拟机被劫持后发动的攻击
无法防范APT(高级持续性威胁)
安全管理和安全运维复杂化
无法感知应用
安全策略数量庞大,且执行分区域,无法宏观防护
日志格式不统一,安全威胁调查响应速度慢

8.2 云数据中心的安全架构

8.2.1 安全架构全景

云数据中心对安全的新要求:

  • 对安全隔离提出了更高的要求
  • 云内外访问资源需要更严格的控制访问
  • 更加宏观的安全防护体系
  • 以服务形式交付,满足按需部署和弹性扩缩

在架构中我们着重讲解一下红框中的内容,包括:
虚拟化安全中的安全组( Security Group)
[云数据中心] 《云数据中心网络架构与技术》读书笔记 第八章 构建云数据中心端到端安全

8.2.2 安全组件架构

[云数据中心] 《云数据中心网络架构与技术》读书笔记 第八章 构建云数据中心端到端安全
应用层
安全应用统一编排,按需动态发放安全服务,安全应用再将该服务发送给控制器,最终由控制器下发给网络设备。
安全应用可以利用遥测数据,结合大数据和人工智能进行高级威胁检测,达到了全网防御和主动防御
控制层
即SDN控制器。可能采用网络控制器和安全控制器分开部署的方式。
网络控制器:除了提供网络业务编排和发放之外,还可以提供微分段和业务链的编排和发放,用户可以利用业务链将流量引导到安全设备,协同安全业务发放
安全控制器:提供IPSec,安全策略,Anti-网络安全功能,结合安全设备,两者可以实现数据中心边界安全防护,租户边界和租户内的安全防护

8.3 云数据中心的安全方案价值

1.安全资源池化,配置全面自动化

创建东西向业务的防火墙资源池
创建南北向业务的防火墙资源池
防火墙资源池可以弹性伸缩,高效可靠部署
租户间的安全业务可以相互隔离,并实现自动化配置

2.丰富安全能力,按层次联防

**各类防火墙安全能力:**安全策略,IPSec VPN加密,NAT策略,IPS,AV,URL过滤,DDoS攻防,ASPF(Application Specific P