◆何 军

（1.上海科技网络通信有限公司 上海 200233；2.上海大数据试验场工程技术研究中心 上海 200233）

面向大中型企业多租户云部署模式的安全服务设计

◆何 军1、2

（1.上海科技网络通信有限公司 上海 200233；2.上海大数据试验场工程技术研究中心 上海 200233）

IT系统的云化迁移是一个趋势。租户面对迁移计划时，必然对云服务商提出安全要求，同时也会有原有安全设备如何有效利旧的考虑。云服务商面向企业云化的市场机遇时，一方面需要设计云平台如何提供安全服务，另一方面也要面对多租户的个性化安全服务需求，如何经济有效地去解决问题。本文从云服务商的视角分析了几种设计思路并给出了实务上的解决方案。

云化迁移；安全服务；云平台

0 前言

云[1]由概念转为企业实务，应该是这三年来的相当明显的一大趋势。一部分云服务商搭平台，推出公有云的云主机、块存储等等服务[2]，以求先有鸡后有蛋。另一部份服务商则在其传统系统集成和IT服务外包客户的IT架构转型时，顺应客户需求的变化，提供混合云的解决方案，配合建设多租户云平台，有蛋再有鸡。

企业用户的IT架构转型，IT系统中的应用服务迁移到云上时，一个问题应运而生：用户业务信息系统原有安全防护需求如何满足？原有安全设备是否随迁入云？原有安全设备如何有效利旧？

云服务商一方面需要设计云平台的安全性[3]，以提供传统上已配备的安全服务功能、虚拟化多租户带来的隔离安全和东西向流量感知与控制等新功能，另一方面也要面对多租户的个性化安全服务需求，如何经济有效地去满足的问题。

1 安全服务的设计与实现

根据安全功能与云平台的耦合紧密程度,可以分为三类设计。

其一是传统网络设计[4]，安全功能在云外存在，把云平台视为一个逻辑大服务器，以组网技术，个性化地实施用户安全设备的串接。客户原配套的安全设备参与到云中虚拟私有网的组网中去，继续发挥其特定的、高于云平台一般性安全配置的安全作用。此方案的核心是求解混合云组网模式。

这可细分为两个常规的应用场景。用户的一种应用场景是，其在云平台上租用的云主机在用户整个企业IT系统中，处于DMZ区或外网的位置。GRE隧道方式互联，适合于云平台与企业内网互联；物理路由器配策略路由方式，则适合于云平台的互联网出口也承担企业上网的主通道职责。因为由云平台软件构建的GRE隧道，其带宽效率和稳定性有不足。相较采用传统路由器（路由交换机）操作系统提供的策略路由有优势。也可考虑使用SDN交换机，基于VxLAN技术来去做Overlay，基于物理交换机来按需建隧道。其优点第一是隧道数简单；第二是吞吐大，处理能力强，可保证东西向流量的处理。

另一种应用场景是，用户在云平台上租用的云主机在用户整个企业IT系统中，处于内网的位置，需要通过与用户其他子网的互联连通到互联网出口。这样，客户原有安全需求，可依然通过其原有安全设施的部署来实现，不因为部分业务系统迁移到云平台而丧失防护。

其二是以云平台可选安全服务项形式，内在地提供公共服务。这个思路是，如果在云平台基础上，再配置合适的第三方安全设施，可满足客户对安全增值服务的需求，即可不必再串接用户原有安全设备。这也可细分为两种模式。一是紧耦合的安全资源池模式。此种思路认为，在云环境中，安全同样是应该以服务的形式提供给租户。对数据中心而言，自动化、可运维、出错率少是关键。基于此，为严肃业务服务的云应该建立安全资源池。用户可通过安全业务编排，编排服务链。服务链可以通过SDN交付至客户的逻辑网络，同时，服务链可以随用户业务负载变化。数据中心可根据虚拟网络功能及处理负载进行收费。紧耦合的另一优势是云环境下的监控和可视化，并针对安全模型进行分析，可以展现至租户、管理员等。可以为客户提供网络行为追踪回放，安全预警等服务。对于管理员来说，运维排错，分析预测都是在云环境中需要的。同时这一模式的难点是，紧耦合模式需要对云平台进行深度开发和定制，并与第三方安全厂商紧密合作（接口开放）。

另一模式是松耦合的第三方安全设备接入服务[5]。相对松的耦合形式是，在云平台出口交换机上，物理上旁路、逻辑上串接安全设备。功能上可满足业务需求，但操作上需要人工跨多个设备或平台界面，对于运维排障工作带来风险，也难以实现弹性配置、自服务的效果。

更关键的现实性或难点在于：安全是个无底洞，第三方安全功能焉能配齐？通常易于部署配置的是防毒类产品（主机层级部署）和平台层级串接防火墙、负载均衡设备。

第三种设计思路可谓是中间道路，即云平台第三方增强型公共安全服务+单租户安全设备混合云组网,也就是说,常规安全服务由云平台提供,特殊需求则特定部署串接到用户混合云组网中。

图1 云服务运营商的安全体系全视角

正如图1所示，作为云服务运营商，提供传统IDC的安全内容（物理安全、网络安全），结合云平台的安全措施，即可构成云服务的常规服务。对于系统安全、应用安全和数据安全这样在客户虚机内部的安全需求，则根据第三方安全产品的部署特点和租户需求的规模化特点，作适宜的服务提供安排。

2 业界云安全服务比较

从现行提供云服务的技术实现来看，业界主要的安全服务架构可分为三类。

第一类是SDN（软件定义网络）实现安全。云平台软件定义、提供、配置、并可计量安全功能服务，其优点是：功能内在于云平台，安全成为各类资源池的一类；成本有优势；自服务便捷。缺点则表现为：软件实现，性能有局限；且当前可实现功能有局限，不是所有功能都可SDN。通常云平台都实现了FW；VLAN隔离等安全功能。

第二类是SMN（软件纳管网络）实现安全。云平台通过与第三方安全设备（API）的互操作，实现深度融合，从云平台界面中实现编排配置、服务计量。其优点是：自服务便捷。缺点是需与安全设备商逐家沟通，定制开发；且云平台如采用安全硬件资源池，投资高；而安全VE版有限。此类方案的代表，云杉可纳管绿盟的漏扫（VE版）；天融信、hillstone的防火墙；九州云纳管hillstone的防火墙。

第三类是由VLAN/VxLAN 对接外部安全设备。用户安全设备通过专线或VPN连接专用安全设备，归入云内VLAN/VxLAN实现云内流量外出前的安全处理。优点是，用户按需配置安全设备，个性化满足需求；利旧原有安全设备。缺点表现在：没有资源池化的复用优势；需要二层/三层网络互联的配置,或较为复杂。

3 B类用户云安全服务典型案例

在YD云（某运营云服务商云品牌）中的某B类用户，为满足等保要求，需要挂载物理的防火墙、WAF、IPS等设备。

初始探讨了方案两种。一是网络安全设备IPS/IDS/WAF挂接在核心/出口交换机上。用户的配置公网IP的云主机在安全设备中可以直接进行安全检查，但其配私网IP及基础网络IP的云主机则无法通过安全设备进行保护。

图2 云平台核心/出口交换机挂接安全设备

探讨方案二是在云平台万兆接入交换机上，串联网络安全设备IPS/IDS/WAF。此方案下，用户配公网IP的云主机流量不经过串联在接入交换机上的网络安全设备上，而是随云平台原出口流向，走核心交换机出口，安全设备对公网流量起不到保护作用。此时，用户配置云内基础网络（平台私有）IP的云主机因直连接入交换机的私网与云内基础网络是互通的，此部分流量可享有安全防护。这里要求网络安全设备提供DNAT，SNAT功能。

对于入流量，IP组为（Internet访问IP，客户公网IP）-（SNAT，DNAT）à（网络安全设备内网IP，YD云基础网络IP）。在网络安全设备上记录响应的信息，在出流量时要做逆变化。SNAT保证出流量时，流量从客户网络设备原路返回，而不是从YD云的出口去。DNAT则是入流量时直接访问YD内基础网络中的虚机。对于出流量，IP组（基础网络IP，客户网络设备内网IP）--客户网络设备进行（SNAT，DNAT）à转化为（网络设备公网IP，Internet访问IP）。私有网络IP VM：私有网络IP VM通过GRE与安全设备打通后才会受到安全设备的保护。

结论是，YD云的云内网络无法接入安全设备，安全方案要通过云外网络安全设备来实现，其组网方案与传统安全解决方案无异。

图3 云平台接入交换机挂接安全设备

物理专线之间的隔离目前比较折中的办法是通过交换机的ACL规则实现，但这种方案会造成交换机的CPU使用率过高，网络工程师不推荐使用。为了分担CPU负载，最适宜的方案是云平台核心/出口交换机之上跑三层的路由交换机设上终结专线，且其EIP逻辑接口上挂ACL。

4 总结和展望

企业IT架构的云化转型是一种趋势。这其中安全功能实现是转型中需要衔接好的一个重要功能域。对于云环境来说，SDN是一个理想的方向，但目前业界的发展尚处在探索中，尚未出现统一的标准和尽如人意的解决方案。于是，云内云外各承担一步分安全功能，共同满足用户需求是一个现实的路径。

不论SDN或是硬件耦合参与，云平台纳管安全功能，实现自动化、弹性资源提供都是一个诱人的选择，这也是YD云将进一步完善服务内容的一个努力方向。

[1]张弘.软件定义的新型网络节点设计研究.[D]成都：电子科技大学，2013.

[2]龚向阳.一种面向多样化网络业务融合的SDN网络架构.[J]北京：北邮，2013.

[3]赵恒.基于SDN架构的电信承载网和BNG设备演进思路.[R]河南：中国电信河南分公司，2013.

[4]CISA 2015培训教材[D].上海：交大慧谷培训中心，2015.

[5]H3C.新一代网络建设理论与实践[D].北京：电子工业出版社，2013.