云数据中心网络安全业务需求

云数据中心安全现状

1. 云平台安全威胁逐年加剧。
2. 云数据中心威胁主要来自于黑客攻击、恶意用户和用户误操作。
3. 主要威胁有特权滥用、DDoS攻击、数据泄露和误操作等。

云数据中心网络概述

数据中心(Data Center)：是一整套包括建筑在内复杂的设施。它不仅包括计算机系统和其它与之配套的设备（例如通信和存储系统），还包含冗余的数据通信连接、环境控制设备、监控设备以及各种安全装置。

数据中心的使用分层架构。一般L1特指云数据中心基础设施，L2指云数据中心的ICT设备。

云计算的四类部署模式

私有云（Private Cloud）

— 企业利用自有或租用的基础设施资源自建的云

私有云是为某个特定用户/机构建立的，只能实现小范围内的资源优化，因此并不完全符合云的本质--社会分工。托管型私有云在一定程度上实现了社会分工，但是仍无法解决大规模范围内物理资源利用效率的问题。

社区云/行业云（Community cloud）

— 为特定社区或行业所构建的共享基础设施的云

社区云是介于公有、私有之间的一个形式，每个客户自身都不大，但自身又处于敏感行业，上公有云在政策和管理上都有限制和风险，所以就多家联合做一个云平台。

公有云（Public cloud）

— 出租给公众的大型的基础设施的云

公有云是为大众建的，所有入驻用户都称租户，不仅同时有很多租户，而且一个租户离开，其资源可以马上释放给下一个租户。公有云是最彻底的社会分工，能够在大范围内实现资源优化。

混合云（Hybrid cloud）

— 由两种或两种以上部署模式组成的云

混合云是公有云、私有云、社区云几种的任意混合，这种混合可以是计算的、存储的，也可以两者兼而有之。在公有云尚不完全成熟、而私有云存在运维难、部署实践长、动态扩展难的现阶段，混合云是一种较为理想的平滑过渡方式，短时间内的市场占比将会大幅上升。

云数据中心

业务呈现/协同层

支持对接社区或第三方商业OpenStack云平台+第三方云管理平台。

支持对接华为FusionSphere云平台+华为ManageOne云管理平台。

FabricInsight的采集器将网络中的TCP SYN、FIN、RST报文镜像到分析器进行大数据分析，从而实现基于真实业务流量发现网络异常。

AC北向与OpenStack Neutron对接，完成网络的建模和实例化，自动编排下发网络配置，并负责将流量引流到VAS设备。

SecoManager对接AC，实现VAS服务的编排和策略管理，完成VAS业务的建模、实例化和配置下发。

网络服务层

由物理设备组成的基础物理组网，用以承载VXLAN Overlay网络。

由物理或虚拟设备提供VAS服务。

(Value-added logistics service)暂时没有统一的定义，但其核心内容是指根据客户需要，为客户提供的超出常规服务范围的服务，或者采用超出常规的服务方法提供的服务。1994我国物流协会对增值物流的定义为“在完成物流基本功能基础上，根据客户需求提供的各种延伸业务活动”

 

计算接入层

支持虚拟化服务器和物理服务器的接入，并支持裸金属服务器的自动化发放。

由vSwitch实现VM接入的网络和策略配置。

云数据中心的服务模式

IaaS（基础架构即服务）

PaaS（平台即服务）

SaaS（软件即服务）

云服务基本概念

VDC：Virtual Data Center，虚拟云数据中心。VDC是一个组织可使用资源的集合，一般包括计算、存储和网络资源。

VPC：Virtual Private Cloud，虚拟私有云。VPC使用VDC中的资源，一个VPC只能属于一个VDC，而一个VDC可包含多个VPC。每个VPC为一个安全域，对应于一个业务/应用/部门。

VDC是VPC的集合

vRouter

vRouter作为业务子网的网关，用于子网间的三层互通。

一个VPC只能有一个vRouter.

Subnet

Subnet用于二层广播域的隔离，对应于一个子网网段。

同一VPC内不同Subnet的三层网关，都在同一个vRouter上。

同一Subnet内默认互通；不同Subnet间默认互通，也可通过配置安全组进行隔离。

vFW

vFW作为VPC的边界，除了可提供外部访问VPC内的安全访问控制，还可提供外部访问VPC内的接入服务。

可提供的特性有：FW、EIP、SNAT、IPsec VPN等。

vLB

vLB用于对外提供内部服务器间的负载均衡能力。

一个vLB可以带多个监听器，用户可给不同业务申请不同的监听器。

云数据中心网络安全部署方案

云数据中心网络安全

设备组件

NGFW：提供安全隔离、非法访问防护和访问权限管理等；集成3G/LTE，可以提供主备双链路上行业务承载。

Anti-DDoS：为威胁DCN的DDoS攻击提供检测及流量清洗服务。

SVN：为从非安全区接入DC网络提供安全解决方案；远程分支接入与运维安全通道。

FireHunter：华为沙箱，检测绕过NGFW、IPS和SMG的恶意软件、基于0-Day漏洞的威胁和定向型APT威胁等。

WAF(Web Application Firewall)：对静态页面防篡改、阻断SQL注入，XSS攻击。

NIP：对入侵攻击、恶意威胁行为，提供检测及入侵防御能力。

Agile Controller：园区Controller的接入控制组件

UMA(Unified Maintenance and Audit)：提供全统一的网络运维、管理及审计能力

LogCenter：整网设备及业务系统信息进行采集、告警呈现

CIS(Cybersecurity Intelligence System)：终端异常检测、行为异常检测、流量异常检测、事件异常检测；自定义可疑行为检测；威胁可视化。

华为HiSec@CloudFabric解决方案（该方案满足等保三级要求）

方案总体架构分为三个层次：

业务呈现/协同层：提供安全业务的展现功能，在云网场景下可由云平台直接协同下发安全业务；

FusionSphere：由ManageOne提供统一Portal，租户通过ManageOne Portal订阅、动态打通VAS业务。

第三方Openstack：租户通过第三方Portal或者第三方云平台订阅VAS业务，第三方OpenStack云平台调用Agile Controller-DCN接口动态开通VAS业务。

控制/管理/分析层：承担安全分析以及安全、网络策略下发功能，向上对接云平台、向下纳管安全及网络设备；

Agile Controller：完成网络建模、实例化，自动编排下发网络配置，负责引流至vas。

SecoManager：通过和Agile Controller-DCN融合部署的方式，将界面集成到Agile Controller-DCN中来实现VAS服务的编排和策略管理。

CIS：大数据安全分析系统，动态监测分析APT安全威胁, 实现整网安全态势可视，支持联动网络自动阻断安全威胁。

网络/设备层：cloudfabric的基础架构层，为上层提供大数据安全分析的数据源，并接受上层的统一管理。

由物理和虚拟网络设备组成的承载Overlay网络。

安全设备获取数据流量，基于安全策略执行安全功能；提供硬件和软件两种形态，满足DC边界、租户边界和租户内安全防护需求。

 

云安全服务

租户流量隔离

当创建一个VPC时，网络设备会相应地创建一个VPN实例用于租户流量隔离。而在防火墙上则表现为创建一个虚拟系统，同时虚拟系统也为VPC提供安全防护能力。

安全组

具有相同的安全策略的一组VM的集合,支持安全组间的访问控制策略和安全组内成员间的互访策略。

安全组与vFW用于东西向流量防护。

每个VM一组ACL，互不影响，VM迁移时安全策略自动刷新。

提供VM粒度的隔离机制，解决VLAN资源不足、配置工作量大的问题。

分布式策略控制，报文无需迂回到集中的策略控制点，避免形成性能瓶颈。

可以和边界防火墙共同部署，构筑立体安全防护能力（南北向流量控制+东西向流量控制）。

SNAT：

支持在云平台上编排SNAT，通过AC-plugin对接Agile Controller-DCN发放SNAT服务。

EIP：

支持在云平台上编排EIP，通过AC-plugin对接Agile Controller-DCN发放EIP服务。

IPsec VPN :

支持在云平台上编排IPsecVPN，通过AC-plugin对接AC发放IPsecVPN服务，包含IPsec policy、IKE policy、ipsec-site-connection等对象。

云数据中心网络安全配置案例

VPC内不同子网互访配置举例

同一VPC内所有虚拟机默认都处于default安全组，不同子网之间可以通信。

1. 创建安全组

“控制台 > 网络 > 安全组”，单击“创建”

1. 将云主机加入安全组

控制台 > 计算 > 云主机”界面，单击展开云主机详情，点击网卡后符号，在更多中选择加入安全组。

1. 退出default安全组

默认有default安全组有4条规则（IPv4和IPv6各两条）：

加入“default”安全组的云主机可以访问其他任何子网或安全组中的云主机。

仅加入“default”安全组的云主机不允许其他任何子网或安全组的云主机进行访问。