vShield App設計指南[上]

預覽

 

VMware vShield App是VMware vShield產品家族的一員，可用於保護虛擬數據中心中的應用或資源池免受來自內部和外部的網絡威脅。虛擬數據中心（vDC）是一個新的虛擬化基礎架構部署方式，它能夠幫助服務商更好地向用戶提供按需的基礎架構服務，在共享基礎架構上確保資源的隔離、安全與靈活。本文旨在幫助管理員理解如何在虛擬數據中心中使用VMware vShield App。首先，我會簡單介紹一下從煙囪式的物理基礎架構轉變爲整合的虛擬基礎架構的歷史。接下來討論安全設計的最佳實踐，這些最佳實踐被不少大公司用來保護它們的資產。最後，會介紹兩個供用戶參考的設計模型，它們能夠幫助用戶在虛擬架構上有效應用vShield App產品。

九十年代後期，IT人員將每一套應用都部署在單獨的物理基礎架構（Encalve）之上，每一個Encalve都有一套服務器，存儲和網絡組件。這種架構一般存在較大的資源浪費，由於咱們必須按照峯值時的性能要求來配置資源，可是大部分時間這些資源的利用率都很低。在2000年初，VMware推出了x86服務器虛擬化技術，IT人員開始實施服務器虛擬化，從而對現有的基礎架構進行整合，以提升利用率。有了服務器虛擬化，多個應用程序能夠運行在一臺物理服務器之上，以充分利用多核處理器的處理能力。可是服務器整合卻在安全方面帶來了挑戰，須要合適的方法來隔離那些運行在同一物理架構上的不一樣應用。

先讓咱們來看一看傳統的安全設計方法。

 

圖1：安所有署方式的演變

 

在不一樣的時期，網絡與安全管理員採用不一樣的方法爲IT基礎架構提供安全性保障，包括物理分段，或是利用VLAN實現邏輯分段。並引入不一樣的安全設備以控制流量。圖1顯示的是安所有署方式的進化史，從最初的物理隔離方式（Air Gap）發展到基於VLAN邏輯隔離的混合信任區域，採用VLAN的方式須要管理員維護複雜的網絡與安全配置。這些方法限制了雲的部署，呆板的物理基礎架構不可以靈活地按需移動資源，基於VLAN的邏輯隔離則對虛擬機之間的流量缺少可見性和控制力。基於vShield App的虛擬Enclaves來劃分信任區域是較好的方法，從根本上解決了傳統安所有署方式所存在的問題。表1在部署和管理複雜度等方面對幾種安全設計進行了比較。

 

表 1 安所有署比較

指標	物理隔離	採用獨立網絡的混合信任域	採用VLAN 的混合信任域	採用虛擬 Enclaves 的混合信任域
資源利用率	服務器和網絡資源的利用率不高	服務器利用率獲得提高，網絡資源利用率不高	服務器與網絡資源利用率高	服務器、網絡與安全資源利用率高
整合	無整合	僅服務器整合	最佳整合	最佳整合
物理設備的數量	高	高	中	低
採購與運維成本	最高的採購與運維成本	較高的採購與運維成本	較高運維成本	較低的採購與運維成本
複雜性	低	中	高	低
部署與管理所面對挑戰	需管理多個設備	須要服務器配置多塊網卡（刀片服務器沒法提供足夠多的端口）線纜管理複雜，需管理多個網絡與安全設備	VLAN ，防火牆規則，防火牆阻塞點配置複雜，安全區域較大	部署安全性的新方法，很是容易部署與管理

 

安全設計與分區

 

對於任何一家公司而言，安全設計的目標都是爲了知足業務需求，在保護資產的同時讓受權用戶能夠正常訪問。不一樣的部門有不一樣的安全需求，安全管理員首先要定義安全區域，將公司的資產根據風險分析結果指定到不一樣的安全區域。這些區域能夠幫助安全管理員根據資產的重要程度建立安全策略。如圖2所示，對於大多數公司來講，主要有兩類區域。

·         邊界區域，也稱爲DMZ （停火區）：這一區域容納那些可從公共互聯網訪問的資產。

·         內部區域：是爲內部組織建立的內部網絡區域，與公共區域和其它組織的內部區域隔離。

 

圖2 安全區域

 

每一個區域都有它本身的安全需求，這取決於它的功能，區域內所運行的應用程序。本文主要討論如何實現內部區域的安全性，邊界區域的安全性經過vShield Edge來實現。

內部區域可用來隔離不一樣的部門，也能夠用來隔離不一樣的應用層。一些企業已經開始向私有云模型轉換，IT部門變身爲公司各部門的服務商，基礎架構是服務內容之一。這種場景下，靈活性很關鍵，用戶但願能夠按需地建立或刪除資源池或區域。

如今讓咱們來看看虛擬基礎架構上的安所有署流程。IT部門已經爲服務器虛擬化的部署創建了新的流程。然而，部署安全防禦的流程可能尚未對虛擬化基礎架構作出適應。下面的部分將討論VI管理員如何構建整合的基礎架構，以及幾種傳統的安所有署方式存在哪些缺陷。

整合工做負載與安全

 

正如我在預覽部分中介紹的同樣，有三種傳統的部署模型能夠用來保護虛擬化基礎架構的安全性：

·         物理隔離（Air Gap）爲每一個部門或組織部署獨立的虛擬基礎架構，相似於爲不一樣的應用提供不一樣的物理服務器。在安全防禦方面的主要影響是資源利用率較低。這種架構下，安全防禦容易實現，可是採購與維護成本都較高。

·         網絡隔離的混合信任域（Mixed-Trust with Network Silo）爲了使好地利用物理服務器資源，提升整合比，同時也利用物理網絡隔離的方法來保證安全性。

·         基於VLAN的混合信任域（Mixed-Trust with VLAN）：利用VLAN來邏輯分隔網絡，這樣能夠充分整合現有硬件資源，這種方法的缺點在於隨着平臺的增加，安全規則會愈來愈複雜，管理難度會不斷加大。

下面讓咱們經過一個實際的例子來看看幾種部署場景的實現細節，如今假設有三個組織（HR，FIN和Sales）須要部署三種不一樣的應用，咱們須要爲每一個組織提供隔離保護與安全防禦，咱們會經過下述經常使用的標準來評估每一種部署方式：

1)      抵禦內部***的能力（從位於同一臺物理主機的一臺虛擬機向另外一臺虛擬機發起***）

2)      可防範因外部***所形成的破壞（***可能來自於其它主機上的虛擬機，內部區域或數據中心外部）

3)      可監控基礎架構內部通信

4)      支持能夠隨虛擬機移動的動態安全策略（自適應）

5)      操做簡單且具備良好擴展性的解決方案（簡單和擴展性）

物理隔離安所有署

 

如圖3所示，客戶將不一樣組織（HR，Fin和Sales）的三種不一樣應用部署在三臺獨立的主機，每一臺都有單獨的存儲、網絡和安全設備。假設每一個組織都有一個單獨的二層域（或單獨的VLAN），則三個應用只有在路由器與防火牆策略容許的狀況下才能相互通信。虛擬架構管理員必須清楚地知道網絡管理員爲每一個子網中分配了哪些地址範圍，以及哪些服務器的端口是能夠鏈接的。安全管理員則要爲不一樣的區域建立防火牆規則以對進出區域的流量加以限制。負載均衡器則負載在集羣內分配負載。IPS用於監測進出集羣的流量以發現不正常的流量或是安全威脅。IPS只能監測到那些流過主機網卡的流量，對經過虛擬交換機在主機內部傳遞的流量則沒法感知。

 

圖3：物理隔離安所有署

 

基於獨立網絡的混合信任域

 

如圖4所示，這一次，咱們把來自三個部門的三種不一樣應用部署在一臺（或多臺物理主機構成虛擬化集羣）鏈接有存儲和網絡的物理主機上，爲了隔離應用，咱們爲主機配置了三塊物理網卡，它們分別鏈接到三個虛擬交換機，在物理網絡中，有三套獨立的物理交換機和安全設備分別服務於三個部門的應用。這種設計實現了服務器的整合，可是網絡與安全設備並無減小，物理服務器須要配置較多的網卡。

圖4：基於獨立網絡的混合信任域

 

基於VLAN的混合信任域

 

如圖5所示，客戶將三組不一樣的應用部署在鏈接有存儲與網絡的同一臺（或多臺）物理主機，此次主機只採用一塊（或一組）網卡鏈接到虛擬交換機，虛擬交換機上配置多個端口組，每一個端口組對應不一樣的VLAN，經過這種方式實現HR，FIN和Sales三個部門之間的隔離。管理員須要維護物理交換機上的VLAN配置，以及管理相關的防火牆，負載均衡設備和IPS設備。這個方案對服務器和網絡進行了整合，也不須要那麼多物理網卡和網絡設備了 ，可是這種設計帶來了一些新的挑戰：

-          複雜的網絡與防火牆設備配置

-          須要爲不一樣的區域配置基於IP地址的防火牆規則

-          對於多臺虛擬機集中運行在高性能服務器和10GB網絡環境中時，防火牆將成爲阻塞點。

-          全部來自虛擬機的流量都必須流經物理網絡，可能致使潛在的性能問題。

-          當虛擬機在不一樣的物理主機之間漂移時，必須手工調整安全策略。

圖5：基於VLAN的混合信任域