vShield App设计指南[上]

预览

 

VMware vShield App是VMware vShield产品家族的一员，可用于保护虚拟数据中心中的应用或资源池免受来自内部和外部的网络威胁。虚拟数据中心（vDC）是一个新的虚拟化基础架构部署方式，它能够帮助服务商更好地向用户提供按需的基础架构服务，在共享基础架构上确保资源的隔离、安全与灵活。本文旨在帮助管理员理解如何在虚拟数据中心中使用VMware vShield App。首先，我会简单介绍一下从烟囱式的物理基础架构转变为整合的虚拟基础架构的历史。接下来讨论安全设计的最佳实践，这些最佳实践被不少大公司用来保护它们的资产。最后，会介绍两个供用户参考的设计模型，它们能够帮助用户在虚拟架构上有效应用vShield App产品。

九十年代后期，IT人员将每一套应用都部署在单独的物理基础架构（Encalve）之上，每一个Encalve都有一套服务器，存储和网络组件。这种架构一般存在较大的资源浪费，由于咱们必须按照峰值时的性能要求来配置资源，可是大部分时间这些资源的利用率都很低。在2000年初，VMware推出了x86服务器虚拟化技术，IT人员开始实施服务器虚拟化，从而对现有的基础架构进行整合，以提升利用率。有了服务器虚拟化，多个应用程序能够运行在一台物理服务器之上，以充分利用多核处理器的处理能力。可是服务器整合却在安全方面带来了挑战，须要合适的方法来隔离那些运行在同一物理架构上的不一样应用。

先让咱们来看一看传统的安全设计方法。

 

图1：安所有署方式的演变

 

在不一样的时期，网络与安全管理员采用不一样的方法为IT基础架构提供安全性保障，包括物理分段，或是利用VLAN实现逻辑分段。并引入不一样的安全设备以控制流量。图1显示的是安所有署方式的进化史，从最初的物理隔离方式（Air Gap）发展到基于VLAN逻辑隔离的混合信任区域，采用VLAN的方式须要管理员维护复杂的网络与安全配置。这些方法限制了云的部署，呆板的物理基础架构不可以灵活地按需移动资源，基于VLAN的逻辑隔离则对虚拟机之间的流量缺少可见性和控制力。基于vShield App的虚拟Enclaves来划分信任区域是较好的方法，从根本上解决了传统安所有署方式所存在的问题。表1在部署和管理复杂度等方面对几种安全设计进行了比较。

 

表 1 安所有署比较

指标	物理隔离	采用独立网络的混合信任域	采用VLAN 的混合信任域	采用虚拟 Enclaves 的混合信任域
资源利用率	服务器和网络资源的利用率不高	服务器利用率获得提高，网络资源利用率不高	服务器与网络资源利用率高	服务器、网络与安全资源利用率高
整合	无整合	仅服务器整合	最佳整合	最佳整合
物理设备的数量	高	高	中	低
采购与运维成本	最高的采购与运维成本	较高的采购与运维成本	较高运维成本	较低的采购与运维成本
复杂性	低	中	高	低
部署与管理所面对挑战	需管理多个设备	须要服务器配置多块网卡（刀片服务器没法提供足够多的端口）线缆管理复杂，需管理多个网络与安全设备	VLAN ，防火墙规则，防火墙阻塞点配置复杂，安全区域较大	部署安全性的新方法，很是容易部署与管理

 

安全设计与分区

 

对于任何一家公司而言，安全设计的目标都是为了知足业务需求，在保护资产的同时让受权用户能够正常访问。不一样的部门有不一样的安全需求，安全管理员首先要定义安全区域，将公司的资产根据风险分析结果指定到不一样的安全区域。这些区域能够帮助安全管理员根据资产的重要程度建立安全策略。如图2所示，对于大多数公司来讲，主要有两类区域。

·         边界区域，也称为DMZ （停火区）：这一区域容纳那些可从公共互联网访问的资产。

·         内部区域：是为内部组织建立的内部网络区域，与公共区域和其它组织的内部区域隔离。

 

图2 安全区域

 

每一个区域都有它本身的安全需求，这取决于它的功能，区域内所运行的应用程序。本文主要讨论如何实现内部区域的安全性，边界区域的安全性经过vShield Edge来实现。

内部区域可用来隔离不一样的部门，也能够用来隔离不一样的应用层。一些企业已经开始向私有云模型转换，IT部门变身为公司各部门的服务商，基础架构是服务内容之一。这种场景下，灵活性很关键，用户但愿能够按需地建立或删除资源池或区域。

如今让咱们来看看虚拟基础架构上的安所有署流程。IT部门已经为服务器虚拟化的部署创建了新的流程。然而，部署安全防御的流程可能尚未对虚拟化基础架构作出适应。下面的部分将讨论VI管理员如何构建整合的基础架构，以及几种传统的安所有署方式存在哪些缺陷。

整合工做负载与安全

 

正如我在预览部分中介绍的同样，有三种传统的部署模型能够用来保护虚拟化基础架构的安全性：

·         物理隔离（Air Gap）为每一个部门或组织部署独立的虚拟基础架构，相似于为不一样的应用提供不一样的物理服务器。在安全防御方面的主要影响是资源利用率较低。这种架构下，安全防御容易实现，可是采购与维护成本都较高。

·         网络隔离的混合信任域（Mixed-Trust with Network Silo）为了使好地利用物理服务器资源，提升整合比，同时也利用物理网络隔离的方法来保证安全性。

·         基于VLAN的混合信任域（Mixed-Trust with VLAN）：利用VLAN来逻辑分隔网络，这样能够充分整合现有硬件资源，这种方法的缺点在于随着平台的增加，安全规则会愈来愈复杂，管理难度会不断加大。

下面让咱们经过一个实际的例子来看看几种部署场景的实现细节，如今假设有三个组织（HR，FIN和Sales）须要部署三种不一样的应用，咱们须要为每一个组织提供隔离保护与安全防御，咱们会经过下述经常使用的标准来评估每一种部署方式：

1)      抵御内部***的能力（从位于同一台物理主机的一台虚拟机向另外一台虚拟机发起***）

2)      可防范因外部***所形成的破坏（***可能来自于其它主机上的虚拟机，内部区域或数据中心外部）

3)      可监控基础架构内部通信

4)      支持能够随虚拟机移动的动态安全策略（自适应）

5)      操做简单且具备良好扩展性的解决方案（简单和扩展性）

物理隔离安所有署

 

如图3所示，客户将不一样组织（HR，Fin和Sales）的三种不一样应用部署在三台独立的主机，每一台都有单独的存储、网络和安全设备。假设每一个组织都有一个单独的二层域（或单独的VLAN），则三个应用只有在路由器与防火墙策略容许的状况下才能相互通信。虚拟架构管理员必须清楚地知道网络管理员为每一个子网中分配了哪些地址范围，以及哪些服务器的端口是能够链接的。安全管理员则要为不一样的区域建立防火墙规则以对进出区域的流量加以限制。负载均衡器则负载在集群内分配负载。IPS用于监测进出集群的流量以发现不正常的流量或是安全威胁。IPS只能监测到那些流过主机网卡的流量，对经过虚拟交换机在主机内部传递的流量则没法感知。

 

图3：物理隔离安所有署

 

基于独立网络的混合信任域

 

如图4所示，这一次，咱们把来自三个部门的三种不一样应用部署在一台（或多台物理主机构成虚拟化集群）链接有存储和网络的物理主机上，为了隔离应用，咱们为主机配置了三块物理网卡，它们分别链接到三个虚拟交换机，在物理网络中，有三套独立的物理交换机和安全设备分别服务于三个部门的应用。这种设计实现了服务器的整合，可是网络与安全设备并无减小，物理服务器须要配置较多的网卡。

图4：基于独立网络的混合信任域

 

基于VLAN的混合信任域

 

如图5所示，客户将三组不一样的应用部署在链接有存储与网络的同一台（或多台）物理主机，此次主机只采用一块（或一组）网卡链接到虚拟交换机，虚拟交换机上配置多个端口组，每一个端口组对应不一样的VLAN，经过这种方式实现HR，FIN和Sales三个部门之间的隔离。管理员须要维护物理交换机上的VLAN配置，以及管理相关的防火墙，负载均衡设备和IPS设备。这个方案对服务器和网络进行了整合，也不须要那么多物理网卡和网络设备了 ，可是这种设计带来了一些新的挑战：

-          复杂的网络与防火墙设备配置

-          须要为不一样的区域配置基于IP地址的防火墙规则

-          对于多台虚拟机集中运行在高性能服务器和10GB网络环境中时，防火墙将成为阻塞点。

-          全部来自虚拟机的流量都必须流经物理网络，可能致使潜在的性能问题。

-          当虚拟机在不一样的物理主机之间漂移时，必须手工调整安全策略。

图5：基于VLAN的混合信任域