云来了，安全盒子怎么办？（二）

上文中为大家分析了关于云带来的安全挑战，本文中绿盟君将书接上文，展示现有的几种东西向防护方案。

什么是东西向流量

凡提到云防护，必然会听见“东西向防护”这个词。那么，什么是东西向流量？

下面这幅图，是传统IDC的流量走向：

可以看到，大部分业务流量，都是从外到内为主，安全防护设备，也集中在由外到内的防护路径上，我们称之为“南北向”防护。

IDC云化以后，服务器的规模，包括虚拟机的数量，都扩大了很多。横向的虚拟机密度大大增加，也因此衍生出租户和各种复杂的网络虚拟设备，如下图：

传统IDC的安全问题，主要集中在①这个位置。云化以后，流量问题复杂化了，衍生出②、③、④、⑤这几个新的情况，防护也因此而有所不同。

在云网络内部，租户之间是隔离的，互相访问要通过vpn或者隧道访问。租户内部可以划分不同的子网，子网之间，子网内部虚拟机之间，虚拟到外部，外部到虚拟机，都会产生访问流量，安全问题也由此而生。

东西向流量，主要是指租户内部虚拟机的访问所产生的流量。注意，东西向流量在这里是泛指租户相关的流量，并不仅仅是从外到内的流量。如果外部流量访问虚拟机，需要按照不同租户的策略来防护，此刻也称之为“东西向”。

现有东西向防护方案

凡是解决方案，出发点都是根据安全厂商自身情况优先考虑。同样的，对客户而言，“反厂商绑架”也是自然的诉求。

虚拟OS厂商的方案

虚拟OS厂商，指的是虚拟系统厂家。这类厂家因为掌握了虚拟操作系统，所以自然考虑从虚拟系统本身入手来构建安全方案。通用的示意图如下：

从上图可以看出，对内部流量的防护，利用了计算节点本身的计算能力进行，流量在出计算节点之前，就得到了有效的防护。

这种方式有他的优缺点。

在靠近虚拟机的位置进行防护，能够在最短路径上防护，同时流量不出计算节点，不会对云内部骨干网络，造成额外的流量负担。另外随着虚拟OS的部署，安全能力随之部署，在部署上也会比较便利。

◆ 首先是第三方安全厂商必须获取虚拟OS的防护API授权，才能引入自己的安全虚拟机，如vmware的nsx认证。

◆ 另外一个缺点是安全模块和安全虚拟机运行在计算节点，会占用计算资源。

◆ 最后一个缺点，是安全虚拟机厂商多样性也会有问题。不同厂家的安全虚拟机，要同时出现在同一个计算节点上，技术上会有很大的问题。

网络厂商的方案

这类厂商，以传统网络数通厂家为主。云化，不仅仅需要服务器虚拟化，也需要网络的虚拟化。流量可以在计算节点的驱动层捕获，也可以在网络层面捕获。我们知道，业务流量在哪里，安全问题就在哪里。因此对于网络安全盒子来说，在网络层面接入才是正道。

如上图所示，SDN网络，控制面和转发面分离，通过控制器来集中控制所有流量的转发。在SDN网络内部，可规划安全区。在安全区域，安全虚拟机或安全设备，可注册为服务节点。在SDN协议字段里，通常有服务字段。通过设置服务字段的值，即可控制任意的流通过指定的服务节点。

因为流量调度，通过网络进行了横向迁移，此刻可能大家会担心对网络带宽占用问题。对此问题，SDN网络内部增加了横向交换机的密度，所谓spine-leaf架构，通过增加横向带宽，来满足流量横向迁移的能力。

通过设置服务节点，将流量通过网络调度的方式，进行服务编排，可以很方便的接入第三方厂商的传统盒子以及安全虚拟机。同时，因为通过网络控制器来进行流量牵引，可以自然兼容大部分hipervisor OS厂家——因为引流和虚拟OS没有关系。

会增加一部分网络建设的开销。另外在网络时延方面，不如内置在计算节点的方式。最后，采用这种方式，网络设备必须是支持服务编排的SDN网络，这对于采用传统网络方式的客户，增加了改造费用。

传统终端安全厂商的方案

传统终端安全厂商，优势在于有安全终端，劣势在于没有网络产品，也没有虚拟操作系统产品。那么，自然会从自身优势出发，在虚拟机操作系统内想办法来构建安全能力，如下图：

即：通过在虚拟机操作系统内，安装安全代理（通过虚拟机模板部署），以及在HiperVisor OS内安装安全模块，或称之为“无代理”方式，通过在HiperVisor系统底层以及虚拟机操作系统驱动层，捕获数据流以及文件内容，来实现安全防护。一般可实现杀毒、文件监控、网络防护等功能。

◆ 通过在虚拟机操作系统部署安全代理，避免了必须依赖虚拟OS以及SDN网络，而直接实现了流量捕获以及防护。

◆ 另外，也可以充分利用计算节点的计算能力，无需额外增加安全硬件资源的投入，也不会引起流量的横向调度。

◆ 一个是在客户虚拟机上安装代理，会有信任问题。如果客户数据比较敏感，可能不愿意安装第三方的程序在自己的虚拟机内；

◆ 另外，如果要按照不同租户不同策略来进行防护，还是需要一个集中的管理中心和虚拟系统用户数据库进行对接，以便于识别租户以及下发相应的策略。

◆ 第三个缺点是防护能力的多样化会有问题，即：很难在这样高度集成的架构内，开放的引入各家厂商的安全能力。

网络安全厂商的方案

网络安全厂家，既没有SDN产品，也没有虚拟OS产品。在这种情况下，往往会选择一个中立的态度来构建云内的安全解决方案。

网络安全厂商，优势在于安全产品线很全，可以很快的将安全盒子，虚拟化为各种安全虚拟机，并池化。如下图：

通过在标准x86服务器上，安装各类虚拟机，并形成安全池集群；然后，根据租户的需求，构建虚拟的安全能力，如虚拟WAF，虚拟IPS，以对应虚拟资源的概念。这样做可以将以前安全盒子专属硬件才能提供的能力，灵活的虚拟化到通用硬件，客无须再采购专用硬件，可就地利用虚拟服务器来作为安全池的部署环境，甚至利用现有的虚拟资源池来部署安全虚拟机。

那么剩下的，就是通过各种方式，将流量往安全池牵引，以实现安全防护。具体的引流方式，需要结合用户网络环境来实现。比如通过SDN API引流，通过传统路由器进行策略路由方式引流，通过虚拟/传统交换机镜像口引流，以及在计算节点内安装引流代理，通过代理方式引流。如下图：

上图的微代理，可以看作一个特殊的虚拟交换机。如果VM2需要被防护，那么只需要拆除VM2和原有虚拟交换机的连接，并将VM2的虚拟网卡，连接到微代理，微代理用TRUNK的方式再连接到虚拟交换机上，这样便不会破坏原有VM2的VLAN拓扑。

通过池化安全能力，可以构建弹性、多样化且开放的安全池，方案本身符合云的特性。同时利用各种引流手段，能够灵活的实现安全防护。

引流方式会带来额外的带宽占用和延时。同时，需要对接不同的客户网络方案，对接成本较大。

总结

综上，可看出目前云环境下，缺乏统一的网络安全设备部署环境，目前局势还有点混乱。从另一个侧面，也看出虚拟化发展过程中，基础设施对于安全方面考虑的缺失。

未完待续……

完整内容请点击文末“阅读原文”

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP