摘要

中国矿业大学  在一体化网络建设项目中,认证、SDN、安全等业务每天为数万人提供服务,其重要性不言而喻。为确保一体化网络稳定运行,中国矿业大学将重要系统向超融合集群进行业务迁移,并为超融合集群配备专用出口防火墙、WAF防火墙及虚拟化安全防护。  本项目涉及十个厂商的产品与服务,由三十余名工程师按照计划在三天内完成。完工后的项目架构,如下图所示。完工后的项目架构图  为增强业务系统的稳定性与健壮性,...

 oldsrc=  在一体化网络建设项目中,认证、SDN、安全等业务每天为数万人提供服务,其重要性不言而喻。为确保一体化网络稳定运行,中国矿业大学将重要系统向超融合集群进行业务迁移,并为超融合集群配备专用出口防火墙、WAF防火墙及虚拟化安全防护。

  本项目涉及十个厂商的产品与服务,由三十余名工程师按照计划在三天内完成。完工后的项目架构,如下图所示。

 oldsrc=  为增强业务系统的稳定性与健壮性,从多维度立体防护到业务系统管理精准控制,充分实现了高可靠与高安全。

  在具体实施上,重点从设备安全与网络控制层面着手,做好这两方面工作。在解决问题的过程中,逐步提炼并总结出信息化安全防护的几点认识,希望可以为其他高校提供一些思考与借鉴。

  在很多时候,高校信息化从业者常常感觉建设经费不足,投入设备不够,安全无法保障。其实这更多是因为将网络安全寄予众多安全设备,却不自觉地忽视了网络架构本身可以提供的一些安全防护机制。利用现有网络设备,借用少量安全设备,只要规划得当,策略设置合理,同样可以提供良好的安全服务。这是本文要探讨的重点,也是本文的价值诉求之所在。

  信息安全两个层面

  信息安全主要包括业务安全与平台安全两个层面,而业务安全与平台安全又分别有两个抓手。

  1.业务安全两个抓手

  从业务属性上讲,业务主要包括数据交互业务与用户交付业务。其中数据交互重点指设备之间的数据交互,包括网络设备、安全设备,以及计算与存储单元之间的数据交互。用户交付则是指面向服务对象的最终业务呈现,以及由此产生的交互数据。

  2. 平台安全两个抓手

  就超融合系统本身而言,平台安全主要指两个层面。一个是管理员对超融合平台及安全设备的运维管理,另一个是管理员对虚拟机及其业务系统的运维管理。

  超融合安全实施思路

  1.网络安全多级防护

  在一体化网络超融合架构中,我校采取了四级安全防护体系,分别为顶级安全、出口安全、应用安全及底层安全。顶级安全由园区网高性能边界防火墙保障,主要提供入侵防护、策略定制及路由控制;出口安全由超融合防火墙保障,主要提供精细化策略定制、入侵防护及DDoS防护;应用安全由WAF设备保障,主要提供Web应用安全防护;底层安全则由超融合配套安全系统保障,主要提供虚拟机杀毒及其他底层安全防护。

  2.业务管理精准控制

  这是整个项目比较激动人心的一个环节,也是饶有趣味的一个环节。业务管理精准控制不但充分发挥了网络安全设备的作用,而且充分挖掘了网络架构自身的安全机制。经过科学规划,合理实施,两者相互支撑,互有裨益,从而最大程度发挥人的主观能动性。具体实现方法,接下来将做详细论述。

  超融合安全实现方法

  虽然将超融合安全分为网络安全多级防护与业务管理精准控制,但在项目实施过程中却不是孤立存在的,而是相互配合,互为补充。

  1.业务安全管理

  以超融合业务系统中防护级别较高的“认证系统”为例,通过超融合出口防火墙与WAF安全设备,实现只对园区网用户开放的、仅限特定端口的Web应用。

  对于认证系统与园区网“认证网关”的业务数据交互,则由超融合出口防火墙提供认证系统与“认证网关”的点对点数据交互。

  这种点对点的数据交互、限定用户开放特定端口的防护策略,在充分保障业务系统安全的同时,又充分确保了数据的安全性。

  2.平台安全管理

  当前在平台的安全性方面,比较常用的是堡垒机,其本质就是要充分实现点对点的访问。从这个角度来讲,VPN也是点对点,但VPN在高校却面临一个复杂业务场景的问题。尤其是图书馆资源,校内校外链接错综复杂,这就需要VPN采用全资源授权模式,而不是单一或少量资源授权模式。因此,只要授权VPN对超融合平台的访问,从理论上来讲,任何一个VPN用户都有可以访问超融合平台的权限,这显然是不安全的。

  而借助于边界防火墙或超融合出口防火墙作为代理节点,建立虚拟隧道,则可以实现类似于单一或少量资源授权模式的VPN访问,这就首先解决了跨互联网平台管理的问题。与此相比,在校内建立点对点连接会更简单一些,只要指定一台允许访问超融合平台的“单点”主机即可。

  在超融合出口防火墙设置策略,只允许防火墙代理节点和校内“单点”主机访问,形成严格的“点对点”安全模式。

  在做好基层防护的基础上,将目光转向顶级安全防护。在边界防火墙执行严格策略控制,默认屏蔽掉从外网到内网主动发起的一切访问,再按照业务授权最小化原则,有限度地开放一些必要访问。同时,在边界出口防火墙对路由进行过滤,将超融合平台路由限定在最小范围之内。

  在做好上述种种策略之后,纵览全局,我们可以看到,不论是校内还是校外用户,除授权的平台管理员之外,其他用户没有进入平台的入口,这从根本上有效提高了安全性。

  最后,谈一谈超融合自身的安全,也就是超融合对业务系统与数据的保护机制。对于业务系统及数据的保护,超融合是有一整套机制的,比如集群、多副本、快照等。在业务系统上线后,我们做了较为严苛的宕机实验,关闭业务系统所在节点,虚机自动漂移,业务系统正常运行,丝毫不受宕机影响。整个漂移过程几乎在无感知的情况下完成,并且具备完善的日志记录,方便故障分析与快速处置。

  信息化安全规划

  从项目实施经验来看,网络安全设备是一把“双刃剑”,在提供安全防护的同时,也会对业务稳定与交付效率产生一定影响。不论是通过策略路由还是SDN设备来实现流量调度,总之在原本可以直行的流量之间人为增加了逻辑调度,必然要占用一些资源开销。因此,做好信息化安全规划,需要充分考虑业务系统安全防护等级,分门别类,实现精细化管理。

  另外,在经费有限的情况下,也可以尽量“复用”或者“多用”安全设备。以高性能出口防火墙为例,目前许多防火墙自身集成的IPS、防病毒,甚至是抗DDoS性能已十分出色,除非有特殊需要,一般可以满足网络安全需求。

  在平时的工作中,我们一定要充分认识到,网络安全不是简单的设备堆砌,其更大程度上还是要依赖于发挥人的主观能动性。所以,做好网络安全不能完全寄希望于各种安全设备的部署。要充分结合路由、点对点防护等安全辅助工作。往往这种多维度、综合立体防护,要比仅靠安全设备的叠加效果要好得多。

  作者:边永涛,系中国矿业大学高级工程师

  来源:《中国教育网络》杂志

  投稿、转载或合作,请联系:eduinfo@cernet.com

华人教育信息订阅号二维码