《一個(gè)可供創(chuàng)業(yè)公司參考的云網(wǎng)絡(luò)可視化與安全解決方案》要點(diǎn)：
本文介紹了一個(gè)可供創(chuàng)業(yè)公司參考的云網(wǎng)絡(luò)可視化與安全解決方案，希望對(duì)您有用。如果有疑問(wèn)，可以聯(lián)系我們。

作者簡(jiǎn)介：

張?zhí)禊i(Neeke),云杉網(wǎng)絡(luò)聯(lián)合創(chuàng)始人兼CTO

負(fù)責(zé)公司的產(chǎn)品和技術(shù)研發(fā)工作,曾任美國(guó) Juniper 公司高級(jí)研發(fā)經(jīng)理,負(fù)責(zé)當(dāng)時(shí)世界最大防火墻 SRX 的研發(fā).專(zhuān)注于 SDN、NFV 和云計(jì)算領(lǐng)域的相關(guān)產(chǎn)品和技術(shù),對(duì)于 SDN 在云計(jì)算業(yè)務(wù)中的實(shí)施和應(yīng)用有豐富的經(jīng)驗(yàn).

一、背景介紹

在這幾年和各個(gè)云的對(duì)接以及面向我們的客戶、合作伙伴,幫他們解決網(wǎng)絡(luò)故障檢修以及提供網(wǎng)絡(luò)的整體方案過(guò)程中,我們深切的感受到如果想給一個(gè)云提供一個(gè)高質(zhì)量的 SLA 是非常不容易的.

今天我們聚焦在一個(gè)很小的點(diǎn),即如何用 Flow 的技術(shù)去做網(wǎng)絡(luò)的虛擬化、可視化并提高運(yùn)維效率以及解決云的內(nèi)網(wǎng)安全的問(wèn)題.

二、業(yè)務(wù)云化的三大難題

云的網(wǎng)絡(luò)實(shí)際上是從傳統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)不斷的向云端遷移和演進(jìn)的過(guò)程.相比傳統(tǒng) IT 架構(gòu)而言,云非常大,要解決網(wǎng)絡(luò)虛擬化必須引入 SDN、OpenFlow 或者各種比較復(fù)雜的技術(shù).事實(shí)上,從邏輯上,數(shù)據(jù)中心、云平臺(tái)、租戶網(wǎng)絡(luò)是緊密耦合在一起的.

舉一個(gè)例子,兩個(gè) VM 的通訊有可能是在一個(gè)服務(wù)器內(nèi)部,也有可能跨了機(jī)柜甚至數(shù)據(jù)中心等等,但是租戶并不關(guān)心這個(gè)過(guò)程,他只關(guān)心網(wǎng)絡(luò)的性能是否OK、連接是否正常.

但云的運(yùn)維者必須非常了解這個(gè)過(guò)程,否則你就沒(méi)有辦法做 trouble shooting.由于云規(guī)模的“大”隨之而來(lái)的性能、高可用的難題便浮現(xiàn)出來(lái),具體表現(xiàn)為：

• Scale 的問(wèn)題：一般云的規(guī)模都會(huì)比較大,比如 100～200 個(gè)機(jī)柜左右.
• VTEP 終結(jié)點(diǎn)：終結(jié)點(diǎn)在 Server/Tor – – 交換機(jī)上這會(huì)帶來(lái)兩個(gè)問(wèn)題,性能和管理的問(wèn)題.
• 流量模型復(fù)雜：網(wǎng)絡(luò)通信到底是二層還是三層,等等.

在長(zhǎng)時(shí)間跟很多云溝通以后,大家形成了這樣一個(gè)共識(shí)：在設(shè)計(jì)云的網(wǎng)絡(luò)時(shí),除了生產(chǎn)網(wǎng)絡(luò)還應(yīng)該考慮監(jiān)控網(wǎng)絡(luò).

實(shí)際上監(jiān)控網(wǎng)絡(luò)后端的核心是一個(gè)分析平臺(tái),通過(guò)探針采集把云平臺(tái)各種流包能夠抓取過(guò)來(lái),按照分析需求把采集到的流量導(dǎo)入相應(yīng)的分析集群.但是不同的探針點(diǎn)在云平臺(tái)里的部署難度是不一樣的：

• 在南北向的接口做流量分光相對(duì)容易；
• 在接入層做做流量鏡像/分光比較難.首先是架構(gòu)設(shè)計(jì)上沒(méi)有預(yù)留鏡像的接口；其次做分光會(huì)引起業(yè)務(wù)中斷,所以很難實(shí)施；
• 在 Open vSwitch 上引流會(huì)對(duì)租戶網(wǎng)絡(luò)性能有影響.

在我看來(lái)這是一個(gè)探針部署的問(wèn)題,探針的部署應(yīng)該是非侵入式的,最好是一個(gè)開(kāi)源、開(kāi)放的框架,這樣 load 會(huì)比較輕.

三、云網(wǎng)分析的設(shè)計(jì)理念

那么從運(yùn)維的角度來(lái)說(shuō),目前這樣一個(gè) Scale 比較大的網(wǎng)絡(luò)分析的要求有哪些?

1. 云網(wǎng)分析的需求

• 可視化,這里面包括虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò).什么意思呢?就是不但能把租戶的拓?fù)涑尸F(xiàn)出來(lái),而且能把租戶的流量映射到物理交換機(jī)上并做出關(guān)聯(lián)分析、能做歷史回溯,當(dāng)有異常發(fā)生的時(shí)候立刻展現(xiàn)出來(lái).
• 擴(kuò)展性.現(xiàn)在很多市場(chǎng)上的分析的產(chǎn)品,實(shí)際上就是一個(gè)分析能力有限的盒子,但是云的規(guī)模在不斷擴(kuò)大,堆盒子的做法顯然是不可持續(xù)的,最好的是一個(gè)彈性開(kāi)放的架構(gòu)；同時(shí)能和現(xiàn)有的很多分析工具結(jié)合在一起,而不需要自己開(kāi)發(fā).
• 快速定位.從業(yè)務(wù)和運(yùn)維的角度來(lái)講,最重要的要把運(yùn)維和業(yè)務(wù)的邊界劃分清楚.當(dāng)別人告訴你出現(xiàn)問(wèn)題的時(shí)候,你能迅速定位出來(lái)這是誰(shuí)的問(wèn)題.
• 智能.所謂智能主要是一個(gè)自動(dòng)化的呈現(xiàn)和報(bào)告.我們?cè)瓉?lái)在設(shè)計(jì)的時(shí)候定了一個(gè)規(guī)格,大概能處理 10,000 個(gè) IP ,但我們有一個(gè) Scale 不大的金融行業(yè)客戶的云里有 60,000 個(gè) IP 超過(guò) 3000 個(gè)業(yè)務(wù).在這樣的一個(gè)場(chǎng)景里面,他的運(yùn)維不可能把每一個(gè)業(yè)務(wù)都看一遍,他希望能夠有一些智能的發(fā)現(xiàn).另外,一些行為分析在做 DPI 的時(shí)候也需要智能的聯(lián)動(dòng).

2. 技術(shù)選型

在不改變?cè)猩a(chǎn)網(wǎng)絡(luò)的前提下部署監(jiān)控網(wǎng)絡(luò)的難點(diǎn)不一而足,具體到我們經(jīng)歷過(guò)的 Case 有以下四個(gè)方面需要重點(diǎn)考量.

• 探針的選擇,SFlow、Netflow/IPFIX、分光、鏡像等各有優(yōu)缺點(diǎn).我們要考慮哪一種是最適合自己的.在云環(huán)境里當(dāng)一個(gè)用戶給你報(bào)障的時(shí)候,你需要快速定位出來(lái),這個(gè)時(shí)間不能太長(zhǎng),否則用戶會(huì)無(wú)法接受.
• 數(shù)據(jù)的存儲(chǔ),云的流量非常大,尤其是東西向的流量.基礎(chǔ)設(shè)施應(yīng)該有能力做一些處理,再把流量送到后端.如果沒(méi)有這種基礎(chǔ)架構(gòu),現(xiàn)有的分析工具很難進(jìn)行工作.
• 多分析工具的支持,由于客戶現(xiàn)有的業(yè)務(wù)和運(yùn)維環(huán)境,我們不可能要求客戶更改或重新開(kāi)發(fā)相關(guān)的工具和插件,因此必須支持原有的分析工具.
• 云感知與流量獲取,在虛擬化環(huán)境里面資源經(jīng)常在發(fā)生遷移,你怎么跟云的平臺(tái)資源做聯(lián)動(dòng),然后感知到目前問(wèn)題發(fā)生的原因.

我們選擇用 Flow 的方式來(lái)處理,根據(jù)我們的實(shí)踐 Flow 做云網(wǎng)分析有較大的優(yōu)勢(shì).并且我們通過(guò)分析從 Flow 中采集到的數(shù)據(jù),發(fā)現(xiàn)很多有意思的事情.

• 輕量,Flow 只把五元組、連接狀態(tài)、字節(jié)數(shù)、握手關(guān)閉、持續(xù)時(shí)間等信息,大概一個(gè) Flow 有幾百個(gè)字節(jié).
• 適合行為分析,按需與 DPI 結(jié)合.
• 隱私安全,無(wú)需看用戶數(shù)據(jù).

用 Flow 做云網(wǎng)分析的過(guò)程中,一個(gè)很關(guān)鍵的技術(shù)點(diǎn)是探針.

四、 軟件定義探針

通過(guò) SDN 的能力我們把智能探針(Traffic Intelligence)部署在生產(chǎn)網(wǎng)絡(luò)中,使用 Flow 的技術(shù)我們能及時(shí)發(fā)現(xiàn)哪些流量有問(wèn)題,一旦發(fā)現(xiàn)有問(wèn)題便拎出它的包再放大——采用 DPI 分析.整個(gè)過(guò)程不看用戶的 payload 文件而只看 Packet “指紋”特征,這便是我們的 SDN.

這個(gè)是我們的一個(gè)軟件架構(gòu),最底層是 Flow 的采集,這其中有一個(gè)緩存,在上面是數(shù)據(jù)關(guān)聯(lián),實(shí)際上數(shù)據(jù)從采集一直到展示出來(lái)是一個(gè)層層處理的過(guò)程.

當(dāng)數(shù)據(jù)處理到達(dá) Elastic Search 以后,我們對(duì)上提供 Restful API,這樣用戶自己可以開(kāi)發(fā)應(yīng)用或者第三方的合作伙伴一起開(kāi)發(fā)應(yīng)用,從而更好地利用我們的分析結(jié)果.

說(shuō)了這么多,還是舉個(gè)例子證明一下吧.首先是我們與合作伙伴對(duì)上海一家客戶幾個(gè)月的 Flow 數(shù)據(jù)做了點(diǎn)分析.

在這些 Flow 數(shù)據(jù)上做了大概 22 種攻擊流量建模,得出來(lái)的其中一個(gè)結(jié)果就是這樣.這個(gè)圖下半部分大家能看到紅線的數(shù)據(jù)是 0、藍(lán)線是有數(shù)值的,這股流量只進(jìn)不出,說(shuō)明這是網(wǎng)絡(luò)攻擊.大家再對(duì)比一下這幅圖中間部分的正常流量曲線數(shù)據(jù),實(shí)際上底部所示的攻擊流量是非常的小.

這其實(shí)更說(shuō)明了我們 Flow 分析的價(jià)值,因?yàn)樵谝粋€(gè)云的內(nèi)部網(wǎng)絡(luò)流量非常大,而我們能從如此巨大的流量(上百G)中發(fā)現(xiàn)細(xì)微的流量(幾個(gè)包、1000 多個(gè)字節(jié))異常.經(jīng)過(guò)我們這么一查,用戶的問(wèn)題就找到了.

綠盟基于我們的分析平臺(tái)把各種安全模型全部統(tǒng)計(jì)出來(lái),最典型的像檢測(cè) DDOS 攻擊和惡意掃描.

但是這兩種攻擊是完全不一樣.DDOS 攻擊流量大很容易被發(fā)現(xiàn),而惡意掃描通常都是非常小的一個(gè)包,比如一個(gè)云網(wǎng)絡(luò)里面有三臺(tái)虛擬機(jī)給每個(gè)人的遠(yuǎn)程桌面(3389 端口)發(fā)了一個(gè)包,雖然只有三個(gè)包,但是這種行為很惡劣,在這種情況下把它檢測(cè)出來(lái)其實(shí)難度還是比較大的.

轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址：
http://www.snjht.com/jiaocheng/4334.html