简介

为了弥补openstack当前环境中较为匮乏的安全解决方案,引入 360 的 csmp(也是一个openstack环境,内附各种安全设备镜像),通过在 underlay 进行引流回注完成对接,方案架构如下图所示:

uos&csmp对接总览图

解决方案

uos 的用户分为 vxlan 租户和 vlan 租户, csmp 据目前了解全部为 vlan 租户。
csmp的安全产品分为网关类和非网关类产品。

首先,对于租户的东西流量,vxlan 无解,vlan 流量在存在下层接入交换机的情况下,无法完全截获,且二层不好控流。对于租户的南北流量,在有对网关类安全产品需求的情况下,采用策略路由和静态路由的方式将双向流量引入安全资源池。原理如下(鉴于waf不同的部署方式,以此分类阐述):

  • waf透明模式
    • out方向:用户端(vlanX)访问服务端(vlanY)流量通过交换机做PBR(以vlanX设备源IP做策略路由)将流量引入虚拟安全资源池(vlanZ)中的防火墙设备,防火墙处理完毕后通过策略路由(以vlanX设备源IP做策略路由)将流量引入WAF设备,WAF设备处理完毕后,将流量通过默认路由返回至交换机,交换机将流量转发至服务端(vlanY)。
    • in方向:服务端(vlanY)返回数据流量到客户端(vlanX)通过交换机做PBR(以vlanX设备目的IP做策略路由)将流量引入安全资源池(vlanZ)中的防火墙设备中,防火墙处理完毕后通过静态路由(以vlanX设备目的IP做静态路由或者策略路由)将流量引入WAF设备,WAF设备处理完毕后,将流量通过默认路由返回至交换机,交换机将流量转发至客户端(vlanX)。
  • waf反向代理模式
    • out方向:用户端(vlanX)访问服务端(vlanY)流量通过交换机做PBR(以WAF的目的IP做vlanX策略路由)将流量引入虚拟安全资源池(vlanZ)中的防火墙设备,防火墙处理完毕后会直接访问WAF设备IP,WAF设备处理完毕后源IP变为WAF的IP,同时将发往服务器的数据包先发至防火墙(由于防火墙是有状态的,需要通过数据首包创建Session),再由防火墙通过交换机发送至服务端(vlanY)。
    • in方向:服务端(vlanY)返回数据流量到客户端(vlanX)通过交换机做PBR(以WAF的目的IP做vlanY策略路由)将流量引入安全资源池(vlanZ)中的防火墙设备中,防火墙处理完毕后会直接访问WAF设备,WAF设备处理完毕后,WAF会通过交换机直接访问至客户端(vlanX)。

可行性分析

  1. 首先这种分离的架构决定了网关类安全产品只能使用旁挂部署,且东西流量无法控制,引流回注影响网络性能,需要设计 underlay 网络的策略。
  2. 对于vxlan租户南北流量,由于隐藏在 nat 之下,网关类产品控制力度很粗,非网关类产品流量源无法确定,比如堡垒机的基于IP的鉴权和审计,数据库审计源的主动获取等。网关类产品采取fip的方式解决,但是这里为了解决租户数量问题的意义将不存在;非网关类产品出了引入fip,可以采取360给出的轻代理方案,但是需要确定金融、政府等行业对此代理的侵入是否允许。
  3. 不需要更改各自的产品架构,无需另外开发,松耦合。