轻博客首页热门评论热门转发热门话题全部博主

业务支撑网向云计算演进挑战研究与分析

标签：业务支撑网云计算云边界虚拟化安全风险

2011-12-20 12:11

1 引言

近年来，随着我国经济水平和移动通信技术的飞速发展，越来越多的人体会到了新技术带来的生活新体验。移动运营商业务支撑网的规模正在进行着前所未有的高速扩容，以满足快速增长的用户数量，以及业务多元化、个性化的发展趋势。

云计算作为一种新技术变革和新IT服务模式，以其可观的经济收益和便捷的服务理念赢得了业界的普遍关注和广泛讨论。一方面，业务支撑网作为运营商内部的核心生产网，根据业务安全等级高低，有严格的网络安全域边界划分，且各安全域间互访须经过严格的策略控制，云计算的引入将对业务支撑网网络安全提出挑战；另一方面，在业务支撑网的部署中引入云计算的理念，将规模化降低成本，大幅提升业务支撑的敏捷性，是未来业务支撑网发展的趋势。

2 云计算的概念

云计算正处于发展完善期，没有统一的定义。在不同的发展阶段或从不同的角度，对云计算都有不同的认识和理解。美国国家标准技术研究院定义了云计算的五大特性、四类部署模型和三种服务^[1]。

表1 美国国家标准技术研究院的云计算表述

3 业务支撑网向云计算的演进

目前，典型的运营商业务支撑网以传统的组网方式为主体，根据不同业务属性的安全等级，对支撑网基础设施（主机、存储、网络等）进行分类部署，如图1所示。网络安全域安全等级从高到低，依次为核心域，内部接口子域，外部接口子域。即核心域服务器集群的可信任度最高，外部接口子域服务器集群的可信任度最低。对于各安全域内部，可信任度相同。

图1 典型的业务支撑网网络安全域划分

业务支撑网大量的主机、存储、网络设备，客观上为业务支撑网向云计算演进提供了物质基础。其演进主要经历大集中、虚拟化、云计算三个过程^[2]。

3.1 业务支撑网大集中过程

这一过程将业务支撑网分散的数据资源、IT资源进行了物理集中，形成了规模化的基础设施。在数据集中过程中，不断实施数据和业务的整合，基本完成自身的标准化，使得既有业务的扩展和新业务的部署能够规划、可控，并以规范和标准进行业务支撑系统的实施，解决了数据业务分散时期的混乱无序问题。

在数据集中后期开始容灾建设，特别是在大地震之后，业务支撑网的容灾中心建设普遍受到重视，且大部分容灾建设的级别都采用面向应用级容灾。

第一阶段解决了业务支撑网IT分散管理和容灾的问题。

3.2 业务支撑网虚拟化的过程

在数据集中与容灾实现之后，以降低成本、提升IT运行灵活性、提升资源利用率为目的的虚拟化开始部署。虚拟化屏蔽了不同物理设备的异构性，将基于标准化接口的物理资源虚拟化成逻辑上也完全标准化和一致化的逻辑计算资源(虚拟机)和逻辑存储空间。虚拟化可以将多台物理服务器整合成单台，每台服务器上运行多种应用的虚拟机，实现物理服务器资源利用率的提升。虚拟化后，应用以VM为单元部署运行，服务器数量可大为减少且计算能效提升，使得能耗与空间问题得到控制。

第二阶段提升了业务支撑网IT架构的灵活性，数据中心资源利用率有效提高，运行成本降低。

3.3 云计算阶段

在这个阶段，面向服务的IT需求开始演化到云计算架构上。IT资源弹性扩展、按需服务，服务成为IT的核心，业务敏捷性得到提升，成本进一步降低。业务支撑网的云计算架构可以由运营商自己构建，也可采用第三方云设施，无需自己建设，可按需获得。

云计算解决了IT资源的动态需求和最终成本问题，使得业务支撑部门可以专注于服务的提供和业务运营。

这三个阶段中，大集中与容灾是面向业务支撑网物理组件和业务模块，虚拟化是面向业务支撑网的计算与存储资源，云计算最终面向IT服务。这样一个演进过程，表现出IT运营模式的逐步改变，而云计算则最终根本改变了传统IT的服务结构，它剥离了业务支撑系统中与运营商核心业务无关的因素(如IT基础设施)，使运营商业务支撑服务能力与自身业务的变化相适应。

4 演进过程中面临的挑战

业务支撑系统承担着运营商营业、账务、计费等核心业务，其运维的稳定性和保密性对于运营商来说至关重要。在云计算的演进过程中，业务支撑网面临着云边界、安全策略迁移和云计算安全风险等众多挑战。

4.1云边界的挑战

在云计算演进的大集中阶段，为了最大限度地发挥服务器集中的优势，部署时多采用刀片服务器，这将有可能打破现有业务支撑网络安全域的划分，通过服务器把不同安全等级的安全域联通，在业务支撑网中形成以云平台为中心的星型拓扑结构和以核心交换机为中心的星型网络拓扑结构，破坏了网络架构，严重威胁系统安全。如图2所示。

图2 云平台与网络核心交换机双星型拓扑图

以云平台中刀片服务器1的网络连线为例，其他略去。可见，网络结构变得异常复杂，甚至出现了多条物理环路（粗线表示环路）。另外，当安全域交换机与刀片服务器运行生成树协议时，情况将更为复杂多变，如图3所示。交换设备之间分别运行生成树协议，以阻断口字形组网带来的环路，但是，从整体来看，形成了一个十分复杂的环路（粗线表示环路）。由于人为干预生成树协议的难度较大，所以环路将是千变万化的。不仅日常运维的难度非常大，一旦出现网络故障，将对全网产生重大影响。

图3 运行生成树协议后的复杂环路

因此，在部署云平台时，应遵循网络安全域边界原则，即网络安全域边界作为云平台边界，如图4所示。按照网络安全域的划分，分别在安全等级不同的安全域搭建云平台，各云平台的信息交互通过核心交换层实现，有利于日常运维和故障处理。同时，层次清晰的网络结构，也为业务支撑系统向虚拟化阶段演进奠定了基础。

图4 业务支撑网云平台部署方式

4.2安全策略迁移的挑战

在业务支撑网中，安全策略的部署是非常重要的工作，根据具体服务器的应用特点对不同类型的应用系统制定不同级别的防护策略。在传统的网络中，由于应用系统和服务器区域基本都是固定不变的，所以安全策略仅在规划初期工作量较大，后期更多的是进行策略的更新和细微的调整。然而在虚拟化环境下则完全不同，应用系统和服务器是自由匹配和随需迁移的关系，每一次虚拟机的迁移对应安全策略的改变和调整，如果不能实现动态的配置调整，对于虚拟环境下安全策略的部署将不具备可实施性^[3]。

在业务支撑网络进行虚拟化整合的基础上进行安全虚拟化，将部署的安全系统进行逻辑的分割，即将一台安全设备或模块分割成若干台逻辑安全设备，分割后的逻辑网络内部有独立的数据通道，对网络安全资源进行更加细致的划分，可以根据业务特征在逻辑网络内进行灵活的安全策略的部署和匹配，实现虚拟机迁移后对应的安全策略也随之动态迁移，扫清服务器虚拟化实施所带来的安全策略部署的困难。在部署时，网络设备和安全设备都需要支持虚拟化技术，网络设备通过多个虚拟为一个的方式整合网络，然后在其基础上部署支持虚拟化技术的安全设备或模块，最终实现虚拟环境下动态的安全策略部署。

图5 虚拟化网络及动态安全策略部署

4.3 云计算的安全性挑战

根据美国信息技术咨询公司Gartner在2009年发布的《云计算安全风险评估》，云计算主要面临七大安全风险^[4]，如表2。

表2云计算面临的七大安全风险

业务支撑网演进到云计算阶段，运营商的大部分精力都集中到服务上，对于那些与服务没有直接关联的IT基础设施，在大幅降低运维成本的推动力下，倾向于以租用的方式获得。然而，业务支撑系统涉及大量核心业务信息和用户资料，租用IT基础设施，将使运营商承受巨大的安全风险压力。因此，在完善云计算安全防护体系之前，构建自己的业务支撑云计算系统，将会成为运营商的最佳选择。

5 结论

本文从业务支撑网络的规划设计、虚拟化和安全等几个方面，分析了业务支撑网在向云计算演进的三个阶段中所面临的挑战和风险，提出了规避风险的方法。

目前，信任问题是云计算在业务支撑网中应用和发展的首要问题。尽快建立云计算相关标准，推动解决合规性和保证服务质量，是发展云计算亟待解决的问题。同时，网络作为IT基础设施，是业务支撑系统高效稳定运行的重要一环，其规划和部署应具有高可靠性和适当的前瞻性，才能适应业务系统的不断发展。

参考文献

[1] MELL P, GRANCE T. The NIST Definition of Cloud Computing [EB/OL]. May 11, 2011. http://csrc.nist.gov/groups/SNS/cloud-computing/.

[2] 刘新民. 步入云计算[J/OL]. May 13, 2011. http://www.h3c.com.cn/ About_H3C/Company_

Publication/IP_Lh/2010/09/Home/Catalog/201004/671513_30008_0.htm.

[3] 王宏伟. 数据中心网络如何应对服务器虚拟化[J/OL]. May 13, 2011. http://www.h3c.com.cn

/About_H3C/Company_Publication/IP_Lh/2010/09/Home/Catalog/201004/671505_30008_0.htm.

[4] GARTNER. Assessing the Security Risks of Cloud Computing [EB/OL]. May 13, 2011. http://www.gartner.com/DisplayDocument?id=685308.

权限：公开来自：labs

阅读全文：5296 | 转发(0) | 评论(0)