云计算、大数据、物联网等的进一步完善,使得运营商网络呈现出规模更大、速度更快、应用更丰富、资源更集中、接入方式更多种多样的发展趋势,运营商在搭建云计算平台时及部署云业务应用时,需要更多考虑云计算时代所面临的安全挑战。
由于传统的网络结构中,网络边界一般通过物理的服务器、网络设备、网络接口进行识别,防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量,并按照预设的策略执行防护动作。但随着虚拟化实施之后,系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个虚拟机,这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成,不会与外部网络发生交互,传统的边界防护设备捕捉不到这些流量,也就不能进行防护。因此基于传统的边界防护的手段不适用于对虚拟化环境的边界保护。
传统的信息安全产品通常以硬件形式存在,单台设备的功能与性能比较固定,采购和部署的周期比较长。企业将业务迁移到云中,由于云的弹性伸缩特点,允许企业业务的规模从小到大在一个很大的范围内变化。如果业务规模小、流量小,采用高性能的信息安全产品成本高,而且会造成资源浪费;如果业务规模大流量大,采用低性能的信息安全产品,就会出现信息安全产品性能不足的问题。弹性化的安全需求,不但体现在性能上,还体现在交付与部署时间上。因为业务在短时间内爆炸式增长,也需要安全产品交付与部署时间同步缩短。云计算里支持多租户,不同的租户对安
病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统(CPU、内存和磁盘I/O)负荷激增,同时导致业务虚拟机密度下降。这将影响虚拟化或云计算项目的投资收益率(ROI)。
对于传统运营商数据中心而言,由于业务的规模不是特别大,安全管理对威胁的分析、可视、处理,通过多种传统的安全产品基本可以满足。由于业务量变化幅度不大,对威胁的联动响应大部分通过人工就可以满足要求。但随着云时代的到来,系统变得越来越复杂,组件越来越多,用户流量不断上升,各种相关事件和变更需求也越来越多,云的运维管理变得越来越重要,其中安全管理在运维管理之中又是重中之重。安全管理首先需要对云环境的安全风险进行有效的评估,通过对威胁的可视化可以保障运维人员对云的安全状况有整体的掌控。由于云的规模的庞大与分布式特性
虚拟化安全资源池由各种物理形态或虚拟形态的网络安全设备组成,这些安全设备由管理中心统一部署、管理、调度,以实现相应的安全功能。安全资源可以按需取用,支持高扩展性、高弹性。
SDS理念是从SDN引申而来,原理是将物理的、虚拟化的网络安全设备与它们的接入模式、部署位置解耦,抽象为安全资源池里的资源,通过软件编程的方式进行智能化、自动化地编排和管理,以实现相应的安全功能,从而完成网络安全防护。
配备安全资源是实现网络安全防护的基础。在SDS模式下,安全资源由管理中心通过软件编程的方式进行统一注册、管理,以便实现后续的灵活编排和调度。
提供智慧流安全平台级、安全设备级的双机热备,当检测到故障发生时,能实时自动对平台及安全设备进行主备切换。如果主备安全设备均发生故障,还能够采取Bypass方式,确保网络不中断,避免单点故障。故障解除后,自动还原。
该方案可以将多个安全产品以虚拟机的方式运行在1-N台硬件设备中,在节约硬件成本的同时,还节约多台硬件消耗的机架租金、电力、制冷、人力维护等运维成本。 系统内置客户端可以从安全市场获得各种安全产品虚机映像,通过虚机映像可以快速创建各种虚拟化安全产品,从而实现快速部署安全产品。
Vetrix安全资源池支持部署在定制的工控机硬件上,也支持部署在支持虚拟化的商业服务器硬件上;支持软硬件一体销售,也支持用户自己购买服务器硬件(硬件需要符合系统对硬件的要求),厂商只销售软件授权的商业模式。
安全产品以虚拟机的方式部署在云中,需要云平台提供CPU、内存、硬盘、网络等资源,安全产品虚拟机容易与云中的其他业务虚机抢夺CPU等硬件资源,影响业务虚机的性能。独立的虚拟化安全资源池,与业务虚机不发生CPU、内存、硬盘等资源的争抢,这样的独立部署架构即减少对云平台的紧耦合,又有效降低云内部署安全虚拟机方案带来的业务质量风险。
Vetrix安全资源池支持安全产品虚拟化的部署方式,在单机硬件资源允许的条件下,用户通过创建安全产品虚拟机,快速扩展自己的安全能力; Vetrix安全资源池支持分布式系统架构,在单机硬件资源不够时,可将多台主机组成硬件资源池,通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式,近乎无限扩展安全能力。
传统IT架构满足等保三级要求时,需要部署防火墙、入侵检测、数据审计等产品,在云环境下的虚拟机之间东西向流量,无法采用传统硬件安全设备进行入侵检测与审计,难以满足云等保等合规要求,采用系统整体方案后,可以将云中虚拟机的流量牵引到安全资源池中进行检测与审计,配合云中的虚拟防火墙,边界的防火墙设备,可以满足云等保等合规相关要求。
业务资源池与安全资源池直连 在VMware环境下,业务资源池虚机可与Vetrix服务器直连,此场景下VTAP下设置为不对复制的流量进行封装,流量直接由业务资源池交付至Vetrix资源池。适用于小规模部署,且可将Vetrix服务器部署在与业务资源池的相近的位置。 如业务资源池需要通过网络与Vetrix服务器直连,此场景下,需将VTAP设置为对流量进行封装,采用SDS流转发平台解封装后将流量交付给各类安全产品。
安全资源弹性可扩展软件编排的方式、支持虚拟化的安全设备等特性简化了安全设备集群化部署。平台支持多元化负载均衡算法,可以实现安全设备性能的线性扩展。
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层