云时代的到来,对各行业提出了更高的技术和管理要求。尤其是随着云应用的不断普及,信息安全问题越来越成为用户关注的焦点。在云环境中,对各种数据的安全保护要求和方式与传统数据中心不同。针对这种情况,迪普科技创新提出了“云安全、硬实力”的解决方案,充分实现了云环境下的安全防护需求。云安全的本质是什么?在过去十年的安全防护体系中,安全是以边界为中心的防护模型。所谓边界,就是不同信任级别的安全区域之间的分界点。边界通常部署防火墙、UTM、入侵防御、上网行为管理等一系列安全产品。在这个场景中,保护对象非常明确,都是独立的物理服务器。与传统安全相比,云环境下的应用场景发生了很大的变化。在云计算中,最关键的技术就是虚拟化。当虚拟机取代了之前的物理服务器,你会发现以往清晰的界限变得模糊了。因为一台物理服务器中可能存在多个不同租户的虚拟机,而同一个租户的虚拟机可能分布在不同的物理服务器中。这使得无法使用传统的划分安全区域的方法来定义边界。这个时候应该如何部署安全?现有的云安全解决方案有哪些?在目前的云架构中,可以清楚地看到,对于计算、网络、存储领域有很多技术标准,比如计算虚拟化中的VMware、KVM、XEN、Docker,网络中的VEPA、VN-TAG、OpenFlow、VXLAN存储虚拟化标准中的虚拟化、HDFS、Hbase等技术。然而,一直没有明确的安全标准,导致在部署云安全时出现了五花八门的解决方案。目前,公有云环境中主流的云安全解决方案之一是NFV(NetworkFunctionVirtualization)技术。NFV使用服务器在软件中处理传统的独立网络服务,如虚拟路由器、虚拟防火墙、虚拟负载均衡等。可以更加灵活快速的进行安全虚拟化和业务定制,得到了各大公有云服务商的支持。但是NFV存在对应用场景的适应性问题,并非所有场景都适合部署NFV。由于NFV占用服务器CPU资源处理安全业务,尤其是NFV处理内容层安全业务时,服务器的计算性能会大幅下降。另外,NFV的实施也会造成计算和安全的管理接口不清晰。因此,对于研发或运维能力无法与强大的互联网公司相比的私有云用户,NFV并不是最佳解决方案。私有云用户对云安全产品的独立性、功能性、管理性有更多的个性化需求。迪普科技云安全解决方案针对上述现状,迪普科技创新性提出了“云安全,硬实力”解决方案,其主要思路是通过独立的硬件安全设备解决云安全问题。“云安全、硬实力”解决方案主要包括三个部分:云安全、安全云、云管理。——云安全这里所说的云安全是一个比较狭义的概念,主要是解决多租户的安全防护问题。因为在云环境下,同一台物理服务器下的多租户相互访问默认可以通过虚拟交换机转发,而不是通过物理网络设备和安全设备。因此,云计算中租户之间的安全隔离,也就是常说的东西向安全,是一个比较大的问题。以往业界的一些技术,如VEPA、VN-TAG等,可以实现虚拟感知功能,但或多或??少受到各种制约,实际效果并不理想。迪普科技的方案通过将安全网关与VXLAN技术相结合,实现了虚拟机感知和安全隔离的目的。VXLAN(VirtualeXtensibleLocalAreaNetwork)是一种Overlay技术,将二层报文使用MAC封装在UDP中,使二层报文可以在三层网络中转发。VXLAN采用24位网络标识,因此最多可以使用1600万个隔离的VXLAN,远超VLAN所能支持的4K,因此VXLAN也满足了在大规模云计算环境中的使用要求。VXLAN报文结构示意图VXLAN技术中有两种网关,分别是二层网关(L2GW)和三层网关(L3GW)。其中,二层网关主要实现VXLAN与标准以太网的互通,可支持VXLAN与VLAN的一对一转换,适用于标准以太网与VXLAN混合的网络中应用。在迪普科技的云安全解决方案中,最重要的是提供了三层网关功能。三层网关实现VXLAN之间的互通。当报文需要跨VXLAN接入时,三层网关重新封装VXLAN报文的头部,在三层转发。一般VXLAN方案只在网关处理网络层,对VXLAN的支持是主要基于网络设备,迪普科技在安全设备上实现了对VXLAN的支持。三层网关工作原理图VTEP(VXLANTunnelEndPoint)用于封装和解封装VXLAN报文。虚拟交换机作为VTEP封装虚拟机的二层报文,然后通过隧道将封装后的报文发送给对端的VTEP。对端VTEP收到封装报文后,解封装并根据封装后的MAC地址进行转发。迪普科技的VXLAN安全网关可以作为VTEP,跨VXLAN转发三层数据包。在虚拟机和安全网关之间,形成了一个完整的VXLAN网络,不同VXLAN虚拟机之间的相互访问必须通过迪普科技安全网关进行转发和控制,从而实现多租户之间的安全隔离。迪普科技的VXLAN安全网关是一个独立的安全设备,将安全与计算完全分离,不会影响计算资源。同时,独立的专业安全设备也提供一体化的集中管理。用户只需登录一个管理界面,即可配置云计算中的所有安全功能,大大简化了管理难度。——安全云所谓安全云,就是针对云计算自身安全需求的解决方案。在迪普科技的安全云解决方案中,通过多虚一和一虚多技术,可以实现安全网关的快速扩展和细粒度的多租户安全资源分配能力。多虚一是指将多个物理安全网关或业务板虚拟成一个逻辑虚拟设备,形成一个大的安全资源池。在这个安全资源池中,可以根据需要扩展安全性能和功能。性能不够可以加一块同类型的单板,功能不够可以加一块业务板,甚至可以扩展整个设备。对于这个安全的资源池,还可以继续进行一对多的虚拟化。一对多虚拟化可以为不同的租户划分不同的VSA(VirtualSecurityAppliance),可以从VNID、CPU、内存、吞吐量、并发连接数、新增连接数、路由协议等维度进行划分,从而实现1个租户,1个VSA,1个配置接口,N个VNID目标。由于租户之间大量的互访都是通过安全网关进行转发和控制的,因此对于安全网关的性能要求会非常高,用户也非常关心性能问题。迪普科技采用分布式架构的DPX19000和DPX8000系列产品作为安全网关。是目前业界性能最高的云安全平台。单台设备最大安全性能可达3.2Tbps,并可通过多虚一技术再次扩展,安全产品不会成为云计算的性能瓶颈。——云管理迪普科技云安全网关本身就提供了一种非常便捷的管理方式:用户只需登录一个管理界面即可管理所有安全功能模块,而无需像以前那样登录各种安全产品。配置和管理。在云计算中,越来越多的用户使用专用的云管理平台来管理云计算中的网络、存储和计算资源。OpenStack是目前最主流的云管理标准技术。迪普科技云安全网关全面支持基于OpenStack的云管理。用户可以管理迪普科技的计算、存储、网络资源等安全设备,实现真正的资源化。自动配置管理。综上所述,迪普科技的“云安全、硬实力”解决方案不同于软件实现安全的方式。它采用专业的高性能硬件设备解决云环境下的安全问题,无缝整合云计算和安全资源。融合是一个令人耳目一新、震撼人心的全新概念,将对云计算安全的发展产生深远的影响。
