共计 3176 个字符,预计需要花费 8 分钟才能阅读完成。
云计算作为新型基础设施建设的重要组成,关键作用日益凸显,市场规模出现持续增长趋势。然而云计算平安态势日益严厉,安全性成为影响云计算充分发挥其作用的外围因素。与传统 IT 零碎架构不同,上云之后,云平安迎来了责任共担新时代。
网络安全法和等保 2.0 给出了比拟清晰的领导倡议,当然这也要求云厂商能提供基于 IaaS、PaaS、SaaS 的平安机制和服务。云厂商在提供给云租户云服务内容的同时,还要提供相应的安全措施和具体的平安服务产品。
QingCloud 平安资源池服务
QingCloud 平安资源池是青云提供的在以后平安威逼和平安合规要求下的平安解决方案之一。
首先,QingCloud 平安资源池构建在基于可信云平台之上,云平台提供平安的 SDN 网络、SDS 存储、软件定义计算的平安云环境,在云之上提供给租户自助的平安服务,如主机防护、运维堡垒机、审计、WAF、平安态势等。这些平安服务,能够满足租户对平安多样性的需要,平安组件以租户为单位进行资源和平安隔离,这是平安池的基本功能。
除了平安资源池的整体性,云平台又给平安组件赋予了一些新的个性:
- 自助个性: 租户能够自助进行平安组件规格、数量、解决性能的定制化,能够自由选择青云以后最新的云主机类型,从而施展出平安组件的最佳性能。
- 性能保障: 云中平安组件的性能,往往是用户在抉择此计划时的思考之一。青云如何来保障云中平安组件的性能呢?云中平安组件能够借助云平台的资源弹性扩大性能,来晋升平安组件的流量解决能力,如很多平安产品中的流量深度过滤性能,就能够联合云平台的 LB 负载平衡,来提供多实例的抗衡大流量的网络攻击行为。并且能够借助 EIP 性能,对外体现为一个平安集群来应答大流量攻打事件。
- 凋谢个性: 用户在抉择平安产品时,除了思考性能因素外,另外要思考的就是平安产品的性能和业余度,也就是说是否帮业务做好平安。举例说明:用户放心一重防火墙不能阻挡当下新型的网络攻击(如 APT 或零日攻打事件),业余的平安用户就心愿有多款不同技术见长的平安产品组合起来实现防护攻打,实现平安穿插互补的防护成果。客户有需要,咱们就要有实现的能力,对云平台来说也是一个技术挑战,SDN 编排必须要是开放性的架构设计,能够依据用户的需要,编排对接各种状态和第三方的平安资源池和业余安全设备。青云在布局平安资源池时,就思考到了用户这种业余的平安需要,并且投入大量的研发,实现了 SDN 编排的凋谢个性,通过 SDN 编排能够兼容第三方的平安资源池,甚至安全设备。
平安资源池服务实现门路及难点
在理解具体的技术实现状况前,先要看一下实现这样的平安资源池的难点在哪里?要实现方才提到的平安资源池,云平台要解决两个层面的工作。
- 管制治理立体: 租户须要在本人的治理页面上能够自由选择,甚至是自由组合应用对应的平安组件产品,包含下发平安配置策略、查看各种安全事件和日志,这就须要云平台来对接海量的平安产品治理接口以及对接各种平安产品的控制台,因为接口技术不对立,工作比较复杂且工作量很大。
- 数据流量立体: 如何实现云实例的失常流量,依据平安治理的需要,别离通过各种平安产品或组件,也就是俗称的东西向流量和南北向流量编排。如何实现东西向流量和南北向流量编排,自身就是一个难点,用户多、云业务简单、流量大,还要保障较低的网络延时以及无单点故障,加上思考开发个性、对接各种第三方资源池和安全设备,计划极其简单。
青云平安资源池架构实现
上图为青云实现对立平安资源池的 SDN 编排计划逻辑图。由 3 个外围局部形成:SDN 对立管控平台组件、MCN(多云网络管理组件)、各种状态的平安资源池。
- 平安对立管控平台: 青云自研的对立注册治理平安产品控制台的组件平台,这个组件平台一边对接各平安产品控制台和 API,另一边提供丰盛的 API 接口,给云租户 console 来调用,从而对接尽可能多的平安产品和组件,并且解耦平安组件的管制治理,给云平台租户提供能够自由选择应用对接注册到平台上的各种平安组件,并且要实现各种策略的下发、事件的告警和日志的集中收集等。
- MCN 多云网络管理组件: 青云自研的一款软件定义网络产品,在整个计划中 MCN 起到高性能网络互联互枢纽的作用,能够对接各种网络和设施,当然也包含各种安全设备和资源池。以 MCN 为外围,在总的平安 SDN 对立管控平台定义下,把防护实例对象的流量进行平安流量逻辑编排,顺次通过定义的安全设备,从而进行各种平安防护。
因为有了 SDN 对立管控平台和 MCN,就能够实现对接青云自研和第三方的平安资源池平安计划。最初一个组件是青云的 VG,是互联网的进口设施组件(软件),能够对接各种线路、绑定 EIP 地址池和公网负载平衡等实现。
青云 SDN 云平安服务别离定义了 SDN 对立管控平台和 MCN+ 各种状态的平安服务,从而实现了基于 SDN 的平安服务编排,为云租户提供灵便又全面的平安防护计划。
MCN 外围组件,是整个 SDN 编排的外围重点。有四个外围性能:
- 服务调度: 能承受 SDN 对立控制台的服务和资源调度,对接治理层面。
- 流量编排: 造成编排逻辑和流量链条打算。
- 高性转发立体: 东西向和南北向流向转发和网络设备对接,如 Vxlan 数据解封装。
- 多种状态: 软件定义的多种状态,满足各种场景的需要,老本和高性能是思考的重点。
青云对 MCN 应用场景的定义:
- 不同网络的互联,甚至在混合云、公有云场景下的多网络互连。
- 云在 Region 下多 AZ 区域的网络互通,能够感知和实现对云环境多大的环境变动,这点是传统交换机无奈实现的。
- 数据平台,具备各种网络隧道能力,数据包解封的能力,如 vxlan 的流量编排等。
SDN 平安服务编排价值
通过 SDN 的编排,有哪些价值?
运维场景: 要对云中数据做运维,能够通过 NFW 拜访堡垒机,再拜访数据库。
交付业务防护场景: 通过入侵进攻、数据库组的防护组件,再拜访数据库。用户一键疾速在云中实现平安服务的编排部署,如在实在的数据中心,获取到丰盛的平安性能,计划灵便,并且能保障平安产品的性能和平安性能穿插爱护,从而实现对云中实例的平安做到自主可控。
平安产品在实在的实际中,为了达到较好的防护成果,往往要应用不同技术架构,不同实现的平安产品,通过组合应用,来晋升防护率,如和平中,咱们会发现有各种的进攻措施,第一道进攻、第二道进攻,也会使得不同特点的火力武器进行配合应用。
SDN 编排场景:异构、混合平安防护编排
南北向编排:如云主机 1 须要拜访互联网,能够通过 SDN 编排,数据流量先通过平安资源池中的“虚构下一代防火墙”做拜访规定的过滤后,再跳转到传统硬件 IPS 进行利用特色库过滤,最终拜访到互联网。
东西向编排:如 VPC 1 中云主机 1 和 VPC 2 中的云主机 4 互通,这属于典型的跨 VPC 东西向流量,这个场景假如 VPC 1 中为运维终端,要拜访 VPC 2 中的云主机 4 服务。咱们能够通过 SDN 编排,将流量强制通过物理安全设备“堡垒机”的身份认证和受权后,能力拜访云主机 4,从而实现运维操作的记录和审计。此业务场景,通过 SDN 编排后充分利用了“具备性能劣势的物理安全设备”。
南北向编排:此场景为从互联网被动拜访云中的主机实例 6 的业务场景,为常见的业务拜访场景。咱们通过 SDN 编排 EIP 的能力,将拜访流量顺次通过“虚机下一代防火墙”和物理 IPS 混合过滤,经过滤后的流量最终达到实例 6。不仅实现混合加强防护成果,也能够在混合云模式下,兼容各种平安防护设施和技术。
SDN 平安服务编排劣势
- 凋谢架构: 凋谢架构能够对接和编排各种第三方平安能力和各种平安资源状态。
- 平安资源池: 基于青云云平台,可提供可信环境、资源弹性、一键交付、灵便扩容的平安资源池。
- 平安服务化: 提供青云云资源统一的操作习惯和应用体验。
- 智能编排: 解决各种传统网络、安全设备、异构平安资源的网络买通和流量编排。
作者
张帆 青云科技解决方案架构师
本文由博客一文多发平台 OpenWrite 公布!