運營商
OPERATOR
中國聯通新疆分公司項目案例
隨著越來越多的用戶將傳統的業務系統遷移至云計算環境中,云安全面臨的挑戰也更加嚴峻,傳統環境下的安全問題在云環境下仍然存在,如SQL注入、內部越權、數據泄露、數據篡改、網頁篡改、漏洞攻擊等,而云環境下又不斷涌現一堆新的安全問題,如云安全邊界的劃分和防護、云安全防護系統的選擇和部署、云安全檢測、安全防御、云安全審計等。同時,云計算環境下的資源按需分配、彈性擴容、資源集中化等新型技術形態也給云安全技術帶來挑戰和技術革新。
● 云安全總體業務架構設計
根據新疆聯通醫療云的現有業務特點以及其相關云安全防護需求,安恒信息提出了基于軟件定義安全(SDS)的天池云安全解決方案,該方案與新疆聯通醫療云現有的云環境進行適配集成,以實現云計算環境中的安全防護。
本方案采用軟件定義安全(SDS)的架構,其原理是通過將安全數據與控制平面的分離,對物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行解耦,底層抽象為云安全資源池里的資源,頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。云安全資源池業務架構如下圖所示∶
● 云租戶登陸云管理平臺按需申請云安全防護能力,如云堡壘機、云Web應用防火墻等
● 云平臺安全管理員審核需求和服務訂單
● 根據云租戶申請的云安全產品類型,云管理平臺通過調用云安全管理平臺的API接口,自動的創建對應的云安全能力
● 云租戶通過單點登錄到云安全管理平臺將安全策略下發到各云安全產品
● 云租戶安全管理員通過云安全管理平臺的租戶視角看到自己虛擬網絡的安全狀態,比如安全事件、安全日志,并且可以按照業務安全的需求自定義安全規則
● 云安全資源池網絡模型架構設計
增加了天池云安全資源池后,vm網絡通信流程如上圖所示,分為網關型安全服務(如云防火墻)和非網關型安全服務(如云堡壘機)兩大類安全服務∶
一● 網關型安全服務的網絡通信流程
云租戶申請EIP時,天池云安全資源池與SDN控制器進行協商,雙方均自動建立好VLAN100與ylan200的網絡,同時SDN控制器將VLAN100對接到某一個VXLAN網絡里面比如 VXLAN 10000,同時將VXLAN IF 10000的接口也綁定到vRouter1上
同時天池云安全管理平臺通過API讓安全資源池創建VLAN100與VLAN200的網絡,并自動生成一個vFW將vFW的trust接口橋接到VLAN100上, untrust接口橋接到VLAN200 上。,同時預留的ip地址配置到云核心,交換機的 VLAN100 VLAN200接口以及云防火墻的trust和untrust接口上。將EIP發下給云防火墻,并完成SNAT、安全策略的默認配置
后通過vFW的untrust接口轉發到vRouterpublic上,最后通過vRouter public的underlay的路由將數據轉發出云外了。
從云外到云內的流量轉發模型正好相反,需要調用SDN API 將目的IP為EIP的路由下一跳指向云防火墻的untrust
一● 非網關型安全服務的網絡通信流程
云租戶申請堡壘機,天池云安全資源池與SDN控制器進行協商,雙方均自動建立好VLAN100的網絡,同時SDN控制器將VLAN100對接到某—個VXLAN網絡里面比如 VXLAN 10000, 同時將VXLAN IF 10000的接口也綁定到 vRouter1上
同時天池云安全管理平臺通過API讓DASONE創建VLAN100的網絡,并自動生成一個堡壘機橋接到VLAN100的網絡上。這樣云堡壘機通過VLAN100就完成了與租戶VLAN10和VLAN 20的網絡通信