云計算作為新型基礎(chǔ)設(shè)施建設(shè)的重要組成,關(guān)鍵作用日益凸顯,市場規(guī)模呈現(xiàn)持續(xù)增長趨勢。然而云計算安全態(tài)勢日益嚴(yán)峻,安全性成為影響云計算充分發(fā)揮其作用的核心要素。與傳統(tǒng) IT 系統(tǒng)架構(gòu)不同,上云之后,云安全迎來了責(zé)任共擔(dān)新時代。
網(wǎng)絡(luò)安全法和等保 2.0 給出了比較清晰的指導(dǎo)建議,當(dāng)然這也要求云廠商能提供基于 IaaS、PaaS、SaaS 的安全機(jī)制和服務(wù)。云廠商在提供給云租戶云服務(wù)內(nèi)容的同時,還要提供相應(yīng)的安全措施和具體的安全服務(wù)產(chǎn)品。
QingCloud 安全資源池服務(wù)
QingCloud 安全資源池是青云提供的在當(dāng)前安全威脅和安全合規(guī)要求下的安全解決方案之一。
首先,QingCloud 安全資源池構(gòu)建在基于可信云平臺之上,云平臺提供安全的 SDN 網(wǎng)絡(luò)、SDS 存儲、軟件定義計算的安全云環(huán)境,在云之上提供給租戶自助的安全服務(wù),如主機(jī)防護(hù)、運(yùn)維堡壘機(jī)、審計、WAF、安全態(tài)勢等。這些安全服務(wù),可以滿足租戶對安全多樣性的需求,安全組件以租戶為單位進(jìn)行資源和安全隔離,這是安全池的基本功能。
除了安全資源池的整體性,云平臺又給安全組件賦予了一些新的特性:
自助特性:租戶可以自助進(jìn)行安全組件規(guī)格、數(shù)量 、處理性能的定制化,可以自由選擇青云當(dāng)前最新的云主機(jī)類型,從而發(fā)揮出安全組件的最佳性能。
性能保證:云中安全組件的性能,往往是用戶在選擇此方案時的考慮之一。青云如何來保證云中安全組件的性能呢?云中安全組件可以借助云平臺的資源彈性擴(kuò)展功能,來提升安全組件的流量處理能力,如很多安全產(chǎn)品中的流量深度過濾功能,就可以結(jié)合云平臺的 LB 負(fù)載均衡,來提供多實例的抗衡大流量的網(wǎng)絡(luò)攻擊行為。并且可以借助 EIP 功能,對外體現(xiàn)為一個安全集群來應(yīng)對大流量攻擊事件。
開放特性:用戶在選擇安全產(chǎn)品時,除了考慮性能因素外,另外要考慮的就是安全產(chǎn)品的功能和專業(yè)度,也就是說能否幫業(yè)務(wù)做好安全。舉例說明:用戶擔(dān)心一重防火墻不能阻擋當(dāng)下新型的網(wǎng)絡(luò)攻擊(如 APT 或零日攻擊事件),專業(yè)的安全用戶就希望有多款不同技術(shù)見長的安全產(chǎn)品組合起來實現(xiàn)防護(hù)攻擊,實現(xiàn)安全交叉互補(bǔ)的防護(hù)效果。客戶有需求,我們就要有實現(xiàn)的能力,對云平臺來說也是一個技術(shù)挑戰(zhàn),SDN 編排必須要是開放性的架構(gòu)設(shè)計,可以根據(jù)用戶的需求,編排對接各種形態(tài)和第三方的安全資源池和專業(yè)安全設(shè)備。青云在規(guī)劃安全資源池時,就考慮到了用戶這種專業(yè)的安全需求,并且投入大量的研發(fā),實現(xiàn)了 SDN 編排的開放特性,通過 SDN 編排可以兼容第三方的安全資源池,甚至安全設(shè)備。
安全資源池服務(wù)實現(xiàn)路徑及難點(diǎn)
在了解具體的技術(shù)實現(xiàn)情況前,先要看一下實現(xiàn)這樣的安全資源池的難點(diǎn)在哪里?要實現(xiàn)剛才提到的安全資源池,云平臺要解決兩個層面的工作。
控制管理平面:租戶需要在自己的管理頁面上可以自由選擇,甚至是自由組合使用對應(yīng)的安全組件產(chǎn)品,包括下發(fā)安全配置策略、查看各種安全事件和日志,這就需要云平臺來對接海量的安全產(chǎn)品管理接口以及對接各種安全產(chǎn)品的控制臺,由于接口技術(shù)不統(tǒng)一,工作比較復(fù)雜且工作量很大。
數(shù)據(jù)流量平面:如何實現(xiàn)云實例的正常流量,根據(jù)安全管理的需求,分別經(jīng)過各種安全產(chǎn)品或組件,也就是俗稱的東西向流量和南北向流量編排。如何實現(xiàn)東西向流量和南北向流量編排,本身就是一個難點(diǎn),用戶多、云業(yè)務(wù)復(fù)雜、流量大,還要保證較低的網(wǎng)絡(luò)延時以及無單點(diǎn)故障,加上考慮開發(fā)特性、對接各種第三方資源池和安全設(shè)備,方案極其復(fù)雜。
青云安全資源池架構(gòu)實現(xiàn)
上圖為青云實現(xiàn)統(tǒng)一安全資源池的 SDN 編排方案邏輯圖。由 3 個核心部分構(gòu)成:SDN 統(tǒng)一管控平臺組件、MCN(多云網(wǎng)絡(luò)管理組件)、各種形態(tài)的安全資源池。
安全統(tǒng)一管控平臺:青云自研的統(tǒng)一注冊管理安全產(chǎn)品控制臺的組件平臺,這個組件平臺一邊對接各安全產(chǎn)品控制臺和 API,另一邊提供豐富的 API 接口,給云租戶 console 來調(diào)用,從而對接盡可能多的安全產(chǎn)品和組件,并且解耦安全組件的控制管理,給云平臺租戶提供可以自由選擇使用對接注冊到平臺上的各種安全組件,并且要實現(xiàn)各種策略的下發(fā)、事件的告警和日志的集中收集等。
MCN 多云網(wǎng)絡(luò)管理組件:青云自研的一款軟件定義網(wǎng)絡(luò)產(chǎn)品,在整個方案中 MCN 起到高性能網(wǎng)絡(luò)互聯(lián)互樞紐的作用,可以對接各種網(wǎng)絡(luò)和設(shè)備,當(dāng)然也包括各種安全設(shè)備和資源池。以 MCN 為核心,在總的安全 SDN 統(tǒng)一管控平臺定義下,把防護(hù)實例對象的流量進(jìn)行安全流量邏輯編排,依次通過定義的安全設(shè)備,從而進(jìn)行各種安全防護(hù)。
因為有了 SDN 統(tǒng)一管控平臺和 MCN,就可以實現(xiàn)對接青云自研和第三方的安全資源池安全方案。最后一個組件是青云的 VG,是互聯(lián)網(wǎng)的出口設(shè)備組件(軟件),可以對接各種線路、綁定EIP 地址池和公網(wǎng)負(fù)載均衡等實現(xiàn)。
青云 SDN 云安全服務(wù)分別定義了 SDN 統(tǒng)一管控平臺和 MCN+ 各種形態(tài)的安全服務(wù),從而實現(xiàn)了基于 SDN 的安全服務(wù)編排,為云租戶提供靈活又全面的安全防護(hù)方案。
MCN 核心組件,是整個SDN 編排的核心重點(diǎn)。有四個核心功能:
服務(wù)調(diào)度:能接受 SDN 統(tǒng)一控制臺的服務(wù)和資源調(diào)度,對接管理層面。
流量編排:形成編排邏輯和流量鏈條計劃。
高性轉(zhuǎn)發(fā)平面:東西向和南北向流向轉(zhuǎn)發(fā)和網(wǎng)絡(luò)設(shè)備對接,如 Vxlan 數(shù)據(jù)解封裝。
多種形態(tài):軟件定義的多種形態(tài),滿足各種場景的需求,成本和高性能是考慮的重點(diǎn)。
青云對 MCN 使用場景的定義:
不同網(wǎng)絡(luò)的互聯(lián),甚至在混合云、私有云場景下的多網(wǎng)絡(luò)互連。
云在 Region 下多 AZ 區(qū)域的網(wǎng)絡(luò)互通,可以感知和實現(xiàn)對云環(huán)境多大的環(huán)境變化,這點(diǎn)是傳統(tǒng)交換機(jī)無法實現(xiàn)的。
數(shù)據(jù)平臺,具有各種網(wǎng)絡(luò)隧道能力,數(shù)據(jù)包解封的能力,如 vxlan 的流量編排等。
SDN 安全服務(wù)編排價值
經(jīng)過 SDN 的編排,有哪些價值?
運(yùn)維場景:要對云中數(shù)據(jù)做運(yùn)維,可以通過 NFW 訪問堡壘機(jī),再訪問數(shù)據(jù)庫。
交付業(yè)務(wù)防護(hù)場景:通過入侵防御、數(shù)據(jù)庫組的防護(hù)組件,再訪問數(shù)據(jù)庫。用戶一鍵快速在云中實現(xiàn)安全服務(wù)的編排部署,如在真實的數(shù)據(jù)中心,獲取到豐富的安全功能,方案靈活,并且能保證安全產(chǎn)品的性能和安全功能交叉保護(hù),從而實現(xiàn)對云中實例的安全做到自主可控。
安全產(chǎn)品在真實的實踐中,為了達(dá)到較好的防護(hù)效果,往往要使用不同技術(shù)架構(gòu),不同實現(xiàn)的安全產(chǎn)品,通過組合使用,來提升防護(hù)率,如戰(zhàn)爭中,我們會發(fā)現(xiàn)有各種的防御措施,第一道防御、第二道防御,也會使得不同特點(diǎn)的火力武器進(jìn)行配合使用。
SDN 編排場景:異構(gòu)、混合安全防護(hù)編排
南北向編排:如云主機(jī) 1 需要訪問互聯(lián)網(wǎng),可以通過 SDN 編排,數(shù)據(jù)流量先經(jīng)過安全資源池中的“虛擬下一代防火墻”做訪問規(guī)則的過濾后,再跳轉(zhuǎn)到傳統(tǒng)硬件 IPS 進(jìn)行應(yīng)用特征庫過濾,最終訪問到互聯(lián)網(wǎng)。
東西向編排:如 VPC 1 中云主機(jī) 1 和 VPC 2 中的云主機(jī) 4 互通,這屬于典型的跨 VPC 東西向流量,這個場景假設(shè) VPC 1 中為運(yùn)維終端,要訪問 VPC 2 中的云主機(jī) 4 服務(wù)。我們可以通過 SDN 編排,將流量強(qiáng)制經(jīng)過物理安全設(shè)備“堡壘機(jī)”的身份認(rèn)證和授權(quán)后,才能訪問云主機(jī) 4,從而實現(xiàn)運(yùn)維操作的記錄和審計。此業(yè)務(wù)場景,通過 SDN 編排后充分利用了“具有性能優(yōu)勢的物理安全設(shè)備”。
南北向編排:此場景為從互聯(lián)網(wǎng)主動訪問云中的主機(jī)實例 6 的業(yè)務(wù)場景,為常見的業(yè)務(wù)訪問場景。我們通過 SDN 編排 EIP 的能力,將訪問流量依次通過“虛機(jī)下一代防火墻”和物理 IPS 混合過濾,經(jīng)過濾后的流量最終到達(dá)實例 6。不僅實現(xiàn)混合增強(qiáng)防護(hù)效果,也可以在混合云模式下,兼容各種安全防護(hù)設(shè)備和技術(shù)。
SDN 安全服務(wù)編排優(yōu)勢
開放架構(gòu):開放架構(gòu)可以對接和編排各種第三方安全能力和各種安全資源形態(tài)。
安全資源池:基于青云云平臺,可提供可信環(huán)境、資源彈性、一鍵交付、靈活擴(kuò)容的安全資源池。
安全服務(wù)化:提供青云云資源一致的操作習(xí)慣和使用體驗。
智能編排:解決各種傳統(tǒng)網(wǎng)絡(luò)、安全設(shè)備、異構(gòu)安全資源的網(wǎng)絡(luò)打通和流量編排。
