云時(shí)代的來(lái)臨，對(duì)各個(gè)行業(yè)都提出了更高的技術(shù)和管理要求。尤其是隨著云應(yīng)用的不斷普及，信息安全問(wèn)題越來(lái)越成為用戶(hù)關(guān)注的重點(diǎn)。云環(huán)境下，對(duì)于各種數(shù)據(jù)的安全防護(hù)需求及方式都與傳統(tǒng)的數(shù)據(jù)中心不同。針對(duì)這種現(xiàn)狀，迪普科技創(chuàng)新性的提出了“云安全、硬實(shí)力”解決方案，全面實(shí)現(xiàn)了云環(huán)境下的安全防護(hù)需求。

云安全的本質(zhì)是什么?

在近十幾年的安全防護(hù)體系中，安全都是以邊界為核心的防護(hù)模型。所謂邊界即是不同信任級(jí)別安全區(qū)域間的分界點(diǎn)，通常會(huì)在邊界部署防火墻、UTM、入侵防御、上網(wǎng)行為管理等一系列安全產(chǎn)品。在這種場(chǎng)景下，防護(hù)的對(duì)象十分清楚，都是獨(dú)立的物理服務(wù)器。

而相比傳統(tǒng)安全，云環(huán)境下的應(yīng)用場(chǎng)景發(fā)生了很大的變化。在云計(jì)算中，最關(guān)鍵的技術(shù)就是虛擬化，當(dāng)虛擬機(jī)替代了以往的物理服務(wù)器，會(huì)發(fā)現(xiàn)以往清晰的邊界變得模糊了。因?yàn)榭赡茉谝粋€(gè)物理服務(wù)器中有幾個(gè)不同租戶(hù)的虛擬機(jī)，而同一租戶(hù)的虛擬機(jī)又有可能分布在不同的物理服務(wù)器中。這就造成了無(wú)法用傳統(tǒng)的安全區(qū)域劃分方法來(lái)定義邊界，這個(gè)時(shí)候安全應(yīng)該如何部署?

現(xiàn)有的云安全解決方案是什么?

在當(dāng)前的云架構(gòu)中，可以清楚的看到，針對(duì)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)領(lǐng)域都有著較多的技術(shù)標(biāo)準(zhǔn)，如計(jì)算虛擬化中的VMware、KVM、XEN、Docker，網(wǎng)絡(luò)虛擬化中的VEPA、VN-TAG、OpenFlow、VXLAN，存儲(chǔ)虛擬化中的HDFS、Hbase等技術(shù)標(biāo)準(zhǔn)。但安全卻一直未有比較明確的相關(guān)標(biāo)準(zhǔn)，這也造成在部署云安全時(shí)會(huì)有各種五花八門(mén)的解決方案。

目前在公有云環(huán)境下比較主流的一種云安全解決方案是NFV(Network Function Virtualization)技術(shù)，NFV采用了服務(wù)器以軟件方式處理傳統(tǒng)獨(dú)立的網(wǎng)絡(luò)服務(wù)，如虛擬路由器、虛擬防火墻、虛擬負(fù)載均衡等，可以比較靈活快速的進(jìn)行安全虛擬化和業(yè)務(wù)自定義，得到了各大公有云服務(wù)提供商的支持。

但是，NFV存在應(yīng)用場(chǎng)景的適應(yīng)性問(wèn)題，并不是所有的場(chǎng)景都適合部署NFV。由于NFV占用了服務(wù)器CPU資源來(lái)處理安全業(yè)務(wù)，尤其在NFV處理內(nèi)容層安全業(yè)務(wù)時(shí)會(huì)導(dǎo)致服務(wù)器計(jì)算性能大幅下降。此外，NFV的實(shí)現(xiàn)方式也會(huì)造成計(jì)算與安全的管理界面不清晰問(wèn)題。因此NFV對(duì)于在研發(fā)或者運(yùn)維能力都無(wú)法與實(shí)力雄厚的互聯(lián)網(wǎng)企業(yè)相比的私有云用戶(hù)而言并不是最好的解決方案。私有云用戶(hù)對(duì)于云安全產(chǎn)品的獨(dú)立性、功能、管理有著更個(gè)性化的要求。

迪普科技云安全解決方案

針對(duì)上述現(xiàn)狀，迪普科技創(chuàng)新的提出了以“云安全、硬實(shí)力”解決方案，其中主要理念是通過(guò)獨(dú)立的硬件安全設(shè)備來(lái)解決云安全問(wèn)題。“云安全、硬實(shí)力”解決方案主要包含云安全、安全云、云管理三個(gè)部分。

——云安全

在這里提到的云安全是相對(duì)窄義的概念，主要是為了解決多租戶(hù)的安全防護(hù)問(wèn)題。由于在云環(huán)境下，同一物理服務(wù)器下的多租戶(hù)互訪(fǎng)默認(rèn)通過(guò)虛擬交換機(jī)就能轉(zhuǎn)發(fā)，并不通過(guò)物理網(wǎng)絡(luò)設(shè)備和安全設(shè)備。因此在云計(jì)算中租戶(hù)之間的安全隔離，也就是常說(shuō)的東西向安全是一個(gè)比較大的難題。業(yè)界以往有一些技術(shù)如VEPA、VN-TAG可以實(shí)現(xiàn)虛擬感知功能，但是或多或少都受到各種約束，實(shí)際效果并不理想。

迪普科技的解決方案通過(guò)將安全網(wǎng)關(guān)與VXLAN技術(shù)的結(jié)合實(shí)現(xiàn)了虛機(jī)感知和安全隔離的目標(biāo)。VXLAN(Virtual eXtensible Local Area Network)是一種Overlay技術(shù)，對(duì)二層報(bào)文使用MAC in UDP的方法進(jìn)行封裝，從而實(shí)現(xiàn)二層報(bào)文在三層網(wǎng)絡(luò)中轉(zhuǎn)發(fā)。VXLAN采用24bit的網(wǎng)絡(luò)標(biāo)識(shí)，因此最多可以使用1600萬(wàn)個(gè)隔離的VXLAN，遠(yuǎn)遠(yuǎn)超過(guò)了VLAN所能支持的4K，因此VXLAN也滿(mǎn)足了在大規(guī)模云計(jì)算環(huán)境中使用的要求。

VXLAN報(bào)文結(jié)構(gòu)示意圖

VXLAN技術(shù)中有兩種網(wǎng)關(guān)類(lèi)型，分別是二層網(wǎng)關(guān)(L2 GW)和三層網(wǎng)關(guān)(L3 GW)。其中二層網(wǎng)關(guān)主要實(shí)現(xiàn)VXLAN與標(biāo)準(zhǔn)以太網(wǎng)的互通，可支持VXLAN與VLAN的一對(duì)一轉(zhuǎn)換，適合應(yīng)用在標(biāo)準(zhǔn)以太網(wǎng)與VXLAN混合的網(wǎng)絡(luò)中。而在迪普科技云安全方案中，更主要的是提供三層網(wǎng)關(guān)功能。三層網(wǎng)關(guān)實(shí)現(xiàn)了VXLAN之間的互通，當(dāng)報(bào)文需要跨VXLAN訪(fǎng)問(wèn)時(shí)，三層網(wǎng)關(guān)將VXLAN報(bào)文頭進(jìn)行重新封裝后進(jìn)行三層轉(zhuǎn)發(fā)。一般VXLAN解決方案在網(wǎng)關(guān)上只處理到了網(wǎng)絡(luò)這一層，支持VXLAN的也是以網(wǎng)絡(luò)設(shè)備為主，而迪普科技則在安全設(shè)備上實(shí)現(xiàn)了對(duì)VXLAN的支持。

三層網(wǎng)關(guān)工作原理圖

VTEP(VXLAN Tunnel End Point)用于對(duì)VXLAN報(bào)文進(jìn)行封裝和解封裝，虛擬交換機(jī)作為VTEP將虛擬機(jī)的二層報(bào)文進(jìn)行封裝后通過(guò)隧道向另一端VTEP發(fā)送封裝報(bào)文，另一端VTEP接收到封裝的報(bào)文解封裝后根據(jù)封裝的MAC地址進(jìn)行轉(zhuǎn)發(fā)。迪普科技VXLAN安全網(wǎng)關(guān)可以作為VTEP，進(jìn)行跨VXLAN的三層報(bào)文轉(zhuǎn)發(fā)。在虛擬機(jī)和安全網(wǎng)關(guān)中，形成一個(gè)完整的VXLAN網(wǎng)絡(luò)，處于不同VXLAN的虛擬機(jī)之間互訪(fǎng)必須經(jīng)過(guò)迪普科技安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)和控制，從而實(shí)現(xiàn)了對(duì)于多租戶(hù)之間的安全隔離。

迪普科技的VXLAN安全網(wǎng)關(guān)為獨(dú)立的安全設(shè)備，安全與計(jì)算完全分離，不會(huì)對(duì)計(jì)算資源造成影響。同時(shí)，獨(dú)立的專(zhuān)業(yè)安全設(shè)備也提供了一體化的集中式管理，用戶(hù)只需登錄一個(gè)管理界面即可對(duì)云計(jì)算中所有的安全功能進(jìn)行配置，大大簡(jiǎn)化了管理難度。

——安全云

所謂的安全云，則是針對(duì)云計(jì)算自身的安全需求提出的解決方案。在迪普科技的安全云方案中，通過(guò)多虛一和一虛多技術(shù)，可以實(shí)現(xiàn)安全網(wǎng)關(guān)的快速擴(kuò)展和細(xì)粒度的多租戶(hù)安全資源分配能力。

多虛一指的是將多個(gè)物理安全網(wǎng)關(guān)或業(yè)務(wù)板卡虛擬成為一個(gè)邏輯上的虛擬設(shè)備，形成一個(gè)大的安全資源池。在這個(gè)安全資源池中，安全的性能和功能都可以按需擴(kuò)展，性能不夠可以增加一塊同類(lèi)型板卡，功能不夠可以增加一塊其他業(yè)務(wù)板卡，甚至可以整臺(tái)設(shè)備進(jìn)行擴(kuò)展。針對(duì)此安全資源池，還可繼續(xù)進(jìn)行一虛多虛擬化。一虛多虛擬化可以針對(duì)不同的租戶(hù)劃分出不同的VSA(虛擬安全設(shè)備)，可以從VNID、CPU、內(nèi)存、吞吐量、并發(fā)連接數(shù)、新建連接數(shù)、路由協(xié)議等維度進(jìn)行劃分，從而實(shí)現(xiàn)1個(gè)租戶(hù)、1個(gè)VSA、1個(gè)配置界面、N個(gè)VNID的目標(biāo)。

由于大量租戶(hù)之間的互訪(fǎng)都通過(guò)了安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)和控制，因此對(duì)于安全網(wǎng)關(guān)的性能要求會(huì)非常高，用戶(hù)也非常關(guān)心性能問(wèn)題。迪普科技采用了分布式架構(gòu)的DPX19000、DPX8000系列產(chǎn)品來(lái)做安全網(wǎng)關(guān)， 是目前業(yè)界性能最高的云安全平臺(tái)，單臺(tái)設(shè)備最大安全性能可達(dá)3.2Tbps，并且通過(guò)多虛一技術(shù)還可以再次擴(kuò)展，安全產(chǎn)品不會(huì)成為云計(jì)算中的性能瓶頸。

——云管理

迪普科技云安全網(wǎng)關(guān)自身即已提供了非常方便的管理方式：用戶(hù)只需登錄一個(gè)管理界面即可對(duì)所有安全功能模塊進(jìn)行管理，而無(wú)需像以往一樣登錄到各個(gè)安全產(chǎn)品中進(jìn)行配置和管理。在云計(jì)算中，越來(lái)越多的用戶(hù)采用了專(zhuān)門(mén)的云管理平臺(tái)來(lái)對(duì)云計(jì)算中的網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算資源進(jìn)行管理。OpenStack是目前最主流的云管理標(biāo)準(zhǔn)技術(shù)，迪普科技的云安全網(wǎng)關(guān)全面支持基于OpenStack的云管理，用戶(hù)可以像管理計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源一樣管理迪普的安全設(shè)備，實(shí)現(xiàn)真正意義上的資源自動(dòng)配置管理。

綜上所述，迪普科技“云安全、硬實(shí)力”解決方案與軟件實(shí)現(xiàn)安全的方式不同，采用了專(zhuān)業(yè)的高性能硬件設(shè)備解決了云環(huán)境下的安全問(wèn)題，將云計(jì)算與安全資源無(wú)縫融合，是一種令人耳目一新同時(shí)又拍案叫絕的全新理念，將會(huì)給云計(jì)算安全的發(fā)展帶來(lái)深遠(yuǎn)的影響。