云是當(dāng)下最受關(guān)注的話題之一，想要擁有一套完整的云數(shù)據(jù)中心方案，NFV(網(wǎng)絡(luò)功能虛擬化)技術(shù)必不可少。關(guān)注到用戶在新環(huán)境下的需求，2015年，深信服發(fā)布了全套NFV安全、優(yōu)化云組件產(chǎn)品，適用于公有云、私有云、行業(yè)云等云業(yè)務(wù)環(huán)境。

公有云：服務(wù)如水電般，隨取隨用

AWS、阿里云近來熱度漸升，頗有帶國內(nèi)公有云集體走高的趨勢。用戶租用公有云服務(wù)，除更低的投入成本外，也提升了業(yè)務(wù)的敏捷性。

假設(shè)某用戶將OA等業(yè)務(wù)遷移到阿里云平臺上，除了租用一些云服務(wù)器外，他還需解決業(yè)務(wù)上線后，內(nèi)部員工的安全接入和數(shù)據(jù)防泄密問題。而AWS、阿里云平臺上所提供的基礎(chǔ)安全功能，不能百分百滿足用戶的這個(gè)需求，因此AWS、阿里云打造了一個(gè)良性的云生態(tài)系統(tǒng)，邀請各領(lǐng)域最專業(yè)的廠商，在公有云平臺上為租戶提供多元化的服務(wù)。

深信服的vSSL VPN日前就已登錄阿里云市場，vSSL VPN能很好解決該用戶的問題，部署vSSL VPN 除能保障第三方接入的安全和身份驗(yàn)證外，還有一個(gè)好處，就是所有管理端口向互聯(lián)網(wǎng)的映射都可關(guān)閉。用戶必須通過 vSSL 安全接入后才能對內(nèi)容進(jìn)行管理。這樣大大降低了被攻擊的風(fēng)險(xiǎn)，因?yàn)榧幢?vSSL 被攻擊癱瘓了，業(yè)務(wù)服務(wù)器和數(shù)據(jù)也不受影響。

如今，用戶可在阿里云Web界面直接購買vSSL VPN，隨取隨用、操作靈活。整個(gè)采購+配置過程花數(shù)分鐘，就可以完成。

(用戶可在阿里云市場直接購買，隨取隨用)

深信服云下一代防火墻vAF也已登錄阿里云，部署vAF即能為云服務(wù)器提供雙向、完整、可視的Web層安全防護(hù)，防止機(jī)密數(shù)據(jù)的泄露和惡意入侵，部署深信服云應(yīng)用交付vAD提升業(yè)務(wù)穩(wěn)定性和資源利用率，部署云廣域網(wǎng)優(yōu)化vWOC實(shí)現(xiàn)混合云加速組網(wǎng)和云業(yè)務(wù)應(yīng)用優(yōu)化加速。

行業(yè)云：劃清責(zé)任“三八線”

為了滿足特定行業(yè)業(yè)務(wù)統(tǒng)一托管、集約化建設(shè)降低信息化成本的需求，行業(yè)云在政府、教育、醫(yī)療等行業(yè)備受關(guān)注，“政務(wù)云”、“醫(yī)療云”都可稱為行業(yè)云的典型應(yīng)用。

無論是行業(yè)云建設(shè)方，還是租戶，對安全的需求是一致的，因?yàn)樾袠I(yè)云采用集中共享硬件資源的方式，IT系統(tǒng)的運(yùn)維需要多方參與，往往在一些情況下難以劃分清楚責(zé)任邊界，導(dǎo)致相互推諉。

另外，對于行業(yè)云平臺建設(shè)方來說，除了要滿足業(yè)務(wù)統(tǒng)一托管的需求外，還要滿足不同租戶的個(gè)性化要求，比如A用戶說我要滿足國密算法標(biāo)準(zhǔn)，B說我要做等級保護(hù)等等。提供個(gè)性化的服務(wù)，或許也是建設(shè)方的一個(gè)困擾。

以某省政務(wù)云為例，C租戶的應(yīng)用系統(tǒng)遷移到該政務(wù)云平臺上時(shí)，C用戶的網(wǎng)絡(luò)架構(gòu)(服務(wù)器負(fù)載+Web服務(wù)器+中間件+數(shù)據(jù)庫)沒有發(fā)生太大的變化，可運(yùn)維工作卻變復(fù)雜了。因?yàn)橥荳eb等業(yè)務(wù)應(yīng)用由C租戶運(yùn)維，服務(wù)器負(fù)載、安全等硬件則由建設(shè)商運(yùn)維。多方聯(lián)動(dòng)，帶來極大不便，且一旦發(fā)生故障，責(zé)任也難以劃分。

例如：C用戶今天要修改Web的內(nèi)容，網(wǎng)頁的代碼發(fā)生了變化，這就可能帶來SQL注入的風(fēng)險(xiǎn)，如果安全還是交給建設(shè)方運(yùn)維，就需要兩方配合調(diào)整防護(hù)策略，否則可能存在被入侵的風(fēng)險(xiǎn)?？上攵?，如果每一個(gè)租戶每天都要找建設(shè)方修改一次策略，將給運(yùn)維帶來多大的不便及風(fēng)險(xiǎn)?

深信服提供了一套對建設(shè)方、租戶皆適用的云組件解決方案，如上圖所示。

對于行業(yè)云平臺建設(shè)方而言：

建設(shè)方只需在云數(shù)據(jù)中心物理網(wǎng)絡(luò)邊界部署深信服安全、優(yōu)化硬件設(shè)備，如下一代防火墻、應(yīng)用交付、流量管理、VPN等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡(luò)出口提供平臺級的整體安全保護(hù)，防止外部網(wǎng)絡(luò)的非授權(quán)接入和惡意入侵，防止針對云平臺資源申請和管理界面的攻擊，并提供鏈路負(fù)載均衡和業(yè)務(wù)流量管理等功能，保證應(yīng)用系統(tǒng)具備更高的持續(xù)性、可用性以及快速性。

對于行業(yè)云租戶而言：

對于租戶而言，深信服提供了更多個(gè)性化的可能。因不同租戶托管的應(yīng)用、業(yè)務(wù)類型不盡相同，個(gè)性化需求也不同，有了深信服云組件以后，租戶在出現(xiàn)安全等需求時(shí)，只需要讓建設(shè)方開通授權(quán)，就可以實(shí)現(xiàn)完全自主的安全運(yùn)維。如此一來，租戶可以完全自定義行業(yè)云內(nèi)自己的業(yè)務(wù)結(jié)構(gòu)，將業(yè)務(wù)安全、優(yōu)化牢牢握在自己手中。

例如租戶1可部署vSSL VPN加固第三方訪問的傳輸和身份安全性，租戶2除了部署vSSL VPN外，還可部署應(yīng)用交付vAD做服務(wù)器負(fù)載均衡，提升應(yīng)用穩(wěn)定性，租戶3可以vSSL VPN、vAD、vAF一起部署，用vAF來為Web系統(tǒng)提供完整的Web保護(hù)，防止敏感數(shù)據(jù)被竊取。

私有云：不讓虛擬機(jī)安全陷“囧”境

在跟一些私有云用戶溝通后，我們發(fā)現(xiàn)部分用戶并沒有真正的“云化”，大部分用戶只是將業(yè)務(wù)環(huán)境虛擬化了，而比如存儲(chǔ)、網(wǎng)絡(luò)、安全等產(chǎn)品卻還是以硬件的方式部署在物理環(huán)境中，比如硬件防火墻、IPS等安全產(chǎn)品都是部署在物理邊界上，只能管控?cái)?shù)據(jù)中心南北流量。

如此一來，私有云用戶面臨最大的安全問題，或許是將業(yè)務(wù)環(huán)境全部虛擬化后，安全邊界消失了，虛擬機(jī)之間的東西流量無法得到隔離管控，將來只要任意一臺虛機(jī)被攻破，這臺虛擬機(jī)就會(huì)成為內(nèi)部入侵的跳板。

深信服云組件對于私有云數(shù)據(jù)中心的方案，主要分為兩個(gè)層次，如上圖所示。

對于物理邊界：

使用硬件下一代防火墻、應(yīng)用交付等產(chǎn)品對整個(gè)數(shù)據(jù)中心進(jìn)行防護(hù)和業(yè)務(wù)優(yōu)化。

對內(nèi)部虛擬化環(huán)境：

在虛擬機(jī)間部署深信服下一代防火墻云組件vAF，可有效實(shí)現(xiàn)東西流量隔離。同時(shí)，深信服vAF云組件，能夠?yàn)閃eb系統(tǒng)提供完整的Web保護(hù)、防止敏感數(shù)據(jù)被竊取。vSSL VPN可實(shí)現(xiàn)安全加固及接入安全，云應(yīng)用交付vAD能夠提供常見的鏈路、服務(wù)器等負(fù)載功能和多種應(yīng)用優(yōu)化功能。

至今，深信服云組件方案已經(jīng)應(yīng)用于政府、企業(yè)、運(yùn)營商等行業(yè)，如杭州微貸、福建政務(wù)云平臺等。

云組件全家福：

深信服云組件能以軟件鏡像等方式部署到VMware、KVM、XEN等虛擬化環(huán)境，上線快速簡單，即使是一個(gè)毫無云部署經(jīng)驗(yàn)的工程師也只需要數(shù)小時(shí)，就可以完成產(chǎn)品配置和業(yè)務(wù)上線，極大降低了運(yùn)維難度。

最后，深信服云組件全家福呈上：