云時(shí)代的來臨，對(duì)各個(gè)行業(yè)都提出了更高的技術(shù)和管理要求。尤其是隨著云應(yīng)用的不斷普及，信息安全問題越來越成為用戶關(guān)注的重點(diǎn)。云環(huán)境下，對(duì)于各種數(shù)據(jù)的安全防護(hù)需求及方式都與傳統(tǒng)的數(shù)據(jù)中心不同。針對(duì)這種現(xiàn)狀，迪普科技創(chuàng)新性的提出了“云安全、硬實(shí)力”解決方案，全面實(shí)現(xiàn)了云環(huán)境下的安全防護(hù)需求。

云安全的本質(zhì)是什么?

在近十幾年的安全防護(hù)體系中，安全都是以邊界為核心的防護(hù)模型。所謂邊界即是不同信任級(jí)別安全區(qū)域間的分界點(diǎn)，通常會(huì)在邊界部署防火墻、UTM、入侵防御、上網(wǎng)行為管理等一系列安全產(chǎn)品。在這種場景下，防護(hù)的對(duì)象十分清楚，都是獨(dú)立的物理服務(wù)器。

而相比傳統(tǒng)安全，云環(huán)境下的應(yīng)用場景發(fā)生了很大的變化。在云計(jì)算中，最關(guān)鍵的技術(shù)就是虛擬化，當(dāng)虛擬機(jī)替代了以往的物理服務(wù)器，會(huì)發(fā)現(xiàn)以往清晰的邊界變得模糊了。因?yàn)榭赡茉谝粋€(gè)物理服務(wù)器中有幾個(gè)不同租戶的虛擬機(jī)，而同一租戶的虛擬機(jī)又有可能分布在不同的物理服務(wù)器中。這就造成了無法用傳統(tǒng)的安全區(qū)域劃分方法來定義邊界，這個(gè)時(shí)候安全應(yīng)該如何部署?

現(xiàn)有的云安全解決方案是什么?

在當(dāng)前的云架構(gòu)中，可以清楚的看到，針對(duì)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)領(lǐng)域都有著較多的技術(shù)標(biāo)準(zhǔn)，如計(jì)算虛擬化中的VMware、KVM、XEN、Docker，網(wǎng)絡(luò)虛擬化中的VEPA、VN-TAG、OpenFlow、VXLAN，存儲(chǔ)虛擬化中的HDFS、Hbase等技術(shù)標(biāo)準(zhǔn)。但安全卻一直未有比較明確的相關(guān)標(biāo)準(zhǔn)，這也造成在部署云安全時(shí)會(huì)有各種五花八門的解決方案。

目前在公有云環(huán)境下比較主流的一種云安全解決方案是NFV(Network Function Virtualization)技術(shù)，NFV采用了服務(wù)器以軟件方式處理傳統(tǒng)獨(dú)立的網(wǎng)絡(luò)服務(wù)，如虛擬路由器、虛擬防火墻、虛擬負(fù)載均衡等，可以比較靈活快速的進(jìn)行安全虛擬化和業(yè)務(wù)自定義，得到了各大公有云服務(wù)提供商的支持。

但是，NFV存在應(yīng)用場景的適應(yīng)性問題，并不是所有的場景都適合部署NFV。由于NFV占用了服務(wù)器CPU資源來處理安全業(yè)務(wù)，尤其在NFV處理內(nèi)容層安全業(yè)務(wù)時(shí)會(huì)導(dǎo)致服務(wù)器計(jì)算性能大幅下降。此外，NFV的實(shí)現(xiàn)方式也會(huì)造成計(jì)算與安全的管理界面不清晰問題。因此NFV對(duì)于在研發(fā)或者運(yùn)維能力都無法與實(shí)力雄厚的互聯(lián)網(wǎng)企業(yè)相比的私有云用戶而言并不是最好的解決方案。私有云用戶對(duì)于云安全產(chǎn)品的獨(dú)立性、功能、管理有著更個(gè)性化的要求。

迪普科技云安全解決方案

針對(duì)上述現(xiàn)狀，迪普科技創(chuàng)新的提出了以“云安全、硬實(shí)力”解決方案，其中主要理念是通過獨(dú)立的硬件安全設(shè)備來解決云安全問題。“云安全、硬實(shí)力”解決方案主要包含云安全、安全云、云管理三個(gè)部分。

云安全

在這里提到的云安全是相對(duì)窄義的概念，主要是為了解決多租戶的安全防護(hù)問題。由于在云環(huán)境下，同一物理服務(wù)器下的多租戶互訪默認(rèn)通過虛擬交換機(jī)就能轉(zhuǎn)發(fā)，并不通過物理網(wǎng)絡(luò)設(shè)備和安全設(shè)備。因此在云計(jì)算中租戶之間的安全隔離，也就是常說的東西向安全是一個(gè)比較大的難題。業(yè)界以往有一些技術(shù)如VEPA、VN-TAG可以實(shí)現(xiàn)虛擬感知功能，但是或多或少都受到各種約束，實(shí)際效果并不理想。

迪普科技的解決方案通過將安全網(wǎng)關(guān)與VXLAN技術(shù)的結(jié)合實(shí)現(xiàn)了虛機(jī)感知和安全隔離的目標(biāo)。VXLAN(Virtual eXtensible Local Area Network)是一種Overlay技術(shù)，對(duì)二層報(bào)文使用MAC in UDP的方法進(jìn)行封裝，從而實(shí)現(xiàn)二層報(bào)文在三層網(wǎng)絡(luò)中轉(zhuǎn)發(fā)。VXLAN采用24bit的網(wǎng)絡(luò)標(biāo)識(shí)，因此最多可以使用1600萬個(gè)隔離的VXLAN，遠(yuǎn)遠(yuǎn)超過了VLAN所能支持的4K，因此VXLAN也滿足了在大規(guī)模云計(jì)算環(huán)境中使用的要求。

VXLAN報(bào)文結(jié)構(gòu)示意圖

VXLAN技術(shù)中有兩種網(wǎng)關(guān)類型，分別是二層網(wǎng)關(guān)(L2 GW)和三層網(wǎng)關(guān)(L3 GW)。其中二層網(wǎng)關(guān)主要實(shí)現(xiàn)VXLAN與標(biāo)準(zhǔn)以太網(wǎng)的互通，可支持VXLAN與VLAN的一對(duì)一轉(zhuǎn)換，適合應(yīng)用在標(biāo)準(zhǔn)以太網(wǎng)與VXLAN混合的網(wǎng)絡(luò)中。而在迪普科技云安全方案中，更主要的是提供三層網(wǎng)關(guān)功能。三層網(wǎng)關(guān)實(shí)現(xiàn)了VXLAN之間的互通，當(dāng)報(bào)文需要跨VXLAN訪問時(shí)，三層網(wǎng)關(guān)將VXLAN報(bào)文頭進(jìn)行重新封裝后進(jìn)行三層轉(zhuǎn)發(fā)。一般VXLAN解決方案在網(wǎng)關(guān)上只處理到了網(wǎng)絡(luò)這一層，支持VXLAN的也是以網(wǎng)絡(luò)設(shè)備為主，而迪普科技則在安全設(shè)備上實(shí)現(xiàn)了對(duì)VXLAN的支持。

三層網(wǎng)關(guān)工作原理圖

VTEP(VXLAN Tunnel End Point)用于對(duì)VXLAN報(bào)文進(jìn)行封裝和解封裝，虛擬交換機(jī)作為VTEP將虛擬機(jī)的二層報(bào)文進(jìn)行封裝后通過隧道向另一端VTEP發(fā)送封裝報(bào)文，另一端VTEP接收到封裝的報(bào)文解封裝后根據(jù)封裝的MAC地址進(jìn)行轉(zhuǎn)發(fā)。迪普科技VXLAN安全網(wǎng)關(guān)可以作為VTEP，進(jìn)行跨VXLAN的三層報(bào)文轉(zhuǎn)發(fā)。在虛擬機(jī)和安全網(wǎng)關(guān)中，形成一個(gè)完整的VXLAN網(wǎng)絡(luò)，處于不同VXLAN的虛擬機(jī)之間互訪必須經(jīng)過迪普科技安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)和控制，從而實(shí)現(xiàn)了對(duì)于多租戶之間的安全隔離。

迪普科技的VXLAN安全網(wǎng)關(guān)為獨(dú)立的安全設(shè)備，安全與計(jì)算完全分離，不會(huì)對(duì)計(jì)算資源造成影響。同時(shí)，獨(dú)立的專業(yè)安全設(shè)備也提供了一體化的集中式管理，用戶只需登錄一個(gè)管理界面即可對(duì)云計(jì)算中所有的安全功能進(jìn)行配置，大大簡化了管理難度。

安全云

所謂的安全云，則是針對(duì)云計(jì)算自身的安全需求提出的解決方案。在迪普科技的安全云方案中，通過多虛一和一虛多技術(shù)，可以實(shí)現(xiàn)安全網(wǎng)關(guān)的快速擴(kuò)展和細(xì)粒度的多租戶安全資源分配能力。

多虛一指的是將多個(gè)物理安全網(wǎng)關(guān)或業(yè)務(wù)板卡虛擬成為一個(gè)邏輯上的虛擬設(shè)備，形成一個(gè)大的安全資源池。在這個(gè)安全資源池中，安全的性能和功能都可以按需擴(kuò)展，性能不夠可以增加一塊同類型板卡，功能不夠可以增加一塊其他業(yè)務(wù)板卡，甚至可以整臺(tái)設(shè)備進(jìn)行擴(kuò)展。針對(duì)此安全資源池，還可繼續(xù)進(jìn)行一虛多虛擬化。一虛多虛擬化可以針對(duì)不同的租戶劃分出不同的VSA(虛擬安全設(shè)備)，可以從VNID、CPU、內(nèi)存、吞吐量、并發(fā)連接數(shù)、新建連接數(shù)、路由協(xié)議等維度進(jìn)行劃分，從而實(shí)現(xiàn)1個(gè)租戶、1個(gè)VSA、1個(gè)配置界面、N個(gè)VNID的目標(biāo)。

由于大量租戶之間的互訪都通過了安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)和控制，因此對(duì)于安全網(wǎng)關(guān)的性能要求會(huì)非常高，用戶也非常關(guān)心性能問題。迪普科技采用了分布式架構(gòu)的DPX19000、DPX8000系列產(chǎn)品來做安全網(wǎng)關(guān)， 是目前業(yè)界性能最高的云安全平臺(tái)，單臺(tái)設(shè)備最大安全性能可達(dá)3.2Tbps，并且通過多虛一技術(shù)還可以再次擴(kuò)展，安全產(chǎn)品不會(huì)成為云計(jì)算中的性能瓶頸。

云管理

迪普科技云安全網(wǎng)關(guān)自身即已提供了非常方便的管理方式：用戶只需登錄一個(gè)管理界面即可對(duì)所有安全功能模塊進(jìn)行管理，而無需像以往一樣登錄到各個(gè)安全產(chǎn)品中進(jìn)行配置和管理。在云計(jì)算中，越來越多的用戶采用了專門的云管理平臺(tái)來對(duì)云計(jì)算中的網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算資源進(jìn)行管理。OpenStack是目前最主流的云管理標(biāo)準(zhǔn)技術(shù)，迪普科技的云安全網(wǎng)關(guān)全面支持基于OpenStack的云管理，用戶可以像管理計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源一樣管理迪普的安全設(shè)備，實(shí)現(xiàn)真正意義上的資源自動(dòng)配置管理。

綜上所述，迪普科技“云安全、硬實(shí)力”解決方案與軟件實(shí)現(xiàn)安全的方式不同，采用了專業(yè)的高性能硬件設(shè)備解決了云環(huán)境下的安全問題，將云計(jì)算與安全資源無縫融合，是一種令人耳目一新同時(shí)又拍案叫絕的全新理念，將會(huì)給云計(jì)算安全的發(fā)展帶來深遠(yuǎn)的影響。