迪普科技推出云安全解決方案

迪普科技推出云安全解決方案

云時代的來臨，對各個行業(yè)都提出了更高的技術和管理要求，尤其是隨著云應用的不斷普及，信息安全問題越來越成為用戶關注的重點，云環(huán)境下，對于各種數(shù)據(jù)的安全防護需求及方式都與傳統(tǒng)的數(shù)據(jù)中心不同。針對這種現(xiàn)狀，迪普科技日前創(chuàng)新性提出了“云安全、硬實力”解決方案，全面實現(xiàn)了云環(huán)境下的安全防護需求。

透視云安全的本質

在近十幾年的安全防護體系中，安全都是以邊界為核心的防護模型。迪普科技安全產品部技術總監(jiān)朱曉康說，所謂邊界即是不同信任級別安全區(qū)域間的分界點，通常會在邊界部署防火墻、UTM、入侵防御、上網行為管理等一系列安全產品。在這種場景下，防護的對象十分清楚，都是獨立的物理服務器。

而相比傳統(tǒng)安全，云環(huán)境下的應用場景發(fā)生了很大的變化。朱曉康說，在云計算中，最關鍵的技術就是虛擬化，當虛擬機替代了以往的物理服務器，會發(fā)現(xiàn)以往清晰的邊界變得模糊了。因為可能在一個物理服務器中有幾個不同租戶的虛擬機，而同一租戶的虛擬機又有可能分布在不同的物理服務器中。這就造成了無法用傳統(tǒng)的安全區(qū)域劃分方法來定義邊界，這個時候安全應該如何部署？

目前，在公有云環(huán)境下比較主流的一種云安全解決方案是NFV（Network Function Virtualization）技術，NFV采用了服務器以軟件方式處理傳統(tǒng)獨立的網絡服務，如虛擬路由器、虛擬防火墻、虛擬負載均衡等，可以比較靈活快速的進行安全虛擬化和業(yè)務自定義，得到了各大公有云服務提供商的支持。但是，NFV存在應用場景的適應性問題，并不是所有的場景都適合部署NFV。在由于NFV占用了服務器CPU資源來處理安全業(yè)務，尤其在NFV處理內容層安全業(yè)務時會導致服務器計算性能大幅下降。此外，NFV的實現(xiàn)方式也會造成計算與安全的管理界面不清晰問題。因此NFV對于在研發(fā)或者運維能力都無法與實力雄厚的互聯(lián)網企業(yè)相比的私有云用戶而言并不是最好的解決方案。私有云用戶對于云安全產品的獨立性、功能、管理有著更個性化的要求。

通過硬件解決云安全

迪普科技“云安全、硬實力”解決方案的主要理念是通過獨立的硬件安全設備來解決云安全問題。朱曉康告訴記者，“云安全、硬實力”解決方案主要包含云安全、安全云、云管理三個部分。

（1）云安全。迪普科技的解決方案通過將安全網關與VXLAN技術的結合實現(xiàn)了虛機感知和安全隔離的目標。VXLAN是一種Overlay技術，對二層報文使用MAC in UDP的方法進行封裝，從而實現(xiàn)二層報文在三層網絡中轉發(fā)。VXLAN采用24bit的網絡標識，因此最多可以使用1600萬個隔離的VXLAN，遠遠超過了VLAN所能支持的4K，因此VXLAN也滿足了在大規(guī)模云計算環(huán)境中使用的要求。

在迪普科技云安全方案中，更主要的是提供三層網關功能。三層網關實現(xiàn)了VXLAN之間的互通，當報文需要跨VXLAN訪問時，三層網關將VXLAN報文頭進行重新封裝后進行三層轉發(fā)。一般VXLAN解決方案在網關上只處理到了網絡這一層，支持VXLAN的也是以網絡設備為主，而迪普科技則在安全設備上實現(xiàn)了對VXLAN的支持。

迪普科技VXLAN安全網關可以作為VTEP，進行跨VXLAN的三層報文轉發(fā)。在虛擬機和安全網關中，形成一個完整的VXLAN網絡，處于不同VXLAN的虛擬機之間互訪必須經過迪普科技安全網關進行轉發(fā)和控制，從而實現(xiàn)了對于多租戶之間的安全隔離。此外，迪普科技的VXLAN安全網關為獨立的安全設備，安全與計算完全分離，不會對計算資源造成影響。同時，獨立的專業(yè)安全設備也提供了一體化的集中式管理，用戶只需登錄一個管理界面即可對云計算中所有的安全功能進行配置，大大簡化了管理難度。

（2）安全云。在迪普科技的安全云方案中，通過多虛一和一虛多技術，可以實現(xiàn)安全網關的快速擴展和細粒度的多租戶安全資源分配能力。多虛一指的是將多個物理安全網關或業(yè)務板卡虛擬成為一個邏輯上的虛擬設備，形成一個大的安全資源池。在這個安全資源池中，安全的性能和功能都可以按需擴展，性能不夠可以增加一塊同類型板卡，功能不夠可以增加一塊其他業(yè)務板卡，甚至可以整臺設備進行擴展。針對此安全資源池，還可繼續(xù)進行一虛多虛擬化。一虛多虛擬化可以針對不同的租戶劃分出不同的VSA（虛擬安全設備），可以從VNID、內存、CPU、吞吐量、并發(fā)連接數(shù)、新建連接數(shù)、路由協(xié)議等維度進行劃分，從而實現(xiàn)1個租戶、1個VSA、1個配置界面、N個VNID的目標。

由于大量租戶之間的互訪都通過了安全網關進行轉發(fā)和控制，因此對于安全網關的性能要求會非常高，用戶也非常關心性能問題。迪普科技采用了分布式架構的DPX19000，DPX8000系列產品來做安全網關，單臺設備最大安全性能可達3.2Tb/s，并且通過多虛一技術還可以再次擴展，安全產品不會成為云計算中的性能瓶頸。

（3）云管理。迪普科技云安全網關自身即已提供了非常方便的管理方式：用戶只需登錄一個管理界面即可對所有安全功能模塊進行管理，而無需像以往一樣登錄到各個安全產品中進行配置和管理。在云計算中，越來越多的用戶采用了專門的云管理平臺來對云計算中的網絡、存儲、計算資源進行管理。OpenStack是目前最主流的云管理標準技術，迪普科技的云安全網關全面支持基于OpenStack的云管理，用戶可以像管理計算、存儲、網絡資源一樣管理迪普的安全設備，實現(xiàn)真正意義上的資源自動配置管理。

朱曉康總結說，迪普科技“云安全、硬實力”解決方案與軟件實現(xiàn)安全的方式不同，采用了專業(yè)的高性能硬件設備解決了云環(huán)境下的安全問題，將云計算與安全資源無縫融合，是一種令人耳目一新同時又拍案叫絕的全新理念，將會給云計算安全的發(fā)展帶來深遠的影響。■

（本刊記者/文竹）