云安全認證傳輸網關的行業應用

云計算將成為了IT基礎架構，它通過為客戶提供諸如IaaS、PaaS、SaaS等云服務，使得任何規模的企業都可以以負擔得起的費用，享受到企業級的應用、計算和儲存服務。隨著數據大集中趨勢越來越普遍，在某個管理權限相對獨立的行業，為了滿足相互之間多個基本獨立運行的關鍵業務需求，構建一個基于云計算的數據中心就顯得順理成章。

云數據中心為每個關鍵業務構建一個虛擬化的數據中心，每個虛擬化的數據中心具備所有物理意義上數據中心的所有虛擬化了的設備和性能特征，如虛擬化主機、虛擬化儲存空間、虛擬化應用以及虛擬化數據庫等，為相關關鍵業務提供服務。

圖1 云安全認證傳輸網關典型應用場景

傳統意義上的安全傳輸網關為企業員工遠程訪問企業內部網絡資源建立了一個安全的傳輸通道，從應用層面解決了用戶身份認證、遠程訪問控制以及數據加密傳輸問題。在云計算環境下，由于用戶隨機移動概率的增多，訪問接入網絡和終端設備的多樣化，傳統硬件搭建的虛擬專網所固有的冗余缺陷導致其在云環境下缺乏足夠可擴展性和靈活性，因此亟需分布式的、可以應需擴展的符合云特征的安全網關保障云計算環境下各數據中心之間、應用之間、訪問者和應用之間，進行安全認證、訪問控制和數據的安全傳輸。

云安全認證傳輸網關通過采用軟硬件資源池化、服務質量可量化和彈性化、資源隨需調用和接入網絡多樣化等技術，實現了面向業務的虛擬化、分布式，滿足了云計算環境下低成本、規模可擴展以及彈性計算能力等信息安全服務功能要求，為云計算環境下關鍵業務運行提供了應用層面的用戶身份認證、遠程訪問控制以及數據加密傳輸等功能，實現了真正意義上的安全即服務（Security as a Service）。

云安全認證傳輸網關典型應用場景

如圖1給出了云安全認證傳輸網關在云數據中心環境中的典型應用場景。

云安全認證傳輸網關功能描述

云安全認證傳輸網關是一款適用于云計算環境的面向應用層的信息安全設備。云安全認證傳輸網關在能為云服務提供商向其各類客戶提供差異化的云服務同時，也能滿足客戶差異化信息安全服務需求。

圖1中，整個行業的數據中心由一個主數據中心和分布在全國的若干個分數據中心組成，各分數據中心和主數據中心之間能實現災備。

行業數據中心采用云計算架構構建。云數據中心采用虛擬化技術為每個行業關鍵業務，如網上辦公、物資、服裝、車輛管控、以及資金撥付和結算等，提供一個在邏輯上完全獨立的虛擬化數據中心。

該虛擬化的數據中心對用戶完全透明，同時為每個行業關鍵業務提供與傳統意義上物理上獨立的數據中心完全相同的服務，如在為每個關鍵業務提供運行多種類操作系統服務器、運行多種數據庫的數據庫服務器、以及各類WWW服務等的同時，也為各類關鍵業務提供具有彈性特征的儲存容量，以滿足某個業務的個性化需求。

圖2 云安全認證傳輸網關應用示例

云安全認證傳輸網關采用云計算技術，為云數據中心提供應用層面的信息安全保障。通過采用池化技術，可以將云安全認證傳輸網關的諸如CPU、內存、硬盤、通信接口等物理資源進行池化，實現物理資源的虛擬化。通過這類虛擬化技術，實現了在云的硬件平臺上，運行多個虛擬化了的云安全認證傳輸網關，使得云安全認證傳輸網關在現有的網絡基礎架構上，即對交換機、路由器、防火墻、光纖/電纜等而言也是透明的，為每個關鍵業務構建一個在邏輯層面完全獨立的虛擬專用網（VPN），以便為每個關鍵業務提供用戶身份認證、遠程訪問控制、以及數據加密傳輸等功能。

采用軟件調度與負載均衡技術，可以讓多個云安全認證傳輸網關分布式協作運行，也可以將部署在異地的多個云安全認證傳輸網關通過中心統一調度、統一管理和統一審計，使之為每個關鍵業務構建的虛擬專用網具有非常靈活的面向業務的服務能力、很強地性能擴展能力和彈性部署能力。

云安全認證傳輸網關應用示例

對照圖2所示的應用場景，下面就從流程角度，對云安全認證傳輸網關應用做一個示范性描述。

1.局域網環境下用戶訪問流程

對局域網而言，關鍵業務1的用戶A要訪問云數據中心提供的關鍵業務1，則其訪問流程如下：

用戶A將其持有的具有內置了數字證書的UKey插入到網絡終端的USB口。

在關鍵業務1用戶群進/出口處的B型云安全認證傳輸網關，對用戶A的數字證書合法性進行驗證，一旦驗證用戶A為合法用戶，則該網關為用戶A設置相應的資源訪問許可和權限。

在示例中，通過配置，可以在B型云安全認證傳輸網關和總部級云數據中心進/出口處的A型云安全認證傳輸網關之間建立站點到站點（site to site）模式的虛擬連接，并可依據關鍵業務1的特性，來定義該虛擬連接所許可傳輸的網絡協議、數據加解密類型等面向特點業務的連接屬性。

一旦建立了虛擬連接，則用戶A即可獲得云數據中心提供的授權許可的服務，并全程實現了數據傳輸的加解密、數據訪問的控制等功能。

如果在關鍵業務1中有多個用戶要同時訪問云數據中心提供的云服務，只要通過了其進/出口處B型云安全認證傳輸網關的身份認證，則均能獲得與用戶A相同的云服務。

由于在B型云安全認證傳輸網關和A型云安全認證傳輸網關之間建立的是站點到站點模式的虛擬連接，因此在這類虛連接上可以運行多種網絡協議和具有不同協議端口號的多種應用。

2.廣域網環境下用戶訪問流程

對廣域網用戶而言，如上圖左上側的遠程用戶B要訪問云數據中心提供的某個關鍵業務，如車輛管控，則其訪問流程如下。

遠程用戶B將其持有的具有內置了其數字證書的UKey插入到某個允許聯網的網絡終端的USB口。

在遠程用戶群2進/出口處的小型云安全認證傳輸網關，對用戶B的合法性進行數字證書的驗證，一旦驗證用戶B為合法用戶，則該網關為用戶B設置相應的由云安全認證傳輸網關提供的且和車輛管控業務相關的資源訪問許可和權限。

在示例中，通過配置，可以在小型云安全認證傳輸網關和總部級云數據中心進/出口處的A型云安全認證傳輸網關之間建立站點到站點（site to site）模式的虛擬連接，并可依據該連接所承載的關鍵業務特性，如車輛管控業務特性，來定義該虛擬連接所允許承載的網絡協議、數據加解密類型等面向特定業務的連接屬性。

一旦建立了虛擬連接，則用戶B就可以獲得云數據中心提供的與車輛管控業務相關的授權許可服務，并依據實際需求，可全程實現數據傳輸的加解密、數據訪問的控制認證等功能。

如果在遠程用戶群2中有多個用戶要同時訪問云數據中心提供的與不同關鍵業務相關的云服務，則只要通過其進/出口處的小型云安全認證傳輸網關的身份認證，則均能獲得與用戶B相同的云服務體驗。

由于在小型云安全認證傳輸網關和A型云安全認證傳輸網關之間建立的是站點到站點模式的虛擬連接，因此在這類虛連接上可以運行多種關鍵業務、多種網絡協議和具有不同協議端口號的多種應用。

3.分布式安全認證傳輸實現

為給圖2的分布式云數據中心提供相應的應用層面的信息安全保障，依據部署在不同地點云數據中心的對行業關鍵業務種類和數據流量的不同需求，可將能滿足相應技術性能指標要求的云安全認證傳輸網關部署在相應云數據中心出/入口處。

在總部級云數據中心部署一個在物理上能實現高性能 集群，在邏輯上可虛擬化了的云安全認證傳輸網關，而在異地的區域級云數據中心部署一個能滿足本地要求的小型化的高性能集群。在各云安全認證傳輸設備之間建立在邏輯鏈路層具有網狀結構的虛擬專網，實現云數據中心之間安全的信息交換。

通過在總部級云安全認證傳輸網關中，部署相應的調度軟件，就可以實現全網的云安全傳輸服務的調度。

通過在總部級云安全認證傳輸網關中，部署一個用于監控分布式云安全認證傳輸網關的重量級監控軟件，而在其他云安全認證傳輸網關，則部署一個輕量級的監控軟件。這類監控軟件用于監控云安全認證傳輸網關的資源運行情況（如CPU、內存、硬盤、物理鏈路流量等），用戶使用統計（如用戶接入時間、退出時間、認證狀態、訪問目標資源、當前用戶鏈接數等），并能定時地或隨需地將上述數據發送到指定的監控管理終端，以便管理部門可以實時地掌握各級云數據中心運行的安全狀況。

總結

云安全認證傳輸網關作為一個應用層面的信息安全設備，既可以在云計算環境下，向云數據中心的用戶提供全方位的信息安全保障服務，也可以向下兼容，替代傳統的硬件安全網關，實現更好的可擴展性和靈活性。