存储在线汉柏科技日前发布了全球首款基于混合云信息安全防护的整体解决方案–“云眼”,它不仅是我国首款专注于“云网络”无死角安全防护的解决方案,同时也是汉柏具有完全自主知识产权的云计算安全产品。
“云眼”,这样一个基于云计算安全需求而诞生的全新“云网络”安全防护解决方案,具备什么样的特点?首先,让我们从风险与防护两个层面,对“云眼”做一个深入浅出的认知。
云网络存在的安全风险隐患
对云网络安全防护供应商和网络平台来说,在安全防护方面都会涉及到租户Project之间的网络安全、租户Project内部的网络安全及租户Project与云外互访的网络安全问题,从而直接面对传统的网络风险、同一节点的虚机东西向访问流量不出节点带来的安全隐患、不同租户的内部网络可能是重叠的,多租户没有安全隔离等安全风险隐患。
“云眼”打造全方位云网络防护解决方案
多租户安全隔离
多租户技术是一种软件架构技术,它是在探讨与实现如何在多用户的环境下共用相同的系统或程序组件,并且仍可确保各用户间数据的隔离性。整体来说它包含在局域网基于Vlan识别和隔离租户、在广域网基于MPLS识别和隔离租户的传统网络识别与隔离;利用TRILL技术构建大二层网络,TRILL ID标识租户的隔离;利用VXLAN或NVGRE构建一个跨越三层的大二层网络,VXLAN或NVGRE网络标识符VNI标识租户与隔离的三个多租户识别技术。
同一节点内部东西向流量安全防护
方案1:软件引流与回注
在Hypervisor层内嵌重定向软件模块,凡是在同一个物理节点内部的虚机之间二层访问流量,先引入到虚拟机vFW、vIPS、vDPI、vAV中进行检查。此时可以根据需求将不同的VM划分到不同的安全域,并配置各种安全域间隔离和互访的策略。
方案2:硬件引流与回注
通过VEPA等技术实现将这些流量引入到外部的交换机。在接入交换机转发这些流量之前,可以通过镜像或者重定向等技术,将流量先引入到专业的安全设备进行深度报文检查、安全策略配置或是允许/拒绝其访问。
租户内部的网络安全防护
租户内部的网络多数情况下是跨节点的,同时大多是二层网络结构(不排除也有三层网络结构,但是考虑到跨数据中心的虚机迁移等问题,大多数情况下还是采用大二层网络结构)。
汉柏云安全系统根据自身提供的解决方案特点,构建了如下所示的租户Project内部的网络部署逻辑结构:
每个计算节点上运行一个vRouter(即security agent),计算节点之间建立VXLAN或MPLS over UDP隧道,服务节点通过服务链机制加入到不同安全区域VN之间提供安全防护。同时,虚拟网络VN内部和虚拟网络VN之间的网络安全问题,均可通过服务链来解决。
云网络南北向流量安全防护
纵向流量的防护,与传统的防护没有太大差异。但纵向流量存在多租户的概念,则对安全也提出了需求,能够实现基于租户的安全防护。
云眼安全云服务底层技术仍然是采用“基于租户实施安全防护”,只不过将安全防护特性作为服务以云方式对租户提供,可以实现云网络南北向流量安全防护。
汉柏云网络边界安全防护解决方案主要有:针对云数据中心运维提供安全防护及针对云内租户网络提供安全防护和安全服务。