云計算作為新型基礎設施建設的重要組成,關鍵作用日益凸顯,市場規模呈現持續增長趨勢。然而云計算安全態勢日益嚴峻,安全性成為影響云計算充分發揮其作用的核心要素。與傳統 IT 系統架構不同,上云之后,云安全迎來了責任共擔新時代。
網絡安全法和等保 2.0 給出了比較清晰的指導建議,當然這也要求云廠商能提供基于 IaaS、PaaS、SaaS 的安全機制和服務。云廠商在提供給云租戶云服務內容的同時,還要提供相應的安全措施和具體的安全服務產品。
QingCloud 安全資源池服務
QingCloud 安全資源池是青云提供的在當前安全威脅和安全合規要求下的安全解決方案之一。
首先,QingCloud 安全資源池構建在基于可信云平臺之上,云平臺提供安全的 SDN 網絡、SDS 存儲、軟件定義計算的安全云環境,在云之上提供給租戶自助的安全服務,如主機防護、運維堡壘機、審計、WAF、安全態勢等。這些安全服務,可以滿足租戶對安全多樣性的需求,安全組件以租戶為單位進行資源和安全隔離,這是安全池的基本功能。
除了安全資源池的整體性,云平臺又給安全組件賦予了一些新的特性:
自助特性:租戶可以自助進行安全組件規格、數量 、處理性能的定制化,可以自由選擇青云當前最新的云主機類型,從而發揮出安全組件的最佳性能。
性能保證:云中安全組件的性能,往往是用戶在選擇此方案時的考慮之一。青云如何來保證云中安全組件的性能呢?云中安全組件可以借助云平臺的資源彈性擴展功能,來提升安全組件的流量處理能力,如很多安全產品中的流量深度過濾功能,就可以結合云平臺的 LB 負載均衡,來提供多實例的抗衡大流量的網絡攻擊行為。并且可以借助 EIP 功能,對外體現為一個安全集群來應對大流量攻擊事件。
開放特性:用戶在選擇安全產品時,除了考慮性能因素外,另外要考慮的就是安全產品的功能和專業度,也就是說能否幫業務做好安全。舉例說明:用戶擔心一重防火墻不能阻擋當下新型的網絡攻擊(如 APT 或零日攻擊事件),專業的安全用戶就希望有多款不同技術見長的安全產品組合起來實現防護攻擊,實現安全交叉互補的防護效果。客戶有需求,我們就要有實現的能力,對云平臺來說也是一個技術挑戰,SDN 編排必須要是開放性的架構設計,可以根據用戶的需求,編排對接各種形態和第三方的安全資源池和專業安全設備。青云在規劃安全資源池時,就考慮到了用戶這種專業的安全需求,并且投入大量的研發,實現了 SDN 編排的開放特性,通過 SDN 編排可以兼容第三方的安全資源池,甚至安全設備。
安全資源池服務實現路徑及難點
在了解具體的技術實現情況前,先要看一下實現這樣的安全資源池的難點在哪里?要實現剛才提到的安全資源池,云平臺要解決兩個層面的工作。
控制管理平面:租戶需要在自己的管理頁面上可以自由選擇,甚至是自由組合使用對應的安全組件產品,包括下發安全配置策略、查看各種安全事件和日志,這就需要云平臺來對接海量的安全產品管理接口以及對接各種安全產品的控制臺,由于接口技術不統一,工作比較復雜且工作量很大。
數據流量平面:如何實現云實例的正常流量,根據安全管理的需求,分別經過各種安全產品或組件,也就是俗稱的東西向流量和南北向流量編排。如何實現東西向流量和南北向流量編排,本身就是一個難點,用戶多、云業務復雜、流量大,還要保證較低的網絡延時以及無單點故障,加上考慮開發特性、對接各種第三方資源池和安全設備,方案極其復雜。
青云安全資源池架構實現
上圖為青云實現統一安全資源池的 SDN 編排方案邏輯圖。由 3 個核心部分構成:SDN 統一管控平臺組件、MCN(多云網絡管理組件)、各種形態的安全資源池。
安全統一管控平臺:青云自研的統一注冊管理安全產品控制臺的組件平臺,這個組件平臺一邊對接各安全產品控制臺和 API,另一邊提供豐富的 API 接口,給云租戶 console 來調用,從而對接盡可能多的安全產品和組件,并且解耦安全組件的控制管理,給云平臺租戶提供可以自由選擇使用對接注冊到平臺上的各種安全組件,并且要實現各種策略的下發、事件的告警和日志的集中收集等。
MCN 多云網絡管理組件:青云自研的一款軟件定義網絡產品,在整個方案中 MCN 起到高性能網絡互聯互樞紐的作用,可以對接各種網絡和設備,當然也包括各種安全設備和資源池。以 MCN 為核心,在總的安全 SDN 統一管控平臺定義下,把防護實例對象的流量進行安全流量邏輯編排,依次通過定義的安全設備,從而進行各種安全防護。
因為有了 SDN 統一管控平臺和 MCN,就可以實現對接青云自研和第三方的安全資源池安全方案。最后一個組件是青云的 VG,是互聯網的出口設備組件(軟件),可以對接各種線路、綁定EIP 地址池和公網負載均衡等實現。
青云 SDN 云安全服務分別定義了 SDN 統一管控平臺和 MCN+ 各種形態的安全服務,從而實現了基于 SDN 的安全服務編排,為云租戶提供靈活又全面的安全防護方案。
MCN 核心組件,是整個SDN 編排的核心重點。有四個核心功能:
服務調度:能接受 SDN 統一控制臺的服務和資源調度,對接管理層面。
流量編排:形成編排邏輯和流量鏈條計劃。
高性轉發平面:東西向和南北向流向轉發和網絡設備對接,如 Vxlan 數據解封裝。
多種形態:軟件定義的多種形態,滿足各種場景的需求,成本和高性能是考慮的重點。
青云對 MCN 使用場景的定義:
不同網絡的互聯,甚至在混合云、私有云場景下的多網絡互連。
云在 Region 下多 AZ 區域的網絡互通,可以感知和實現對云環境多大的環境變化,這點是傳統交換機無法實現的。
數據平臺,具有各種網絡隧道能力,數據包解封的能力,如 vxlan 的流量編排等。
SDN 安全服務編排價值
經過 SDN 的編排,有哪些價值?
運維場景:要對云中數據做運維,可以通過 NFW 訪問堡壘機,再訪問數據庫。
交付業務防護場景:通過入侵防御、數據庫組的防護組件,再訪問數據庫。用戶一鍵快速在云中實現安全服務的編排部署,如在真實的數據中心,獲取到豐富的安全功能,方案靈活,并且能保證安全產品的性能和安全功能交叉保護,從而實現對云中實例的安全做到自主可控。
安全產品在真實的實踐中,為了達到較好的防護效果,往往要使用不同技術架構,不同實現的安全產品,通過組合使用,來提升防護率,如戰爭中,我們會發現有各種的防御措施,第一道防御、第二道防御,也會使得不同特點的火力武器進行配合使用。
SDN 編排場景:異構、混合安全防護編排
南北向編排:如云主機 1 需要訪問互聯網,可以通過 SDN 編排,數據流量先經過安全資源池中的“虛擬下一代防火墻”做訪問規則的過濾后,再跳轉到傳統硬件 IPS 進行應用特征庫過濾,最終訪問到互聯網。
東西向編排:如 VPC 1 中云主機 1 和 VPC 2 中的云主機 4 互通,這屬于典型的跨 VPC 東西向流量,這個場景假設 VPC 1 中為運維終端,要訪問 VPC 2 中的云主機 4 服務。我們可以通過 SDN 編排,將流量強制經過物理安全設備“堡壘機”的身份認證和授權后,才能訪問云主機 4,從而實現運維操作的記錄和審計。此業務場景,通過 SDN 編排后充分利用了“具有性能優勢的物理安全設備”。
南北向編排:此場景為從互聯網主動訪問云中的主機實例 6 的業務場景,為常見的業務訪問場景。我們通過 SDN 編排 EIP 的能力,將訪問流量依次通過“虛機下一代防火墻”和物理 IPS 混合過濾,經過濾后的流量最終到達實例 6。不僅實現混合增強防護效果,也可以在混合云模式下,兼容各種安全防護設備和技術。
SDN 安全服務編排優勢
開放架構:開放架構可以對接和編排各種第三方安全能力和各種安全資源形態。
安全資源池:基于青云云平臺,可提供可信環境、資源彈性、一鍵交付、靈活擴容的安全資源池。
安全服務化:提供青云云資源一致的操作習慣和使用體驗。
智能編排:解決各種傳統網絡、安全設備、異構安全資源的網絡打通和流量編排。
