云計算的安全問題已引起了廣泛的重視
目前我國眾多行業都已在云計算上進行了大規模的投入,雖然云計算建設大多仍處于初級階段,但已有不少的基于云計算的服務已走入人們的工作和生活中。特別是一些運營商、有實力的企業單位以及大型政府信息中心,經過幾年的建設已完成了云基礎設施的建設,能向用戶較好的提供IaaS或SaaS的服務。
很多組織已經逐步將非核心的業務移植到云平臺上。但由于組織普遍擔憂云計算數據中心/云平臺較傳統數據中心受到如數據泄漏、服務受攻擊等安全威脅可能性較大的原因,核心業務的轉移一直開展緩慢。組織擔憂的原因主要是由于虛擬化技術的引入,打破了傳統的網絡邊界的劃分方式,另外虛擬機數量的快速變化也要求安全防護能相應的迅速作出反應。針對這些新出現的問題,傳統的安全技術手段無法做到有效的安全防護。因此對于采用基于虛擬化的云平臺架構搭建IT環境的政府及企業用戶來說,安全性及合規性更是成為需要考慮的首要因素:用戶需要一套全新的完備的安全方案以同時為虛擬環境和物理環境提供持續的保護,并且滿足相關合規性需要。
藍盾基于SDN實現的云計算安全保護
藍盾基于SDN實現的云計算安全保護產品是基于廣義的SDN概念實現的云計算安全保護產品,它將網元設備(包括硬件或軟件,如物理或虛擬的交換機、路由器、中繼器等)的數據轉發功能與控制傳輸功能分離開來,通過邏輯集中的控制器來進行管理。同時,藍盾安全服務編排與SDN控制器集群互操作,協調完成對云計算的安全保護工作。
藍盾基于SDN實現的云計算安全保護產品能針對云計算環境中動態變化的虛擬機數量和虛擬機遷移導致的虛擬機位置變換等與傳統環境中不同的特征,對虛擬機進行保護。這種方法基于支持SDN的物理或虛擬交換機(如OpenvSwitch)和虛擬平臺管理接口,在不影響正常業務工作的情況下自動識別如虛擬機遷移、虛擬機增刪、其他業務流變化等而引起的安全需求的變化,從而制定新的安全策略,并且根據此需要在云計算中心的各地各主機上快速的部署或關閉所需的安全虛擬器件(如防火墻、IDS、IPS、漏洞掃描、審計類產品等)并且向支持SDN的交換機更新安全策略,能實時有效的保護云計算中心(包括其中的虛擬機)的安全并且節省系統資源。產品的功能模塊如圖1所示:
藍盾基于SDN實現的云計算安全保護產品功能模塊圖
藍盾基于SDN實現的云計算安全保護產品建立一個云計算中心安全控制臺(云安全服務編排)。這個云計算中心安全控制臺根據支持SDN的物理/虛擬交換機反饋的安全防護需求,調動安全虛擬器件管理模塊按照各地區各主機的安全需求的最新情況增加/刪除虛擬安全器件。其中虛擬化主機的網橋由支持SDN的虛擬交換機替換。總控制平臺下發流表以保證安全,支持SDN的物理/虛擬交換機根據流表將所需監控的端口流量轉發到指定的虛擬安全器件上,并且將可疑的流量轉發至總控制平臺。總控制平臺識別安全需求的變化并自動調整安全策略,并且下發執行網絡流量規則和虛擬安全器件的調整,通過SDN控制器下發流表至虛擬交換機,通過虛擬化平臺接口調整虛擬器件的網絡部署安排。
到目前為止,藍盾基于SDN實現的云計算安全保護產品已為多家云計算服務供應商提供了云計算安全保護、云環境中虛擬機審計、云環境合規性保證等方面的服務,并得到了客戶的一致好評。藍盾將繼續致力于云計算、虛擬化、SDN、移動辦公等前沿領域的研究,基于藍盾智慧安全框架“動立方”,為云和虛擬化環境提供更加靈活、可靠、智能的安全防護,用低成本、高回報的方式為客戶提供更加優秀的服務。
京公網安備 11010502049343號