漢柏科技日前發布了全球首款基于混合云信息安全防護的整體解決方案--“云眼”，它不僅是我國首款專注于“云網絡”無死角安全防護的解決方案，同時也是漢柏具有完全自主知識產權的云計算安全產品。

　　“云眼”，這樣一個基于云計算安全需求而誕生的全新“云網絡”安全防護解決方案，具備什么樣的特點？首先，讓我們從風險與防護兩個層面，對“云眼”做一個深入淺出的認知。

　　云網絡存在的安全風險隱患

　　 對云網絡安全防護供應商和網絡平臺來說，在安全防護方面都會涉及到租戶Project之間的網絡安全、租戶Project內部的網絡安全及租戶 Project與云外互訪的網絡安全問題，從而直接面對傳統的網絡風險、同一節點的虛機東西向訪問流量不出節點帶來的安全隱患、不同租戶的內部網絡可能是 重疊的，多租戶沒有安全隔離等安全風險隱患。

　　“云眼”打造全方位云網絡防護解決方案

　　多租戶安全隔離

　　 多租戶技術是一種軟件架構技術，它是在探討與實現如何在多用戶的環境下共用相同的系統或程序組件，并且仍可確保各用戶間數據的隔離性。整體來說它包含在 局域網基于Vlan識別和隔離租戶、在廣域網基于MPLS識別和隔離租戶的傳統網絡識別與隔離；利用TRILL技術構建大二層網絡，TRILL ID標識租戶的隔離；利用VXLAN或NVGRE構建一個跨越三層的大二層網絡，VXLAN或NVGRE網絡標識符VNI標識租戶與隔離的三個多租戶識別 技術。

　　同一節點內部東西向流量安全防護

　　方案1：軟件引流與回注

　　在Hypervisor層內嵌重定向軟件模塊，凡是在同一個物理節點內部的虛機之間二層訪問流量，先引入到虛擬機vFW、vIPS、vDPI、vAV中進行檢查。此時可以根據需求將不同的VM劃分到不同的安全域，并配置各種安全域間隔離和互訪的策略。

　　方案2：硬件引流與回注

　　硬件引流與回注

　　通過VEPA等技術實現將這些流量引入到外部的交換機。在接入交換機轉發這些流量之前，可以通過鏡像或者重定向等技術，將流量先引入到專業的安全設備進行深度報文檢查、安全策略配置或是允許/拒絕其訪問。

　　租戶內部的網絡安全防護

　　租戶內部的網絡多數情況下是跨節點的，同時大多是二層網絡結構（不排除也有三層網絡結構，但是考慮到跨數據中心的虛機遷移等問題，大多數情況下還是采用大二層網絡結構）。

　　漢柏云安全系統根據自身提供的解決方案特點，構建了如下所示的租戶Project內部的網絡部署邏輯結構：

　　租戶內部網絡安全防護

　　 每個計算節點上運行一個vRouter（即security agent），計算節點之間建立VXLAN或MPLS over UDP隧道，服務節點通過服務鏈機制加入到不同安全區域VN之間提供安全防護。同時，虛擬網絡VN內部和虛擬網絡VN之間的網絡安全問題，均可通過服務鏈 來解決。

　　云網絡南北向流量安全防護

　　縱向流量的防護，與傳統的防護沒有太大差異。但縱向流量存在多租戶的概念，則對安全也提出了需求，能夠實現基于租戶的安全防護。

　　云眼安全云服務底層技術仍然是采用“基于租戶實施安全防護”，只不過將安全防護特性作為服務以云方式對租戶提供，可以實現云網絡南北向流量安全防護。

　　云網絡邊界安全防護

　　漢柏云網絡邊界安全防護解決方案主要有：針對云數據中心運維提供安全防護及針對云內租戶網絡提供安全防護和安全服務。