9月15日消息,日前,山石網科發布了基于Openstack的FWaaS(Firewall as a Service)安全服務解決方案,為Openstack平臺構建的公有云、私有云提供安全防護,以及為云環境中的獨立租戶提供專屬的安全隔離和策略保護。本方案非常適用于電信運營商、互聯網服務商、產業園區等需要部署云計算服務的網絡。
數據中心在云化過程中給傳統的安全防護帶來了很多挑戰。早前,山石網科發布的云數據中心安全解決方案,通過支持虛擬防火墻、安全資源動態分配、安全設備彈性擴展等特點,實現跨平臺支持多種虛擬主機。此次基于Openstack平臺發布的FWaaS安全服務解決方案,通過Openstack控制臺統一管理虛擬防火墻,資源簡化管理流程,保護了云平臺的安全性與虛擬業務系統的連續性。
邊界消失 如何守護安全
傳統的數據中心一般提供的是物理主機托管服務,有清晰的物理邊界,如果用戶需要對自己的物理主機進行安全防護,可以自行在自己的服務器前部署防火墻等網絡安全設備。而云計算數據中心提供的是虛擬主機租賃服務,物理邊界消失,租戶已經不是物理設備的擁有者,無法再部署物理網絡安全設備。因此,像虛擬主機租賃服務一樣,云計算數據中心也需要為租戶提供FWaaS等網絡安全解決方案。
▲圖1 傳統網絡安全方案無法適應數據中心虛擬化
Openstack 作為公有云、私有云管理平臺,幫助云數據中心構建和管理IaaS。Openstack通過Neutron組件提供虛擬網絡功能。在虛擬網絡功能的幫助,物理安全設備可以通過Openstack平臺為租戶提供虛擬化的FWaaS服務。
構建面向Openstack平臺的FWaaS服務
山石網科基于Openstack平臺的Neutron虛擬網絡技術,整合山石網科 X系列數據中心防火墻產品,提供FWaaS安全解決方案,幫助Openstack平臺用戶構建FWaaS服務。解決方案組件安裝在Openstack控制節點中,代替了Neutron網絡中的虛擬路由器功能,當租戶在Openstack的界面上操作創建虛擬路由器時,Openstack控制臺會自動連接山石網科物理防火墻為用戶創建虛擬防火墻以及做相應的配置。每個租戶可以擁有一個或多個VLAN,不同的租戶通過不同的虛擬防火墻隔離開來,租戶的虛擬防火墻可以共享物理防火墻的外網接口,然后通過主機路由的方式進入租戶的虛擬防火墻,租戶可以對自己的虛擬防火墻進行業務管理。
山石網科的Vsys虛擬防火墻支持源地址轉換、目的地址轉換、服務器負載均衡、IPSec VPN、基于應用的訪問控制、拒絕服務攻擊防護、會話限制等網絡安全功能。
四大提升值得關注
本次發布的FWaaS解決方案在管理、安全、成本、使用率等方向做了多項改進,將有助于用戶的部署和管理。如,所有虛擬防火墻可以由Openstack平臺統一配置和管理,與傳統數據中心每臺安全設備的單獨維護相比,管理上更加簡便。圖形化呈現云數據中心的網絡拓撲,管理員輕松掌握全網安全設備的運行狀態;Vsys虛擬防火墻技術,將一臺物理防火墻在邏輯上劃分成多個虛擬防火墻,能夠實現不用租戶不同業務的專屬防護策略配置。
再有,虛擬化技術隔離虛擬防火墻之間的故障,保證了租戶業務系統的可用性和連續性。硬件安全設備單獨部署,不占用虛擬環境的計算資源,保證了每個虛擬防火墻都有高性能表現。對比傳統的安全方案,實際部署安全硬件的數量大幅減少;通過幫助云數據中心組建虛擬防火墻資源池,利用靈活可擴展的特性,租戶可以根據業務單元的增減,動態創建和移除相應的虛擬防火墻,不需要添置更多的硬件安全設備,全面實現按需部署、動態分配、彈性擴展,提高了云數據中心的資源利用率,保護投資。
京公網安備 11010502049343號