技术综合

              Reviews







           基于基础架构层的云安全防护技术探究




                                                                                                   扫一扫随身阅读










           徐俭                                                  全服务应可实现基于租户粒度的隔离，确保租户业务的灵
           扬州广电传媒集团                                            活性和安全性。应可基于防火墙实现基础网络安全，可基
                                                               于vSwitch（虚拟交换机）软件的嵌入式安全方案实现主机
               【摘要】主要从云安全防护技术需求、云安全架构与防护                       安全，可基于IPS/AV实现应用安全，可支持4-7层负载均
           模型、嵌入式安全实现方案、基于服务链的云安全组网方案、                         衡，可通过IPsec技术实现远程安全接入。
           云安全资源池化技术、多层次云安全体系等方面，对基于基础                            4．提供弹性扩展的安全资源池
           架构层的云安全防护技术诸多要点问题进行探讨研究。                               基础架构层的云安全体系应可基于SDN和服务链实现与
               【关键词】基础架构层  云安全防护  嵌入式安全  服                     软硬件安全设备相结合，可提供FW、LB和IPS/AV等各种
           务链 云安全资源池化 多层次云安全体系                                 安全服务，并通过云平台统一调度。云租户可依据自身需求
                                                               申请安全服务，自定义业务应用系统安全架构及安全访问策
               IT领域云计算技术的发展使得计算机网络的服务模式从                       略，为虚机迁移过程提供防护。支持采用：Overlay（叠加
           面向连接转向了面向应用，这给网络安全带来了巨大挑战，                          在物理网络上的虚拟网络，技术要点是对物理网络进行隧道
           传统的安全部署模式在管理性、伸缩性、升级敏捷性等方面                          叠加，再逻辑划分成虚拟网络分片）技术实现安全设备的位
           已经无法跟上业务发展的步伐，云平台数据中心必须建设灵                          置解耦；服务链技术实现按需确定业务流节点和顺序；SDN
           活可靠、自动化快速部署和资源弹性扩展的基于SDN（软件                         技术实现安全资源池化和在线扩容。可提供弹性扩展的基于
           定义网络）、服务链和软硬件安全设备相结合的安全防护技                          NGFW的硬件安全资源池和基于NFV（网络功能虚拟化）的
           术体系，下文探讨研究的主要是基于基础架构层的云安全防                          软件安全资源池。
           护技术。                                                   5．安全业务自动化部署
                                                                  基础架构层的云安全体系针对北向流量应提供开放接口
           一．云安全防护技术需求                                         与云平台对接实现安全业务配置的自动下发和部署，可采用
               1．云安全体系开放                                       VCFC（虚拟应用融合架构控制器）根据应用需求灵活分配
               基础架构层的云安全体系应支持与O p e n S t a c k、               安全资源，可依托服务链技术灵活调度业务流量。
           CloudOS等多方云平台和第三方私有云平台对接，应支持
           CAS、KVM、VMWareESXi、XEN等虚拟化平台，可通过                    二．云安全架构与防护模型
           服务链代理方式支持第三方安全设备。                                      1.云平台数据中心安全访问控制路径
               2．云平台管理流量与云租户业务流量分离                                云平台数据中心的安全访问控制主要存在外部网络与
               基础架构层的云安全体系应保证云平台管理流量与云租                        数据中心网络间（南北向）、数据中心内部不同子网间（东
           户业务流量分离，可根据云租户业务需求自定义安全访问路                          西向）、数据中心同一子网内终端间（东西向）3条转发路
           径，可在虚拟网络边界部署访问控制设备、设置访问控制规                          径，基础架构层的云安全体系就是要实现这3条转发路径的
           则，可依据安全策略控制虚机间访问。                                   安全防护。
               3．支持丰富的云安全服务                                       2．云安全总体架构
               基础架构层的云安全体系的V P C（虚拟私有云）云安                         根据云平台数据中心的安全访问控制需求，基础架构层

     WWW.IMASCHINA.COM

   40 NOVEMBER  2017.11   B&P