Page 43 - BP-201711
P. 43
由CloudOS或OpenStack通过服务链实现引流到物理安全设 五.云安全资源池化技术
备、物理负载均衡设备。东西向跨网段流量由VCFC通过服 1.网络服务资源虚拟化和池化
务链引流,可共享南北向物理安全设备/物理防火墙、物理
云平台数据中心既可使用物理安全设备、物理防火墙、
负载均衡设备安全防护。
物理负载均衡设备,也可采用安装在通用服务器上的vFW/
4.服务链对接第三方安全设备
vLB等NFV虚拟化网元集合来承载通联、安全、负载均衡、
VPN、监控等网络服务,物理设备和NFV网元设备共同构成
Overlay网络服务资源。网络承载层通过堆叠、主备、负载
分担等方式支撑上层虚拟化资源池,上层虚拟化资源池无需
关注底层实现技术,只需按照虚拟网络服务节点抽象模型向
网络资源池按需动态申请和释放网络资源,这些虚拟网络服
务资源被VCFC按需地映射到物理网络,自动分配物理网络
资源。VCFC通过网络服务虚拟化技术,将异构的承载层物
理网络服务设备资源抽象成统一的虚拟网络服务节点,并在
VCFC控制下变成按需分配的网络资源池,包括FWaaS虚拟
防火墙资源池、LBaaS虚拟负载均衡器资源池、VPNaaS虚
拟VPN资源池、IPSaaS虚拟IPS资源池,这就简化了虚拟网
络的组建,虚拟租户可按需向资源池申请资源。虚拟网络服
务节点被定义后,VCFC会将这些虚拟资源和承载层网元自
动映射,承载层网元被切片和隔离成多个独立的服务空间,
图8 东西向服务链代理支持第三方安全设备示意图 承载虚拟网络服务节点的实际业务。
VCFC支持多安全服务资源池,采用VRF进行资源池分
(1)东西向服务链代理:东西向流量安全防护通过服
配。不同租户的业务可绑定到不同资源池中。一个安全资源
务链代理方式实现,VCFC通过VXLAN二层网关做代理,
池有多个出口,可连接多个ISP互联网出口,且不同出口可
可引入第三方安全设备提供服务链式安全防护,实现东西向
采用不同安全策略。
防护。
2.安全资源池大规模租户技术
(2)南北向服务链引流:南北向流量安全防护通过
(1)硬件安全资源池:物理安全设备可充当一个集成
服务链引流方式实现,南北向由物理交换机做V X L A N终
式安全资源池,其每块业务板可虚拟化出几十个逻辑安全设
结,再由V C F C通过服务链引流到第三方安全设备实现安
备,支持在逻辑安全设备上创建VRF,每个VRF可对应一个
全防护。
VPC,以提升租户数量和横向扩展能力,每块业务板可支持
1000个以上VPC数目,池中单个逻辑设备可终结Overlay隧
道,与服务链方案实现对接。
(2)NFV软件安全资源池:NFV软件虚拟化安全资源
池可与VCFC实现无缝集成,交付端到端解决方案,用X86
服务器实现NFV虚拟安全资源池,可快速部署和弹性管理,
且横向扩展性好,每台服务器可虚拟出几十至上百个NFV安
全设备,NFV安全设备可随服务器的增加线性增长,可对接
第三方控制平面NFVOrchestrator等系统。
3.云安全微分段服务
传统安全模式只支持集中式防火墙等功能,安全防护能
力无法区分东西和南北流量。VCFC针对同一租户部署多套
安全资源池,东西向安全资源池和南北向安全资源池分开部
署,不同Subnet之间的安全资源池也可分开部署,将流量进
行分段防护(即SDN云安全微分段服务),实现对租户东西 WWW.IMASCHINA.COM
图9 南北向服务链引流支持第三方安全设备示意图 向和南北向流量的精细化安全处理。
43
NOVEMBER 2017.11 B&P
