Page 44 - BP-201711
P. 44
六.多层次云安全体系
1.异构设备组成统一安全资源池
vSwitch软件集成了安全组ACL和状态防火墙,并通
过V C F C下发安全组规则和防火墙规则实现嵌入式安全防
护。VCFC集成的VNFManager负责NFV资源池管理、
NGFWManager实现硬件安全资源池管理,可管理框式、盒
式、插卡硬件安全设备。VCFC可通过服务链引流把第三方
安全设备集成进安全资源池,形成涵盖嵌入式安全、NFV虚
拟安全设备、硬件安全设备的异构安全资源池。
图10 传统集中式安全服务示意图
图12 异构设备组成统一安全资源池示意图
2.多层次安全防护手段
基础架构层的云平台安全方案在服务链编排下通过使
用以下组合可具备多层次的安全防护手段:(1)嵌入式安
全:在vSwitch软件上实现安全组ACL和状态防火墙,开启
4层安全防护。(2)东西向安全防护:东西向可采用物理
图11 SDN云安全微分段服务示意图 安全设备或N F V安全方案,通过服务链将任意流量引入到
vFW和vLB进行4-7层安全防护。(3)南北向安全防护:南
4.安全资源池高可靠性技术
北向使用物理安全设备,由VCFC通过服务链引流到物理安
安全资源池可基于IRF(智能弹性架构)链路捆绑技术
全设备和物理负载均衡设备上进行4-7层安全防护。
堆叠两台NFV设备或物理安全设备,在逻辑上形成单一的安
3.通过云服务部署安全功能
全管理节点,实现IRF组内备份设备间全局统一同步配置、
在云平台上可通过云服务部署与配置云安全服务,包
业务流量转发的统一调度、减少二层环路、简化路由配置。
括虚拟数据中心、负载均衡、公网I P、防火墙、安全组、
通过HA心跳线实现设备间防火墙会话状态同步,结合IRF
WAF(Web应用防火墙)、IPS/AV、堡垒机等,可通过
技术实现业务流量自动分发和链路故障后自动快速切换。
CloudOS的系统参数启用或禁用云安全服务,云安全服务
可由V C F C 下发到
安全需求 设备形态 支持的业务 部署方式 网络中各个服务节
点,O p enS t ack已
IPsecVPN、FloatingIP、SNAT、
硬件(物理安全设备、物 FW、IPS、AV等业务落在物理安全 南北向采用服务链方式引流 定义的服务F W、
到(物理安全设备+物理负
理负载均衡设备) 设备上,LB业务落在物理负载均衡 载均衡设备) LB、IPsecVPN、安
设备上
南北向转发 全组等,可直接通过
采用服务链方式引流,
IPsecVPN、FloatingIP、SNAT、FW OpenStack的插件功
NFV(VSR、vFW、vLB) 等业务落在VSR上(FW也可单独部 方式1:南北向VSR(自带FW 能下发,OpenStack
功能)+vLB部署,方式2:南
署在vFW上),LB业务落在vLB上
北向VSR+vFW+vLB部署 未定义的安全服务
硬件(物理防火墙、物 则由CloudOS调用
东西向转发 理负载均衡设备)或NFV FW、LB的服务链顺序是先FW、再 东西向vFW+vLB单跳或多跳 VCFC的RestAPI下
LB
服务链
(vFW、vLB)
发。B&P
表1 服务链实现东西向和南北向安全方案
WWW.IMASCHINA.COM
44 NOVEMBER 2017.11 B&P
