日前,山石網(wǎng)科發(fā)布了基于Openstack的FWaaS(Firewall as a Service)安全服務(wù)解決方案,為Openstack平臺構建的公有云、私有云提供安全防護,以及為云環(huán)境中的獨立租戶(hù)提供專(zhuān)屬的安全隔離和策略保護。本方案非常適用于電信運營(yíng)商、互聯(lián)網(wǎng)服務(wù)商、產(chǎn)業(yè)園區等需要部署云計算服務(wù)的網(wǎng)絡(luò )。
數據中心在云化過(guò)程中給傳統的安全防護帶來(lái)了很多挑戰。早前,山石網(wǎng)科發(fā)布的云數據中心安全解決方案,通過(guò)支持虛擬防火墻、安全資源動(dòng)態(tài)分配、安全設備彈性擴展等特點(diǎn),實(shí)現跨平臺支持多種虛擬主機。此次基于Openstack平臺發(fā)布的FWaaS安全服務(wù)解決方案,通過(guò)Openstack控制臺統一管理虛擬防火墻,資源簡(jiǎn)化管理流程,保護了云平臺的安全性與虛擬業(yè)務(wù)系統的連續性。
邊界消失 如何守護安全
傳統的數據中心一般提供的是物理主機托管服務(wù),有清晰的物理邊界,如果用戶(hù)需要對自己的物理主機進(jìn)行安全防護,可以自行在自己的服務(wù)器前部署防火墻等網(wǎng)絡(luò )安全設備。而云計算數據中心提供的是虛擬主機租賃服務(wù),物理邊界消失,租戶(hù)已經(jīng)不是物理設備的擁有者,無(wú)法再部署物理網(wǎng)絡(luò )安全設備。因此,像虛擬主機租賃服務(wù)一樣,云計算數據中心也需要為租戶(hù)提供FWaaS等網(wǎng)絡(luò )安全解決方案。
圖1 傳統網(wǎng)絡(luò )安全方案無(wú)法適應數據中心虛擬化
Openstack 作為公有云、私有云管理平臺,幫助云數據中心構建和管理IaaS。Openstack通過(guò)Neutron組件提供虛擬網(wǎng)絡(luò )功能。在虛擬網(wǎng)絡(luò )功能的幫助,物理安全設備可以通過(guò)Openstack平臺為租戶(hù)提供虛擬化的FWaaS服務(wù)。
構建面向Openstack平臺的FWaaS服務(wù)
山石網(wǎng)科基于Openstack平臺的Neutron虛擬網(wǎng)絡(luò )技術(shù),整合山石網(wǎng)科 X系列數據中心防火墻產(chǎn)品,提供FWaaS安全解決方案,幫助Openstack平臺用戶(hù)構建FWaaS服務(wù)。解決方案組件安裝在Openstack控制節點(diǎn)中,代替了Neutron網(wǎng)絡(luò )中的虛擬路由器功能,當租戶(hù)在Openstack的界面上操作創(chuàng )建虛擬路由器時(shí),Openstack控制臺會(huì )自動(dòng)連接山石網(wǎng)科物理防火墻為用戶(hù)創(chuàng )建虛擬防火墻以及做相應的配置。每個(gè)租戶(hù)可以擁有一個(gè)或多個(gè)VLAN,不同的租戶(hù)通過(guò)不同的虛擬防火墻隔離開(kāi)來(lái),租戶(hù)的虛擬防火墻可以共享物理防火墻的外網(wǎng)接口,然后通過(guò)主機路由的方式進(jìn)入租戶(hù)的虛擬防火墻,租戶(hù)可以對自己的虛擬防火墻進(jìn)行業(yè)務(wù)管理。
山石網(wǎng)科的Vsys虛擬防火墻支持源地址轉換、目的地址轉換、服務(wù)器負載均衡、IPSec VPN、基于應用的訪(fǎng)問(wèn)控制、拒絕服務(wù)攻擊防護、會(huì )話(huà)限制等網(wǎng)絡(luò )安全功能。
四大提升值得關(guān)注
本次發(fā)布的FWaaS解決方案在管理、安全、成本、使用率等方向做了多項改進(jìn),將有助于用戶(hù)的部署和管理。如,所有虛擬防火墻可以由Openstack平臺統一配置和管理,與傳統數據中心每臺安全設備的單獨維護相比,管理上更加簡(jiǎn)便。圖形化呈現云數據中心的網(wǎng)絡(luò )拓撲,管理員輕松掌握全網(wǎng)安全設備的運行狀態(tài);Vsys虛擬防火墻技術(shù),將一臺物理防火墻在邏輯上劃分成多個(gè)虛擬防火墻,能夠實(shí)現不用租戶(hù)不同業(yè)務(wù)的專(zhuān)屬防護策略配置。
再有,虛擬化技術(shù)隔離虛擬防火墻之間的故障,保證了租戶(hù)業(yè)務(wù)系統的可用性和連續性。硬件安全設備單獨部署,不占用虛擬環(huán)境的計算資源,保證了每個(gè)虛擬防火墻都有高性能表現。對比傳統的安全方案,實(shí)際部署安全硬件的數量大幅減少;通過(guò)幫助云數據中心組建虛擬防火墻資源池,利用靈活可擴展的特性,租戶(hù)可以根據業(yè)務(wù)單元的增減,動(dòng)態(tài)創(chuàng )建和移除相應的虛擬防火墻,不需要添置更多的硬件安全設備,全面實(shí)現按需部署、動(dòng)態(tài)分配、彈性擴展,提高了云數據中心的資源利用率,保護投資。
