《云数据中心边界防护解决方案v10》由会员分享,可在线阅读,更多相关《云数据中心边界防护解决方案v10(5页珍藏版)》请在金锄头文库上搜索。
1、云数据中心边界安全解决方案安全网关产品推广中心 马腾辉数据中心的“云化”数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个 历史发展阶段在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面 的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬 件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过 虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不 断地进行软、硬件的升级与更新,另外,持续增加的业务总
2、会使现有资源在一定时期内的扩 展性受到限制。因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求, 而在这个过程中,数据中心的“云化”也自然成为发展的必然! 传统边界防护的“困局”云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边 界安全防护的需求和以往的应用场景相比也会有所不同在云计算环境下,如何为“云端接 入”、“应用防护”、“虚拟环境以及“全网管控分别提供完善、可靠的解决方案,是我们需要 面对的现实问题。因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策, 而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案! 天融信
3、云数据中心边界安全防护解决方案面对上述问题,天融信解决方案如下: 通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需 求; 通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁 进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关 租用服务,实现“应用防护”安全需求; 通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提 供相应解决方案,实现“虚拟环境”安全需求; 通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求;技术特
4、点 虚拟化 网关虚拟化:天融信网关虚拟化技术提供了物理网关“一虚多”的虚拟化安全防护解决方案。在 数据中心多租户的需求背景下,网关虚拟化能够使部署在物理边界的网关设备为不同租 户提供虚拟网关租用服务,使不同租户流量在同一物理设备上实现流量逻辑隔离.功能 方面,网关虚拟化实现了从网络层到应用层的全功能虚拟化特性,并为租户提供了基于 虚拟系统的自定义安全服务解决方案,从而使策略部署变得更加灵活,而权限与责任的 界定也更加清晰! 虚拟机安全防护(TopVSP):面对数据中心虚拟计算环境,传统物理网关已无用武之地,而将虚拟机流量牵引至 物理网关的解决方案又面临严重的效率问题,仅仅只是过度方案。因此,在
5、该需求背景 下,天融信TopVSP通过与各类虚拟化平台的完美整合,利用虚拟化安全网关VGate)、 租户系统安全代理(TD)以及虚拟化平台接入引擎(TAE)三大系统组件,为虚拟计算环 境提供了一套全方位的安全防护解决方案。其中,“虚拟化安全网关(vGate)”是将天融信自主安全操作系统TOS以虚拟机的形 式运行在虚拟化平台上,用于实现外部到虚拟机以及虚拟机之间的虚拟边界安全防护. 租户系统安全代理(TD)则是安装在各租户操作系统(即虚拟机)上的安全代理服务用 于对租户系统进行信息收集以及进行相关安全检查等工作。而虚拟化平台接入引擎 (TAE)在实现了将数据流重定向到vGate的同时,还实现了对
6、虚拟化平台自身的安全加 固与权限控制。因此, TopVSP 实际上不仅实现了虚拟机之间的安全防护,还为虚拟化 平台自身以及租户系统提供了相关的安全解决方案。另外,TopVSP能够实时感知虚拟 机产生的热迁移动作,并在第一时间完成与TopPolicy智能化管理平台的指令交互,将 策略动态下发至迁移后的目标vGate,从而实现安全策略的动态同步迁移。 远程接入虚拟化(TopConnect):TopConnect为终端到云端的接入提供了一套基于虚拟化技术的远程接入解决方案。 其通过 VPN 智能集群与内部桌面资源服务器相结合,为远程终端提供虚拟桌面和虚拟 应用发布功能,使终端本地在无须运行任何业务系
7、统客户端程序的基础上,完成与服务 端的业务交互,实现了终端与业务分离的“无痕访问”需求,从而有效避免了数据泄露 的风险隐患。深度防御 一体化智能过滤引擎:相比一般应用场景,数据中心拥有规模庞大的业务应用系统,在将应用层防护作为 基本需求的基础上,更加强调深度检测的高效性,而实现这一切往往需要检测引擎的良 好支撑。天融信全系网关产品均采用一体化智能过滤引擎,其能够在一次拆包过程中, 对数据进行并行深度检测,从而保证了协议深度检测的高效性。另外,一体化智能过滤 引擎基于八元组高级访问控制设计 ,除传统的五元组控制以外,实现了用户身份信息、 应用程序指纹及内容特征的识别与控制,从而为计算资源池内众多
8、业务应用系统提供了 更加高效与细粒度的威胁检测与防护解决方案. 双引擎病毒检测:在病毒防护解决方案中,针对数据中心复杂的应用场景与大容量的数据处理这一特 点,天融信网关系列产品采用了双引擎设计以实现病毒检测的高效与精准兼顾。双引擎 杀毒同时支持快速(流)扫描与深度(文件)扫描两种检测引擎,可根据被检测应用层 协议与应用场景选择不同的病毒检测引擎,从而在数据中心高性能的网络环境下仍然可 以确保达到较高的病毒检测率。高性能 高性能系统平台:天融信全系网关产品基于完全自主研发的TOS (Topsec Operating System)安全操作 系统平台因此,作为数据中心高性能边界防护解决方案的核心,
9、TOS以多核硬件平台为 基础,采用系统分层与引擎分组的设计思想,在确保高可靠性的基础上实现了高性能的 设计目标。其中,在硬件抽象层通过引入多种加速技术,实现了对CPU多核心之间合 理的任务调度,同时,通过将各个安全引擎组与多核CPU的完美整合,使TOS在系统层 面实现了全功能多核并行处理.数据层高速处理技术(TopTURBO):TopTURBO是天融信在TOS安全操作系统上为中小型数据中心设计并开发的多核高 性能数据处理技术,并被应用于天融信NGFW下一代防火墙猎豹与千兆多核系列产品。 TopTURBO以INTEL SNB多核硬件平台为基础,在TOS安全操作系统的配合下,实现了 从网络层到应用
10、层的全功能多核并行流处理,并能够获得80Gbps的网络吞吐以及大于 20Gbps 的攻击检测性能。并行多级架构:并行多级架构是面向大型数据中心网络环境的分布式机架高性能解决方案,被应用 于天融信NGFW下一代防火墙擎天系列产品.擎天采用NSE (网络服务引擎)与SE (安 全引擎)分离的引擎部署模式,NSE完成L2/L3转发并对整机各模块进行管理与监控, 而SE负责将数据流进行网络层安全处理与应用层安全处理。其中,SE内置TopASIC专 用加速芯片,能够有效提升单板吞吐性能与降低转发延时.NSE、SE与用户接口卡之间通 过高速背板进行互连,可通过部署多安全引擎与多网络服务引擎来实现整机流量的
11、分布 式并行处理与故障热切换特性,最高可扩展至 240Gbps 的网络吞吐性能使其完全能够 满足大型数据中心的高性能安全处理需求.高可靠 多层级冗余化设计:数据中心网络环境对高可靠性的要求近乎于苛刻,这使部署在数据中心的网关产品 自身需要提供一套完善的高可用解决方案。针对这一需求,天融信网关系列产品均采用 了多层级冗余化设计。在设计中,通过板卡冗余、模块冗余以及链路冗余来构建最底层 的物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设 备部署实现了方案级冗余。由物理级、系统级与方案级冗余共同构成了多层级冗余化体 系,从而最大程度上确保数据中心的业务连续性。智能化管控 云
12、管控:云管控以TopPolicy智能化管理平台为核心,从全网管控、决策辅助与智能策略部署 三个方面实现了基于云的管控机制。其中,全网管控提供了对数据中心各类网络设备与 安全设备的统一管理与监控,同时,还实现了对物理网关与虚拟网关的“虚/实”一体 化管控;决策辅助则通过对收集到的各类事件信息进行统计分析以及深入的数据挖掘, 最终以丰富的图形化展示方式为我们提供决策支持;在智能策略部署中,根据决策辅助 过程的输出结果能够自动生成并下发安全策略到相应的网关设备。另外,通过 TopPolicy 与 TopVSP 的联动机制,能够实时感知虚拟机产生的热迁移动作,从而实现安全策略的 同步迁移。APT “狙击”:APT 攻击从情报搜集到完成攻击,整个过程往往比较复杂,而且可能会持续几天、 几个月,甚至更长的时间。因此,很难通过某一种安全检测机制阻止一次攻击就让问题 完全消失。针对 APT 这一特点,天融信网关系列产品通过专业的攻击规则库、应用识 别库、病毒库以及 URL 过滤库,在 APT 攻击的每个环节去获取攻击印记,并通过 TopPolicy 对匹配各类规则库所产生的事件进行综合关联分析,将零散的攻击印记还原为完整行 踪。最终,针对 APT 完整的攻击过程生成安全策略组,动态下发到与攻击过程相关的物理 网关与虚拟网关设备,从而使安全威胁得到准确与有效控制!
