1、云数据中心边界安全处理方案-安全网关产品推广中心 马腾辉数据中心“云化”数据中心,作为信息时代关键产物之一,前后经历了大集中、虚拟化和云计算三个历史发展阶段。在早期大集中阶段中,数据中心实现了将以往分散IT资源进行物理层面集中和整合,同时,也拥有了较强容灾机制;而伴随业务快速扩张,使我们在软、硬件方面投入成本不停增加,但实际资源使用率却很低下,而且灵活性不足,于是便经过虚拟化技术来处理成本、使用率和灵活性等等问题,便又很快发展到了虚拟化阶段。然而,虚拟化即使处理了上述问题,但对于一个处于高速发展企业来讲,仍然需要不停地进行软、硬件升级和更新,另外,连续增加业务总会使现有资源在一定时期内扩展性受
2、到限制。所以,采取含有弹性扩展、按需服务云计算模式已经成为当下热点需求,而在这个过程中,数据中心“云化”也自然成为发展肯定!传统边界防护“困局”云计算相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护需求和以往应用场景相比也会有所不一样。在云计算环境下,怎样为“云端接入”、“应用防护”、“虚拟环境”和“全网管控”分别提供完善、可靠处理方案,是我们需要面正确现实问题。所以,对于处理云数据中心边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化边界安全处理方案!天融信云数据中心边界安全防护处理方案面对上述问题,天融信处理方案以下:
3、经过TopConnect虚拟化接入和TopVPN智能集群相结合,实现“云端接入”安全需求; 经过在物理边界布署一系列物理网关来对多种非法访问、攻击、病毒等等安全威胁进行深度检测和防御,同时,利用网关虚拟化技术还能够为不一样租户提供虚拟网关租用服务,实现“应用防护”安全需求; 经过TopVSP虚拟化安全平台,为虚拟机之间安全防护和虚拟化平台本身安全提供对应处理方案,实现“虚拟环境”安全需求; 经过TopPolicy智能化管理平台来将全网网络及安全设备进行有效整合,提供智能化安全管控机制,实现“全网管控”安全需求;技术特点l 虚拟化 网关虚拟化:天融信网关虚拟化技术提供了物理网关“一虚多”虚拟化安
4、全防护处理方案。在数据中心多租户需求背景下,网关虚拟化能够使布署在物理边界网关设备为不一样租户提供虚拟网关租用服务,使不一样租户流量在同一物理设备上实现流量逻辑隔离。功效方面,网关虚拟化实现了从网络层到应用层全功效虚拟化特征,并为租户提供了基于虚拟系统自定义安全服务处理方案,从而使策略布署变得愈加灵活,而权限和责任界定也愈加清楚! 虚拟机安全防护(TopVSP):面对数据中心虚拟计算环境,传统物理网关已无用武之地,而将虚拟机流量牵引至物理网关处理方案又面临严重效率问题,仅仅只是过分方案。所以,在该需求背景下,天融信TopVSP经过和各类虚拟化平台完美整合,利用虚拟化安全网关(vGate)、租户
5、系统安全代理(TD)和虚拟化平台接入引擎(TAE)三大系统组件,为虚拟计算环境提供了一套全方位安全防护处理方案。其中,“虚拟化安全网关(vGate)”是将天融信自主安全操作系统TOS以虚拟机形式运行在虚拟化平台上,用于实现外部到虚拟机和虚拟机之间虚拟边界安全防护。租户系统安全代理(TD)则是安装在各租户操作系统(即虚拟机)上安全代理服务,用于对租户系统进行信息搜集和进行相关安全检验等工作。而虚拟化平台接入引擎(TAE)在实现了将数据流重定向到vGate同时,还实现了对虚拟化平台本身安全加固和权限控制。所以,TopVSP实际上不仅实现了虚拟机之间安全防护,还为虚拟化平台本身和租户系统提供了相关安
6、全处理方案。另外,TopVSP能够实时感知虚拟机产生热迁移动作,并在第一时间完成和TopPolicy智能化管理平台指令交互,将策略动态下发至迁移后目标vGate,从而实现安全策略动态同时迁移。 远程接入虚拟化(TopConnect):TopConnect为终端到云端接入提供了一套基于虚拟化技术远程接入处理方案。其经过VPN智能集群和内部桌面资源服务器相结合,为远程终端提供虚拟桌面和虚拟应用公布功效,使终端当地在无须运行任何业务系统用户端程序基础上,完成和服务端业务交互,实现了终端和业务分离“无痕访问”需求,从而有效避免了数据泄露风险隐患。l 深度防御 一体化智能过滤引擎:相比通常应用场景,数据
7、中心拥有规模庞大业务应用系统,在将应用层防护作为基础需求基础上,愈加强调深度检测高效性,而实现这一切往往需要检测引擎良好支撑。天融信全系网关产品均采取一体化智能过滤引擎,其能够在一次拆包过程中,对数据进行并行深度检测,从而确保了协议深度检测高效性。另外,一体化智能过滤引擎基于八元组高级访问控制设计,除传统五元组控制以外,实现了用户身份信息、应用程序指纹及内容特征识别和控制,从而为计算资源池内众多业务应用系统提供了愈加高效和细粒度威胁检测和防护处理方案。 双引擎病毒检测:在病毒防护处理方案中,针对数据中心复杂应用场景和大容量数据处理这一特点,天融信网关系列产品采取了双引擎设计以实现病毒检测高效和
8、正确兼顾。双引擎杀毒同时支持快速(流)扫描和深度(文件)扫描两种检测引擎,可依据被检测应用层协议和应用场景选择不一样病毒检测引擎,从而在数据中心高性能网络环境下仍然能够确保达成较高病毒检测率。l 高性能 高性能系统平台:天融信全系网关产品基于完全自主研发TOS(Topsec Operating System)安全操作系统平台。所以,作为数据中心高性能边界防护处理方案关键,TOS以多核硬件平台为基础,采取系统分层和引擎分组设计思想,在确保高可靠性基础上实现了高性能设计目标。其中,在硬件抽象层经过引入多个加速技术,实现了对CPU多关键之间合理任务调度,同时,经过将各个安全引擎组和多核CPU完美整合
9、,使TOS在系统层面实现了全功效多核并行处理。 数据层高速处理技术(TopTURBO):TopTURBO是天融信在TOS安全操作系统上为中小型数据中心设计并开发多核高性能数据处理技术,并被应用于天融信NGFW下一代防火墙猎豹和千兆多核系列产品。TopTURBO以INTEL SNB多核硬件平台为基础,在TOS安全操作系统配合下,实现了从网络层到应用层全功效多核并行流处理,并能够取得80Gbps网络吞吐和大于20Gbps攻击检测性能。 并行多级架构:并行多级架构是面向大型数据中心网络环境分布式机架高性能处理方案,被应用于天融信NGFW下一代防火墙擎天系列产品。擎天采取NSE(网络服务引擎)和SE(
10、安全引擎)分离引擎布署模式,NSE完成L2/L3转发并对整机各模块进行管理和监控,而SE负责将数据流进行网络层安全处理和应用层安全处理。其中,SE内置TopASIC专用加速芯片,能够有效提升单板吞吐性能和降低转发延时。NSE、SE和用户接口卡之间经过高速背板进行互连,可经过布署多安全引擎和多网络服务引擎来实现整机流量分布式并行处理和故障热切换特征,最高可扩展至240Gbps网络吞吐性能使其完全能够满足大型数据中心高性能安全处理需求。l 高可靠 多层级冗余化设计:数据中心网络环境对高可靠性要求近乎于苛刻,这使布署在数据中心网关产品本身需要提供一套完善高可用处理方案。针对这一需求,天融信网关系列产
11、品均采取了多层级冗余化设计。在设计中,经过板卡冗余、模块冗余和链路冗余来构建最底层物理级冗余;使用双操作系统来提供系统级冗余;而采取多机冗余及负载均衡进行设备布署实现了方案级冗余。由物理级、系统级和方案级冗余共同组成了多层级冗余化体系,从而最大程度上确保数据中心业务连续性。l 智能化管控 云管控:云管控以TopPolicy智能化管理平台为关键,从全网管控、决议辅助和智能策略布署三个方面实现了基于云管控机制。其中,全网管控提供了对数据中心各类网络设备和安全设备统一管理和监控,同时,还实现了对物理网关和虚拟网关“虚/实”一体化管控;决议辅助则经过对搜集到各类事件信息进行统计分析和深入数据挖掘,最终
12、以丰富图形化展示方法为我们提供决议支持;在智能策略布署中,依据决议辅助过程输出结果能够自动生成并下发安全策略到对应网关设备。另外,经过TopPolicy和TopVSP联动机制,能够实时感知虚拟机产生热迁移动作,从而实现安全策略同时迁移。 APT“狙击”:APT攻击从情报搜集到完成攻击,整个过程往往比较复杂,而且可能会连续几天、多个月,甚至更长时间。所以,极难经过某一个安全检测机制阻止一次攻击就让问题完全消失。针对APT这一特点,天融信网关系列产品经过专业攻击规则库、应用识别库、病毒库和URL过滤库,在APT攻击每个步骤去获取攻击印记,并经过TopPolicy对匹配各类规则库所产生事件进行综合关联分析,将零碎攻击印记还原为完整行踪。最终,针对APT完整攻击过程生成安全策略组,动态下发到和攻击过程相关物理网关和虚拟网关设备,从而使安全威胁得到正确和有效控制!
浙ICP备2021020529号-1 | 浙B2-20240490 
