云是当下最受关注的话题之一,想要拥有一套完整的云数据中心方案,NFV(网络功能虚拟化)技术必不可少。关注到用户在新环境下的需求,2015年,深信服发布了全套NFV安全、优化云组件产品,适用于公有云、私有云、行业云等云业务环境。
公有云:服务如水电般,随取随用
AWS、阿里云近来热度渐升,颇有带国内公有云集体走高的趋势。用户租用公有云服务,除更低的投入成本外,也提升了业务的敏捷性。
假设某用户将OA等业务迁移到阿里云平台上,除了租用一些云服务器外,他还需解决业务上线后,内部员工的安全接入和数据防泄密问题。而AWS、阿里云平台上所提供的基础安全功能,不能百分百满足用户的这个需求,因此AWS、阿里云打造了一个良性的云生态系统,邀请各领域最专业的厂商,在公有云平台上为租户提供多元化的服务。
深信服的vSSL VPN日前就已登录阿里云市场,vSSL VPN能很好解决该用户的问题,部署vSSL VPN 除能保障第三方接入的安全和身份验证外,还有一个好处,就是所有管理端口向互联网的映射都可关闭。用户必须通过 vSSL 安全接入后才能对内容进行管理。这样大大降低了被攻击的风险,因为即便 vSSL 被攻击瘫痪了,业务服务器和数据也不受影响。
如今,用户可在阿里云Web界面直接购买vSSL VPN,随取随用、操作灵活。整个采购+配置过程花数分钟,就可以完成。
(用户可在阿里云市场直接购买,随取随用)
深信服云下一代防火墙vAF也已登录阿里云,部署vAF即能为云服务器提供双向、完整、可视的Web层安全防护,防止机密数据的泄露和恶意入侵,部署深信服云应用交付vAD提升业务稳定性和资源利用率,部署云广域网优化vWOC实现混合云加速组网和云业务应用优化加速。
行业云:划清责任“三八线”
为了满足特定行业业务统一托管、集约化建设降低信息化成本的需求,行业云在政府、教育、医疗等行业备受关注,“政务云”、“医疗云”都可称为行业云的典型应用。
无论是行业云建设方,还是租户,对安全的需求是一致的,因为行业云采用集中共享硬件资源的方式,IT系统的运维需要多方参与,往往在一些情况下难以划分清楚责任边界,导致相互推诿。
另外,对于行业云平台建设方来说,除了要满足业务统一托管的需求外,还要满足不同租户的个性化要求,比如A用户说我要满足国密算法标准,B说我要做等级保护等等。提供个性化的服务,或许也是建设方的一个困扰。
以某省政务云为例,C租户的应用系统迁移到该政务云平台上时,C用户的网络架构(服务器负载+Web服务器+中间件+数据库)没有发生太大的变化,可运维工作却变复杂了。因为往往是Web等业务应用由C租户运维,服务器负载、安全等硬件则由建设商运维。多方联动,带来极大不便,且一旦发生故障,责任也难以划分。
例如:C用户今天要修改Web的内容,网页的代码发生了变化,这就可能带来SQL注入的风险,如果安全还是交给建设方运维,就需要两方配合调整防护策略,否则可能存在被入侵的风险。可想而知,如果每一个租户每天都要找建设方修改一次策略,将给运维带来多大的不便及风险?
深信服提供了一套对建设方、租户皆适用的云组件解决方案,如上图所示。
对于行业云平台建设方而言:
建设方只需在云数据中心物理网络边界部署深信服安全、优化硬件设备,如下一代防火墙、应用交付、流量管理、VPN等产品,形成安全硬件资源池,在物理网络出口提供平台级的整体安全保护,防止外部网络的非授权接入和恶意入侵,防止针对云平台资源申请和管理界面的攻击,并提供链路负载均衡和业务流量管理等功能,保证应用系统具备更高的持续性、可用性以及快速性。
对于行业云租户而言:
对于租户而言,深信服提供了更多个性化的可能。因不同租户托管的应用、业务类型不尽相同,个性化需求也不同,有了深信服云组件以后,租户在出现安全等需求时,只需要让建设方开通授权,就可以实现完全自主的安全运维。如此一来,租户可以完全自定义行业云内自己的业务结构,将业务安全、优化牢牢握在自己手中。
例如租户1可部署vSSL VPN加固第三方访问的传输和身份安全性,租户2除了部署vSSL VPN外,还可部署应用交付vAD做服务器负载均衡,提升应用稳定性,租户3可以vSSL VPN、vAD、vAF一起部署,用vAF来为Web系统提供完整的Web保护,防止敏感数据被窃取。
私有云:不让虚拟机安全陷“囧”境
在跟一些私有云用户沟通后,我们发现部分用户并没有真正的“云化”,大部分用户只是将业务环境虚拟化了,而比如存储、网络、安全等产品却还是以硬件的方式部署在物理环境中,比如硬件防火墙、IPS等安全产品都是部署在物理边界上,只能管控数据中心南北流量。
如此一来,私有云用户面临最大的安全问题,或许是将业务环境全部虚拟化后,安全边界消失了,虚拟机之间的东西流量无法得到隔离管控,将来只要任意一台虚机被攻破,这台虚拟机就会成为内部入侵的跳板。
深信服云组件对于私有云数据中心的方案,主要分为两个层次,如上图所示。
对于物理边界:
使用硬件下一代防火墙、应用交付等产品对整个数据中心进行防护和业务优化。
对内部虚拟化环境:
在虚拟机间部署深信服下一代防火墙云组件vAF,可有效实现东西流量隔离。同时,深信服vAF云组件,能够为Web系统提供完整的Web保护、防止敏感数据被窃取。vSSL VPN可实现安全加固及接入安全,云应用交付vAD能够提供常见的链路、服务器等负载功能和多种应用优化功能。
至今,深信服云组件方案已经应用于政府、企业、运营商等行业,如杭州微贷、福建政务云平台等。
云组件全家福:
深信服云组件能以软件镜像等方式部署到VMware、KVM、XEN等虚拟化环境,上线快速简单,即使是一个毫无云部署经验的工程师也只需要数小时,就可以完成产品配置和业务上线,极大降低了运维难度。
最后,深信服云组件全家福呈上:
