隨著虛擬化����、云計算等新興IT技術的廣泛應用,越來越多基于虛擬化�、云計算技術的云數(shù)據(jù)中心為提高企業(yè)資源利用率�����、降低運營成本提供了切實有效的幫助�����。但是�,伴隨著云數(shù)據(jù)中心大二層的部署、虛擬機遷移等問題��,傳統(tǒng)安全產品在云計算環(huán)境中的部署成為需要解決的問題���。
新技術的應用�,總是伴隨著新的安全挑戰(zhàn)
l安全設備與OpenStack等云管理平臺的配置問題
1. Openstack所包含的防火墻即服務定義����,是基于IP Tables的軟件防火墻��,其性能��、功能���、可靠性、可維護性等均存在不足�����;
2.OpenStack對數(shù)據(jù)安全的定義并不完整��,這就意味著傳統(tǒng)網(wǎng)絡安全設備無法通過OpenStack來進行配置和管理����。
l傳統(tǒng)網(wǎng)絡設備與Vxlan、SDN等網(wǎng)絡通訊問題
云數(shù)據(jù)中心虛擬化����、多租戶的要求,使的Vxlan等二層網(wǎng)絡技術大行其道����,而SDN技術更是對傳統(tǒng)網(wǎng)絡安全產品在云環(huán)境下的部署�����,提出了嚴峻挑戰(zhàn)���。
一方面是Openstack云環(huán)境中對各種安全的迫切需求,另一方面是傳統(tǒng)安全設備“望云卻步”����。
傳統(tǒng)網(wǎng)絡將逐漸退隱江湖,虛擬云何以為繼����?
為了在迅猛發(fā)展的新業(yè)務環(huán)境中破解各種安全挑戰(zhàn)���,太一星晨于近期推出了MSG多業(yè)務融合安全網(wǎng)關�。它創(chuàng)新性的采用更適合處理七層業(yè)務的X86板卡�����,使其更適用于傳統(tǒng)大中型網(wǎng)絡邊界���、云數(shù)據(jù)中心���、SDN及其他新業(yè)務環(huán)境�����。
T-Force MSG多業(yè)務融合安全網(wǎng)關現(xiàn)了多種安全網(wǎng)元的資源提供���、聚合管理、統(tǒng)一調度及統(tǒng)一監(jiān)控����。tAPI則通過與云計算中心其他核心組件的有機互動,實現(xiàn)了整個云平臺的自動化管理�����、統(tǒng)一配置和統(tǒng)一監(jiān)控�。
云數(shù)據(jù)中心防火墻解決方案
當只需要防火墻需求時:
太一星晨的防火墻方案可直接在OpenStack的標準環(huán)境中使用,替換云數(shù)據(jù)中心原有的防火墻功能��。太一星晨的T-Force MSG多業(yè)務融合安全網(wǎng)關統(tǒng)一實現(xiàn)了OpenStack定義的vRouter和FWaas功能�。
通過T-Force MSG多業(yè)務融合安全網(wǎng)關的防火墻功能實現(xiàn)對用戶網(wǎng)絡互通,同時實現(xiàn)豐富的防火墻特性���。租戶可以對自己的虛擬防火墻進行業(yè)務管理��,在T-Force MSG上創(chuàng)建的虛擬防火墻并支持對NAT�����、訪問控制��、拒絕服務攻擊防護�、會話限制等網(wǎng)絡安全特性。
云數(shù)據(jù)中心安全資源池解決方案
太一星晨MSG多業(yè)務融合安全網(wǎng)關融合虛擬化技術�����、自定義服務鏈以及通過對OpenStack平臺的驅動增強擴展�����,可以滿足云數(shù)據(jù)中心更豐富的安全需求�����。
l基于Hypervisor虛擬化的部署模式
基于hypervisor虛擬化的部署模式��,任意安全產品只要支持KVM虛擬化�,都可以以虛擬網(wǎng)元的形式運行在太一星晨的MSG中��,實現(xiàn)各種網(wǎng)元模塊資源靈活擴展。
l基于自定義服務鏈的部署模式
在T-Force MSG多業(yè)務融合安全網(wǎng)關中�,管理員可以通過指定服務鏈的策略和編排,使流量通過MSG背板的高性能交換矩陣來實現(xiàn)流量的精細化分流��,極大的提升了整個業(yè)務鏈的處理效率�,精確度和可靠性。
MSG智能業(yè)務鏈編排
l增強的OpenStack安全驅動擴展
OpenStack只定義了FWaaS Driver���,其他網(wǎng)絡安全產品無法通過云管理平臺管理�����。太一星晨MSG平臺上����,通過增強對FWaaS Driver的擴展���,完成對其他安全產品的定制化需求�,而IPS和WAF等安全資源也將作為FWaaS的增強特性實現(xiàn)
l與云平臺網(wǎng)絡側的部署
在SDN模式下�,太一星晨MSG以TRUNK模式與VXLAN網(wǎng)關相連,并通過VXLAN網(wǎng)關連接到核心交換上�����。
方案優(yōu)勢
太一星晨MSG多業(yè)務融合網(wǎng)關產品融合NGFW、WAF�����、IPS等專業(yè)網(wǎng)元�,實現(xiàn)了云數(shù)據(jù)中心業(yè)務安全、快速的交付�。
與其他方案相比,該方案優(yōu)勢在于:
?解決了云數(shù)據(jù)中心四~七層安全產品的部署問題���,實現(xiàn)與OpenStack���、SDN的配置與通訊;
?基于hypervisor虛擬化的部署模式�����,實現(xiàn)各種安全業(yè)務模塊資源靈活擴展���,開放性的將友商的安全產品融入云數(shù)據(jù)中心解決方案,給用戶更靈活的選擇����;
?采用分布式架構�����,通過板卡擴展模式�����,實現(xiàn)整機性能靈活擴展�;
? Intel x86處理器��,實現(xiàn)四~七層業(yè)務的高性能處理��;
?通過對虛擬網(wǎng)元的監(jiān)控�����、自定義服務鏈的編排���,確保當網(wǎng)元異常時�����,可自動繞過或切換到備份網(wǎng)元�,確保業(yè)務的連續(xù)性。
