数字经济的安全基石

运营商

OPERATOR

首页 > 客户案例 > 正文

中国联通新疆分公司项目案例

阅读量:
项目背景

随着越来越多的用户将传统的业务系统迁移至云计算环境中,云安全面临的挑战也更加严峻,传统环境下的安全问题在云环境下仍然存在,如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等,而云环境下又不断涌现一堆新的安全问题,如云安全边界的划分和防护、云安全防护系统的选择和部署、云安全检测、安全防御、云安全审计等。同时,云计算环境下的资源按需分配、弹性扩容、资源集中化等新型技术形态也给云安全技术带来挑战和技术革新。


项目内容
● 云安全总体业务架构设计
根据新疆联通医疗云的现有业务特点以及其相关云安全防护需求,安恒信息提出了基于软件定义安全(SDS)的天池云安全解决方案,该方案与新疆联通医疗云现有的云环境进行适配集成,以实现云计算环境中的安全防护。
本方案采用软件定义安全(SDS)的架构,其原理是通过将安全数据与控制平面的分离,对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦,底层抽象为云安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现一种灵活的安全防护。云安全资源池业务架构如下图所示∶


整体业务设计架构说明∶

● 云租户登陆云管理平台按需申请云安全防护能力,如云堡垒机、云Web应用防火墙等

● 云平台安全管理员审核需求和服务订单

● 根据云租户申请的云安全产品类型,云管理平台通过调用云安全管理平台的API接口,自动的创建对应的云安全能力

● 云租户通过单点登录到云安全管理平台将安全策略下发到各云安全产品

● 云安全管理平台通过调用云管理平台提供的SDN API接口,将租户业务流量的南北向流量按需的引入到云安全资源池内,经过下一代云防火墙系统和云Web应用防火墙的清洗
● 云平台管理员通过云安全管理平台的平台视角看到整个云平台的安全状态、云安全虚拟机的健康状态、系统和安全事件的监控情况等

● 云租户安全管理员通过云安全管理平台的租户视角看到自己虚拟网络的安全状态,比如安全事件、安全日志,并且可以按照业务安全的需求自定义安全规则


● 云安全资源池网络模型架构设计
增加了天池云安全资源池后,vm网络通信流程如上图所示,分为网关型安全服务(如云防火墙)和非网关型安全服务(如云堡垒机)两大类安全服务∶
一● 网关型安全服务的网络通信流程
云租户申请EIP时,天池云安全资源池与SDN控制器进行协商,双方均自动建立好VLAN100与ylan200的网络,同时SDN控制器将VLAN100对接到某一个VXLAN网络里面比如 VXLAN 10000,同时将VXLAN IF 10000的接口也绑定到vRouter1上
同时天池云安全管理平台通过API让安全资源池创建VLAN100与VLAN200的网络,并自动生成一个vFW将vFW的trust接口桥接到VLAN100上, untrust接口桥接到VLAN200 上。,同时预留的ip地址配置到云核心,交换机的 VLAN100 VLAN200接口以及云防火墙的trust和untrust接口上。将EIP发下给云防火墙,并完成SNAT、安全策略的默认配置

后通过vFW的untrust接口转发到vRouterpublic上,最后通过vRouter public的underlay的路由将数据转发出云外了。

从云外到云内的流量转发模型正好相反,需要调用SDN API 将目的IP为EIP的路由下一跳指向云防火墙的untrust
一● 非网关型安全服务的网络通信流程
云租户申请堡垒机,天池云安全资源池与SDN控制器进行协商,双方均自动建立好VLAN100的网络,同时SDN控制器将VLAN100对接到某—个VXLAN网络里面比如 VXLAN 10000, 同时将VXLAN IF 10000的接口也绑定到 vRouter1上
同时天池云安全管理平台通过API让DASONE创建VLAN100的网络,并自动生成一个堡垒机桥接到VLAN100的网络上。这样云堡垒机通过VLAN100就完成了与租户VLAN10和VLAN 20的网络通信




项目价值
云计算作为一种新兴的计算资源利用方式,正处在飞速发展的阶段。云计算的服务商通过对硬件资源的虚拟化,将基础IT资源变成了可以自由调度的资源池,从而实现资源的按需分配,向客户提供按使用付费的云计算服务。用户可以根据业务的需要动态调整所需的资源,而云服务商也可以提高自己的资源使用效率,降低服务成本,通过多种不同类型的服务方式为用户提供计算、存储和数据业务的支持。





返回