随着云计算、大数据、物联网等技术架构的生长与应用将进一步完善 ,未来运营商的网络将泛起出规模更大、速度更快、应用更富厚、资源更集中、接入方式更多种多样的趋势。同时 ,云计算也为运营商带来了很大的宁静挑战 ,过去的物理宁静防护界限消失 ,传统IT架构下的宁静方案变得不那么适合 ,云计算时代所面临的宁静挑战变得越发庞大 ,这使得运营商在搭建云计算平台时及部署云业务应用时 ,愈加重视宁静因素的考虑。


下面为运营商用户需要解决的云宁静挑战:


1、网络虚拟化使传统网络界限的防护手段失效


由于传统的网络结构中 ,网络界限一般通过物理的服务器、网络设备、网络接口进行识别 ,防火墙和入侵检测设备可以接纳串接和旁路的方式捕捉进出界限的流量 ,并凭据预设的计谋执行防护行动。但随着虚拟化实施之后 ,系统之间的界限不光单是以物理设备的形式存在。好比在物理服务器中虚拟出多个虚拟机 ,这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成 ,不会与外部网络发生交互 ,传统的界限防护设备捕捉不到这些流量 ,也就不能进行防护。因此基于传统的界限防护的手段不适用于对虚拟化环境的界限�;�。


2、传统信息宁静产物难以满足弹性化、个性化的宁静需求


传统的信息宁静产物通常以硬件形式存在 ,单台设备的功效与性能比力牢固 ,采购和部署的周期比力长。企业将业务迁移到云中 ,由于云的弹性伸缩特点 ,允许企业业务的规模从小到大在一个很大的范围内变化。如果业务规模小、流量小 ,接纳高性能的信息宁静产物成本高 ,而且会造成资源浪费;如果业务规模大流量大 ,接纳低性能的信息宁静产物 ,就会泛起信息宁静产物性能不足的问题。弹性化的宁静需求 ,不光体现在性能上 ,还体现在交付与部署时间上。因为业务在短时间内爆炸式增长 ,也需要宁静产物交付与部署时间同步缩短。云计算里支持多租户 ,差异的租户对宁静的需求也是差异的 ,传统的宁静产物难以满足这些弹性化、个性化的宁静需求。


3、宁静处置资源的争夺增加云计算项目的投资成本


病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统(CPU、内存和磁盘I/O)负荷激增 ,同时导致业务虚拟机密度下降。这将影响虚拟化或云计算项目的投资收益率(ROI)。


4、云宁静管理对威胁的可视化提出更高挑战


对于传统运营商数据中心而言 ,由于业务的规模不是特别大 ,宁静管理对威胁的分析、可视、处置 ,通过多种传统的宁静产物基本可以满足。由于业务量变化幅度不大 ,对威胁的联动响应大部门通过人工就可以满足要求。但随着云时代的到来 ,系统变得越来越庞大 ,组件越来越多 ,用户流量不停上升 ,种种相关事件和变换需求也越来越多 ,云的运维管理变得越来越重要 ,其中宁静管理在运维管理之中又是重中之重。宁静管理首先需要对云环境的宁静风险进行有效的评估 ,通过对威胁的可视化可以保障运维人员对云的宁静状况有整体的掌控。由于云的规模的庞大与漫衍式特性 ,对威胁的分析、可视化的宁静产物的数量、形态、性能等多个方面都提出了更高的要求。


东森平台作为云宁静联盟(CSA)成员单元 ,经过连续追踪虚拟化技术生长 ,并研究虚拟化环境下信息宁静实现技术 ,同时进行了大量实践之后 ,开发出了一套适用于虚拟化的云宁静防护方案 ,可实现运营商虚拟环境下流量牵引、建立弹性宁静资源池等功效。目前该方案已在电信、移动、联通、广电等多个省广泛应用。



解决方案




东森平台经过对虚拟化环境深度分析 ,并基于多年技术积累开发出了软件界说宁静SDS和虚拟化宁静资源池Vetrix相结合的云宁静解决方案,满足运营商客户种种云场景的宁静需求。SDS在虚拟环境下导出流量 ,并将流量分流或复制后交付物理或软件Vetrix进行宁静处置。产物部署如下图所示:


1、虚拟化宁静资源池Vetrix


虚拟化宁静资源池由种种物理形态或虚拟形态的网络宁静设备组成 ,这些宁静设备不再接纳单独部署、各自为政的事情模式 ,而是由管理中心统一部署、管理、调治 ,以实现相应的宁静功效。宁静资源可以按需取用 ,支持高扩展性、高弹性 ,就像一个资源池一样。


虚拟化威胁检测系统 ,是东森平台自主研发的基于KVM虚拟化技术的可扩展信息宁静检测与防护系统 ,是承载在Vetrix之上的宁静防护产物。其和Vetrix的关系类似于苹果App和AppStore的关系。Vetrix具有可集成多种虚拟宁静产物于一身的强大扩展能力。虚拟化的宁静产物包罗:虚拟IDS(vIDS)、虚拟数据库审计(vDBA)、虚拟FlowEye(vFA)、虚拟业务审计(vBA)等。产物安装后 ,用户可凭据自己的需求动态调整相应的虚拟宁静产物 ,而无需经过庞大的硬件产物上架过程。


宁静产物虚拟化就是使软件和硬件相互疏散 ,把软件从主要安装硬件中疏散出来 ,使得宁静产物的系统可以直接运行在虚拟环境上 ,可允许多个宁静产物同时运行在一个物理硬件之上。


 其中 ,Vetrix虚拟化系统是Vetrix的基础平台 ,卖力宁静产物的虚机管理、授权管理以及系统的自身管理。Vetrix系统提供虚拟宁静市场功效 ,宁静市场源服务器卖力提供种种虚拟宁静产物包映像文件。用户可从宁静市场源服务器下载虚拟宁静产物包 ,并安装在Vetrix系统的虚拟机里 ,由宁静虚拟机卖力实现具体的宁静功效。Vetrix和宁静市场两部门相互独立 ,可以灵活部署。


2、软件界说宁静(SDS)


SDS理念是从SDN引申而来 ,原理是将物理的、虚拟化的网络宁静设备与它们的接入模式、部署位置解耦 ,抽象为宁静资源池里的资源 ,通过软件编程的方式进行智能化、自动化地编排和管理 ,以实现相应的宁静功效 ,从而完成网络宁静防护。就事情机制而言 ,SDS剖析为软件界说宁静资源、软件界说流量、软件界说高级威胁模型 ,三个举措环环相扣 ,形成一个动态、闭环的事情模型。


●软件界说宁静资源:配备宁静资源是实现网络宁静防护的基础。在SDS模式下 ,宁静资源由管理中心通过软件编程的方式进行统一注册、管理 ,以便实现后续的灵活编排和调治。


●软件界说流量:由软件编程的方式来实现网络流量的转发控制 ,通过将目标网络流量转发到宁静设备上 ,来实现宁静设备的逻辑部署和使用。


●软件界说高级威胁模型:对原始报文、流、宁静事件等信息进行深度整理和挖掘 ,实现对高级宁静威胁等未知威胁的实时分析和建模 ,之后将建模结果应用于宁静资源并进行流量调整 ,实现宁静联动自动化。


东森平台软件界说宁静系统基于SDS理念 ,通过软件编程的方式调用宁静设备资源 ,实现了一种灵活、智能、自动化、服务化的网络宁静防护 ,能够资助用户应对庞大网络环境下的宁静挑战 ,具备如下特色:


●宁静可自界说:通过软件编排的方式 ,使得种种宁静资源能够灵活组合 ,方便实现多种宁静设备的协同防护。


●虚实融合:平台可以凭据宁静功效需求调用种种宁静资源 ,无论是物理的还是虚拟化的宁静设备。


●多租户灵活部署:支持对网络流量做细粒度区分 ,针对差异流量接纳差异的宁静计谋 ,适用于多租户环境。各个租户可以凭据各自的需求进行个性化的宁静功效定制 ,具备高弹性、可计量性。


●多条理的威胁发现:通过多种宁静设备协同防护以及宁静大数据分析中心的全局性宁静情报 ,实现宁静威胁的层层过滤 ,使得种种已知威胁甚至未知威胁均无处遁形 ,深度解决用户的网络宁静隐患 ,�;ず诵淖什�。


●宁静高可靠增强:提供智慧流宁静平台级、宁静设备级的双机热备 ,当检测到故障发生时 ,可以实时的、自动地对平台自身、宁静设备的进行主备切换。当主备宁静设备均发生故障时 ,还能够接纳bypass方式 ,确保网络不中断 ,制止单点故障。当设备故障解除后 ,能够实时的、自动地还原宁静路径 ,快速恢复网络流量监控。


●宁静资源弹性可扩展:软件编排的方式、支持虚拟化的宁静设备等特性简化了宁静设备集群化部署。平台支持多元化负载均衡算法 ,可以实现宁静设备性能的线性扩展。


●兼容第三方宁静设备:第三方宁静设备可以直接接入东森平台智慧流宁静平台 ,作为宁静资源池里的资源接受平台控制管理中心的调治、管理 ,�;て笠迪钟型蹲� ,节约网络宁静成本。


3、部署方式


业务资源池与宁静资源池直连
 
在VMware环境下 ,业务资源池虚机可与Vetrix服务器直连 ,此场景下VTAP下设置为差池复制的流量进行封装 ,流量直接由业务资源池交付至Vetrix资源池。适用于小规模部署 ,且可将Vetrix服务器部署在与业务资源池的相近的位置。
 

如业务资源池需要通过网络与Vetrix服务器直连 ,此场景下 ,需将VTAP设置为对流量进行封装 ,接纳SDS流转发平台解封装后将流量交付给种种宁静产物。



优势总结



软件界说宁静SDS和虚拟化宁静资源池Vetrix相结合的云宁静解决方案 ,是东森平台基于多年的宁静经验积累、接纳新一代多核X86高性能硬件平台和云计算技术、SDN技术研发而成的先进的云宁静解决方案。为私有解决了运营商客户云环境下的威胁发现、威胁展示、威胁分析、威胁处置的专业化威胁发现与管理问题 ,优势如下。


1、节约成本 ,快速部署


该方案可以将多个宁静产物以虚拟机的方式运行在1-N台硬件设备中 ,在节约了硬件成本的同时 ,还节约了多台硬件消耗的机架租金、电力、制冷、人力维护等运维成本。


系统内置的市场客户端可以从宁静市场获得种种宁静产物虚机映像 ,通过虚机映像可以快速创建种种虚拟化的宁静产物 ,这个过程通常引擎类只需要1~2分钟 ,最多十几分钟(数据中心产物受限创建硬盘时间 ,越大尺寸硬盘时间越长) ,从而实现了快速部署宁静产物。


2、可软可硬 ,灵活的商业模式


Vetrix宁静资源池支持部署在定制的工控机硬件上 ,也支持部署在支持虚拟化的商业服务器硬件上;支持软硬件一体销售 ,也支持用户自己购置服务器硬件(硬件需要切合系统对硬件的要求) ,厂商只销售软件授权的商业模式。


3、独立部署 ,松耦合且降低业务质量风险


宁静产物以虚拟机的方式部署在云中 ,需要云平台提供CPU、内存、硬盘、网络等资源 ,宁静产物虚拟机容易与云中的其他业务虚机抢夺CPU等硬件资源 ,影响业务虚机的性能。独立的虚拟化宁静资源池 ,与业务虚机不发生CPU、内存、硬盘等资源的争抢 ,这样的独立部署架构即减少对云平台的紧耦合 ,又有效降低云内部署宁静虚拟机方案带来的业务质量风险。


4、统一管理 ,提高运维效率


该方案具有富厚的管理功效 ,友好的用户界面 ,统一的宁静产物管理接口。宁静产物泛起故障时 ,可以通过界面登陆虚机串口、重启虚机、切换网络等手段 ,远程处置故障 ,不用运维人员跑机房操作宁静产物调试 ,极大的提高了运维效率。


5、灵活扩展 ,连续提升宁静能力


Vetrix宁静资源池支持宁静产物虚拟化的部署方式 ,在单机硬件资源允许的条件下 ,用户通过创建宁静产物虚拟机 ,快速扩展自己的宁静能力;


Vetrix宁静资源池支持漫衍式系统架构 ,在单机硬件资源不够时 ,可将多台主机组成硬件资源池 ,通过在资源池中获得硬件资源并创建宁静产物线虚拟机的方式 ,近乎无限扩展宁静能力。


6、宁静合规 ,云环境下的迫切选择


传统IT架构满足等保三级要求时 ,需要部署防火墙、入侵检测、数据审计等产物 ,在云环境下的虚拟机之间工具向流量 ,无法接纳传统硬件宁静设备进行入侵检测与审计 ,难以满足云等保等合规要求 ,接纳系统整体方案后 ,可以将云中虚拟机的流量牵引到宁静资源池中进行检测与审计 ,配合云中的虚拟防火墙 ,界限的防火墙设备 ,可以满足云等保等合规相关要求。



案例介绍



1、配景与需求


某省电信用户应用虚拟化技术 ,对现有IT资源进行了整合 ,建成了内部私有云 ,供上层各电信业务系统使用。私有云的建成 ,将硬件资源共享成资源池 ,可按需分配资源 ,动态调治资源 ,冗余的硬件资源得以合理利用 ,降低了服务器采购数量 ,明显的减少了投资成本 ,同时保障了业务用运行的稳定性。云平台接纳VMwarevSphere解决方案 ,电信大部门业务已迁移至云上。


私有云的宁静防护较为单薄 ,仅在资源池网络出口位置部署了防火墙设备。用户关注如何在不影响业务的前提下 ,实现对云内工具向流量的宁静。并要求方案有一定扩展性 ,能适应未来私有云的扩展。


2、解决方案


本方案接纳东森平台的软件界说宁静SDS+虚拟威胁检测Vetrix的云宁静解决方案 ,应用了软件界说宁静SDS、虚拟化宁静资源池Vetrix等产物。构建了一个针对工具向流量进行防护的 ,可扩展的动态宁静防护体系。


工具向流量由虚拟威胁监控AGT通过ERSPAN的方式 ,将数据包接纳GRE封装后导出到SDS流转发平台 ,然后由流转发平台进行解封装。解封装之后的流量可通过SDS流控制平台进行编排。经过编排 ,流量被分别交付给Vetrix虚拟化宁静资源池内的种种虚拟化宁静产物。在系统运行过程中 ,编排的流量和宁静资源池内的虚拟宁静产物可随时被调整 ,以动态的适应宁静态势的变化。


3、实施效果


在本案例中 ,通过应用软件界说宁静系统SDS、虚拟化权资源池Vetrix等系统 ,形成了对工具向流量进行全面检测分析的动态防护体系。方案具备高可扩展性 ,用户可凭据流量的变化 ,增加Vetrix资源池的数量 ,同时可通过增加宁静产物镜像的方式 ,扩展宁静产物品类。另外 ,由于本次应用的虚拟宁静产物均为旁路部署 ,只需通过镜像导出流量 ,对系统的运行无影响。


4、客户价值


●宁静资源独立部署带来的益处
 

在此应用中 ,宁静资源独立部署 ,宁静与云平台体现为弱耦合关系。这种部署方式使得职责划分更为清晰 ,同时实现宁静产物的集中维护。当云平台升级或切换时 ,可保留宁静资源部门 ,�;び没У耐蹲�。


●可实现宁静设备利旧使用
 
Vetrix平台可与传统宁静设备对接。当用户将业务从传统网络迁移到云端时 ,原网络中的部门宁静产物将被闲置下来 ,闲置设备可仍可对接到Vetrix平台继续发挥作用。