随着云计算的大发展,“上云”已成为时代的标志。本文旨在简述国内当前业务私有云化的主要挑战与解决方案。【困境与挑战】对于企业来说,从现有的IT 管理体系过渡到私有云平台,大致经历 随着云计算的大发展,“上云”已成为时代的标志。本文旨在简述国内当前业务私有云化的主要挑战与解决方案。 对于企业来说,从现有的IT 管理体系过渡到私有云平台,大致经历了以下几个过程: 数据大集中、业务系统整合、IT 资源的虚拟化、管理平台的云化、应用和服务的集成提供。 私有云为企业各个业务部门提供统一服务,不仅仅包括计算资源、存储资源、网络资源,还应该包括安全资源,如身份认证、病毒查杀、入侵检测、行为审计等,只分配了计算资源与存储资源的系统,对用户来讲,无异于“裸奔”。
云计算的大规模运营给传统网络架构和应用部署带来挑战,不论是技术革新还是架构变化,都需要服务于云计算的核心要求,即动态、弹性、灵活,并实现网络部署的简捷化。在企业私有云里,不同业务系统的安全需求差异很大,那么在一个“云”内,如何为不同业务系统提供不同的安全策略?安全策略如何部署?部署在哪里?差异化的需求如何满足? 2.流量流向不可视:多种应用部署在同一台物理服务器上运行,使网络流量产生叠加,流量模型更加不可控, 用户无法直观感受到虚机之间数据流量大小、流向变化。 5.虚机不固定:服务器虚拟化技术的应用必然伴随着虚拟机的迁移,使得安全策略的部署变得复杂和无助,需要一个动态的机制来对数据中心进行防护 6.关键数据被窃取:相较于外部:恶意的内部人员利用自身权限进行数据窃取等内部行为造成的危害风险更大。 传统安全设备主要部署在数据中心边界,随着业务上云后,虚拟机流量都要被牵引到边界的安全设备上,往往造成了大量的虚拟机之间的东西流量进出边界的安全设备,利用传统边界安全设备对于东西向流量进行安全防护的方式逐渐成为影响数据中能提升和业务敏捷的瓶颈,无法满足云数据中心网络对于提升用户体验、建立超大规模资源池、动态安全策略迁移、自动化分发安全策略、集中管理等方面的要求。 上安全产品护云CLoudEnforce 借鉴SDN(软件定义网络)的思想,将控制平面与转发平面分离。单独构造出一个物理上分散,逻辑上集中的控制器(Controller),用来统一处理配置、、控制等多项功能。同时创建虚拟由器组件(vRouter)负责网络转发。 所有转发规则都完全由控制器统一下发。整个数据中心所有虚拟机的流量转发全部都可以被统一管控,并进行可视化呈现,为进一步实现各种业务功能奠定基础。
为了方便部署,护云产品将不依赖任何SDN 交换机等物理硬件。所有网络虚拟化的工作全部由软件层面实现,可使数据中心网络的要求减少。只需要确保底层物理网络由可达即可,无需购置特定的SDN 交换机等专用设备。 对于东西向流量,由护云负责统一管控、策略下发、以及可视化呈现。对于南北向流量, 依然采用传统安全设备进行防护,可以对任意虚拟机直接的东西向流量进行访问控制,也可以对虚拟网络间的东西向流量进行L4-7 层高级安全防护。并可接入护云实现单点登录式的一站式管理。所以护云并不是替代传统安全,而是结合传统安全设备一起构成一个完整的安全解决方案。
|
