随着虚拟化、云计算等新兴IT技术的广泛应用,越来越多基于虚拟化、云计算技术的云数据中心为提高企业资源利用率、降低运营成本提供了切实有效的帮助。但是,伴随着云数据中心大二层的部署、虚拟机迁移等问题,传统安全产品在云计算环境中的部署成为需要解决的问题。
新技术的应用,总是伴随着新的安全挑战
安全设备与OpenStack等云管理平台的配置问题
1. Openstack所包含的防火墙即服务定义,是基于IP Tables的软件防火墙,其性能、功能、可靠性、可维护性等均存在不足;
2. OpenStack对数据安全的定义并不完整,这就意味着传统网络安全设备无法通过OpenStack来进行配置和管理。
传统网络设备与Vxlan、SDN等网络通讯问题
云数据中心虚拟化、多租户的要求,使的Vxlan等二层网络技术大行其道,而SDN技术更是对传统网络安全产品在云环境下的部署,提出来严峻挑战。
一方面是Openstack云环境中对各种安全的迫切需求,另一方面是传统安全设备“望云却步”。
传统网络将逐渐退隐江湖
虚拟云何以为继?
为了在迅猛发展的新业务环境中破解各种安全挑战,太一星晨于近期推出了MSG多业务融合安全网关。它创新性的采用更适合处理七层业务的X86板卡,使其更适用于传统大中型网络边界、云数据中心、SDN及其他新业务环境。
T-Force MSG多业务融合安全网关现了多种安全网元的资源提供、聚合管理、统一调度及统一监控。tAPI则通过与云计算中心其他核心组件的有机互动,实现了整个云平台的自动化管理、统一配置和统一监控。
云数据中心防火墙解决方案
当只有防火墙需求时,太一星晨的防火墙方案可直接在OpenStack的标准环境中使用,替换云数据中心原有的防火墙功能。太一星晨的T-Force MSG多业务融合安全网关统一实现了OpenStack定义的vRouter和FWaas功能。
通过T-Force MSG多业务融合安全网关的防火墙功能实现对用户网络互通,同时实现丰富的防火墙特性。租户可以对自己的虚拟防火墙进行业务管理,在T-Force MSG上创建的虚拟防火墙并支持对NAT、访问控制、拒绝服务攻击防护、会话限制等网络安全特性。
云数据中心安全资源池解决方案
太一星晨MSG多业务融合安全网关融合虚拟化技术、自定义服务链以及通过对OpenStack平台的驱动增强扩展,可以满足云数据中心更丰富的安全需求。
* 基于Hypervisor虚拟化的部署模式
任意安全产品只要支持KVM虚拟化,都可以以虚拟网元的形式运行在太一星晨的MSG中,实现各种网元模块资源灵活扩展。
* 基于自定义服务链的部署模式
在T-Force MSG多业务融合安全网关中,管理员可以通过指定服务链的策略和编排,使流量通过MSG背板的高性能交换矩阵来实现流量的精细化分流,极大的提升了整个业务链的处理效率,精确度和可靠性。
MSG智能业务链编排
* 增强的OpenStack安全驱动扩展
OpenStack只定义了FWaaS Driver,其他网络安全产品无法通过云管理平台管理。太一星晨MSG平台上,通过增强对FWaaS Driver的扩展,完成对其他安全产品的定制化需求,而IPS和WAF等安全资源也将作为FWaaS的增强特性实现。
* 与云平台网络侧的部署
在SDN模式下,太一星晨MSG以TRUNK模式与VXLAN网关相连,并通过VXLAN网关连接到核心交换上。
方案优势
太一星晨MSG多业务融合网关产品融合NGFW、WAF、IPS等专业网元,实现了云数据中心业务安全、快速的交付。
与其他方案相比,该方案优势在于:
1. 解决了云数据中心四~七层安全产品的部署问题,实现与OpenStack、SDN的配置与通讯;
2. 基于hypervisor虚拟化的部署模式,实现各种安全业务模块资源灵活扩展,开放性的将友商的安全产品融入云数据中心解决方案,给用户更灵活的选择;
3. 采用分布式架构,通过板卡扩展模式,实现整机性能灵活扩展;
4. Intel x86处理器,实现四~七层业务的高性能处理;
5. 通过对虚拟网元的监控、自定义服务链的编排,确保当网元异常时,可自动绕过或切换到备份网元,确保业务的连续性。