云数据中心边界防护项目解决方案v1.0[文字说明]

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

云数据中心边界安全解决方案

-安全网关产品推广中心马腾辉

数据中心的“云化”

数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个历史发展阶段。在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段。

然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不断地进行软、硬件的升级与更新,另外,持续增加的业务总会使现有资源在一定时期内的扩展性受到限制。因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求,而在这个过程中,数据中心的“云化”也自然成为发展的必然!

传统边界防护的“困局”

云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比也会有所不同。在云计算环境下,如何为“云端接入”、“应用防护”、“虚拟环境”以及“全网管控”分别提供完善、可靠的解决方案,是我们需要面对的现实问题。因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案!

天融信云数据中心边界安全防护解决方案

面对上述问题,天融信解决方案如下:

➢通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需求;

➢通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关

租用服务,实现“应用防护”安全需求;

➢通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提供相应解决方案,实现“虚拟环境”安全需求;

➢通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求;

技术特点

●虚拟化

✧网关虚拟化:

天融信网关虚拟化技术提供了物理网关“一虚多”的虚拟化安全防护解决方案。在数据中心多租户的需求背景下,网关虚拟化能够使部署在物理边界的网关设备为不同租户提供虚拟网关租用服务,使不同租户流量在同一物理设备上实现流量逻辑隔离。功能方面,网关虚拟化实现了从网络层到应用层的全功能虚拟化特性,并为租户提供了基于虚拟系统的自定义安全服务解决方案,从而使策略部署变得更加灵活,而权限与责任的界定也更加清晰!

虚拟机安全防护(TopVSP):

面对数据中心虚拟计算环境,传统物理网关已无用武之地,而将虚拟机流量牵引至物理网关的解决方案又面临严重的效率问题,仅仅只是过度方案。因此,在该需求背景下,天融信TopVSP通过与各类虚拟化平台的完美整合,利用虚拟化安全网关(vGate)、

租户系统安全代理(TD)以及虚拟化平台接入引擎(TAE)三大系统组件,为虚拟计算环境提供了一套全方位的安全防护解决方案。

其中,“虚拟化安全网关(vGate)”是将天融信自主安全操作系统TOS以虚拟机的形式运行在虚拟化平台上,用于实现外部到虚拟机以及虚拟机之间的虚拟边界安全防护。

租户系统安全代理(TD)则是安装在各租户操作系统(即虚拟机)上的安全代理服务,用于对租户系统进行信息收集以及进行相关安全检查等工作。而虚拟化平台接入引擎(TAE)在实现了将数据流重定向到vGate的同时,还实现了对虚拟化平台自身的安全加固与权限控制。因此,TopVSP实际上不仅实现了虚拟机之间的安全防护,还为虚拟化平台自身以及租户系统提供了相关的安全解决方案。另外,TopVSP能够实时感知虚拟机产生的热迁移动作,并在第一时间完成与TopPolicy智能化管理平台的指令交互,将策略动态下发至迁移后的目标vGate,从而实现安全策略的动态同步迁移。

✧远程接入虚拟化(TopConnect):

TopConnect为终端到云端的接入提供了一套基于虚拟化技术的远程接入解决方案。

其通过VPN智能集群与内部桌面资源服务器相结合,为远程终端提供虚拟桌面和虚拟应用发布功能,使终端本地在无须运行任何业务系统客户端程序的基础上,完成与服务端的业务交互,实现了终端与业务分离的“无痕访问”需求,从而有效避免了数据泄露的风险隐患。

●深度防御

✧一体化智能过滤引擎:

相比一般应用场景,数据中心拥有规模庞大的业务应用系统,在将应用层防护作为基本需求的基础上,更加强调深度检测的高效性,而实现这一切往往需要检测引擎的良好支撑。天融信全系网关产品均采用一体化智能过滤引擎,其能够在一次拆包过程中,对数据进行并行深度检测,从而保证了协议深度检测的高效性。另外,一体化智能过滤引擎基于八元组高级访问控制设计,除传统的五元组控制以外,实现了用户身份信息、应用程序指纹及内容特征的识别与控制,从而为计算资源池内众多业务应用系统提供了更加高效与细粒度的威胁检测与防护解决方案。

✧双引擎病毒检测:

在病毒防护解决方案中,针对数据中心复杂的应用场景与大容量的数据处理这一特点,天融信网关系列产品采用了双引擎设计以实现病毒检测的高效与精准兼顾。双引擎杀毒同时支持快速(流)扫描与深度(文件)扫描两种检测引擎,可根据被检测应用层协议与应用场景选择不同的病毒检测引擎,从而在数据中心高性能的网络环境下仍然可以确保达到较高的病毒检测率。

●高性能

✧高性能系统平台:

天融信全系网关产品基于完全自主研发的TOS(Topsec Operating System)安全操作系统平台。因此,作为数据中心高性能边界防护解决方案的核心,TOS以多核硬件平台为基础,采用系统分层与引擎分组的设计思想,在确保高可靠性的基础上实现了高性能的设计目标。其中,在硬件抽象层通过引入多种加速技术,实现了对CPU多核心之间合理的任务调度,同时,通过将各个安全引擎组与多核CPU的完美整合,使TOS在系统层面实现了全功能多核并行处理。

数据层高速处理技术(TopTURBO):

TopTURBO是天融信在TOS安全操作系统上为中小型数据中心设计并开发的多核高性能数据处理技术,并被应用于天融信NGFW®下一代防火墙猎豹与千兆多核系列产品。

相关文档
最新文档