运营商
OPERATOR
中国联通新疆分公司项目案例
随着越来越多的用户将传统的营业系统迁徙至云盘算情形中,云清静面临的挑战也越发严肃,传统情形下的清静问题在云情形下仍然存在,如SQL注入、内部越权、数据泄露、数据改动、网页改动、误差攻击等,而云情形下又一直涌现一堆新的清静问题,如云清静界线的划分和防护、云清静防护系统的选择和部署、云清静检测、清静防御、云清静审计等。同时,云盘算情形下的资源按需分配、弹性扩容、资源集中化等新型手艺形态也给云清静手艺带来挑战和手艺刷新。
● 云清静总体营业架构设计
凭证新疆联通医疗云的现有营业特点以及其相关云清静防护需求,esb世博网信息提出了基于软件界说清静(SDS)的天池云清静解决方案,该方案与新疆联通医疗云现有的云情形举行适配集成,以实现云盘算情形中的清静防护。
本方案接纳软件界说清静(SDS)的架构,其原理是通过将清静数据与控制平面的疏散,对物理及虚拟的网络清静装备与其接入模式、部署方式、实现功效举行解耦,底层抽象为云清静资源池里的资源,顶层统一通过软件编程的方式举行智能化、自动化的营业编排和治理,以完成响应的清静功效,从而实现一种无邪的清静防护。云清静资源池营业架构如下图所示∶
● 云租户上岸云治理平台按需申请云清静防护能力,如云碉堡机、云Web应用防火墙等
● 云平台清静治理员审核需求和服务订单
● 凭证云租户申请的云清静产物类型,云治理平台通过挪用云清静治理平台的API接口,自动的建设对应的云清静能力
● 云租户通过单点登录到云清静治理平台将清静战略下发到各云清静产物
● 云租户清静治理员通过云清静治理平台的租户视角看到自己虚拟网络的清静状态,好比清静事务、清静日志,而且可以凭证营业清静的需求自界说清静规则
● 云清静资源池网络模子架构设计
增添了天池云清静资源池后,vm网络通讯流程如上图所示,分为网关型清静服务(如云防火墙)和非网关型清静服务(如云碉堡机)两大类清静服务∶
一● 网关型清静服务的网络通讯流程
云租户申请EIP时,天池云清静资源池与SDN控制器举行协商,双方均自动建设好VLAN100与ylan200的网络,同时SDN控制器将VLAN100对接到某一个VXLAN网络内里好比 VXLAN 10000,同时将VXLAN IF 10000的接口也绑定到vRouter1上
同时天池云清静治理平台通过API让清静资源池建设VLAN100与VLAN200的网络,并自动天生一个vFW将vFW的trust接口桥接到VLAN100上, untrust接口桥接到VLAN200 上。,同时预留的ip地址设置到云焦点,交流机的 VLAN100 VLAN200接口以及云防火墙的trust和untrust接口上。将EIP发下给云防火墙,并完成SNAT、清静战略的默认设置
后通过vFW的untrust接口转发到vRouterpublic上,最后通过vRouter public的underlay的路由将数据转发出云外了。
从云外到云内的流量转发模子正好相反,需要挪用SDN API 将目的IP为EIP的路由下一跳指向云防火墙的untrust
一● 非网关型清静服务的网络通讯流程
云租户申请碉堡机,天池云清静资源池与SDN控制器举行协商,双方均自动建设好VLAN100的网络,同时SDN控制器将VLAN100对接到某—个VXLAN网络内里好比 VXLAN 10000, 同时将VXLAN IF 10000的接口也绑定到 vRouter1上
同时天池云清静治理平台通过API让DASONE建设VLAN100的网络,并自动天生一个碉堡机桥接到VLAN100的网络上。这样云碉堡机通过VLAN100就完成了与租户VLAN10和VLAN 20的网络通讯