中国联通新疆分公司项目案例
随着越来越多的用户将传统的业务系统迁移至云计算环境中,云安全面临的挑战也更加严峻,传统环境下的安全问题在云环境下仍然存在,如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等,而云环境下又不断涌现一堆新的安全问题,如云安全边界的划分和防护、云安全防护系统的选择和部署、云安全检测、安全防御、云安全审计等。同时,云计算环境下的资源按需分配、弹性扩容、资源集中化等新型技术形态也给云安全技术带来挑战和技术革新。
● 云安全总体业务架构设计
根据新疆联通医疗云的现有业务特点以及其相关云安全防护需求,2024新奥门资料提出了基于软件定义安全(SDS)的天池云安全解决方案,该方案与新疆联通医疗云现有的云环境进行适配集成,以实现云计算环境中的安全防护。
本方案采用软件定义安全(SDS)的架构,其原理是通过将安全数据与控制平面的分离,对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦,底层抽象为云安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现一种灵活的安全防护。云安全资源池业务架构如下图所示∶
● 云租户登陆云管理平台按需申请云安全防护能力,如云堡垒机、云Web应用防火墙等
● 云平台安全管理员审核需求和服务订单
● 根据云租户申请的云安全产品类型,云管理平台通过调用云安全管理平台的API接口,自动的创建对应的云安全能力
● 云租户通过单点登录到云安全管理平台将安全策略下发到各云安全产品
● 云租户安全管理员通过云安全管理平台的租户视角看到自己虚拟网络的安全状态,比如安全事件、安全日志,并且可以按照业务安全的需求自定义安全规则
● 云安全资源池网络模型架构设计
增加了天池云安全资源池后,vm网络通信流程如上图所示,分为网关型安全服务(如云防火墙)和非网关型安全服务(如云堡垒机)两大类安全服务∶
一● 网关型安全服务的网络通信流程
云租户申请EIP时,天池云安全资源池与SDN控制器进行协商,双方均自动建立好VLAN100与ylan200的网络,同时SDN控制器将VLAN100对接到某一个VXLAN网络里面比如 VXLAN 10000,同时将VXLAN IF 10000的接口也绑定到vRouter1上
同时天池云安全管理平台通过API让安全资源池创建VLAN100与VLAN200的网络,并自动生成一个vFW将vFW的trust接口桥接到VLAN100上, untrust接口桥接到VLAN200 上。,同时预留的ip地址配置到云核心,交换机的 VLAN100 VLAN200接口以及云防火墙的trust和untrust接口上。将EIP发下给云防火墙,并完成SNAT、安全策略的默认配置
后通过vFW的untrust接口转发到vRouterpublic上,最后通过vRouter public的underlay的路由将数据转发出云外了。
从云外到云内的流量转发模型正好相反,需要调用SDN API 将目的IP为EIP的路由下一跳指向云防火墙的untrust
一● 非网关型安全服务的网络通信流程
云租户申请堡垒机,天池云安全资源池与SDN控制器进行协商,双方均自动建立好VLAN100的网络,同时SDN控制器将VLAN100对接到某—个VXLAN网络里面比如 VXLAN 10000, 同时将VXLAN IF 10000的接口也绑定到 vRouter1上
同时天池云安全管理平台通过API让DASONE创建VLAN100的网络,并自动生成一个堡垒机桥接到VLAN100的网络上。这样云堡垒机通过VLAN100就完成了与租户VLAN10和VLAN 20的网络通信