• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

安全云方案在SDN网络中的应用

 

 

1       安全云背景介绍

中国云计算市场规模在不断扩大,三大电信运营商已建成规模化行业云平台,各省市政务云也已基本完成一期建设,其他行业云也在此趋势下竞相向前发展,形成了良好的发展态势。然而,资源集中使云平台更容易成为黑客攻击的目标,云安全问题也更加突出,安全已成为用户上云的最大阻力。据IDC调研显示,云计算所面临的挑战中,安全问题排在首位。主要有以下风险和挑战:

1.       云平台安全合规风险:根据等保2.0/GBT 31167 等云安全政策要求,云服务商必须满足安全合规要求并通过相关安全审查,具备保障用户数据和业务系统安全的能力。当用户业务系统进行等保测评时,首先应保证云平台已经通过测评。

2.       云用户安全需求难以满足:传统云平台安全架构仅能够对用户提供通用的安全策略,不能适用于所有用户。用户因而不能根据自身业务需求选择和管理安全组件,这将放大用户业务系统“上云”后安全责任难以界定等风险,从而对“上云”产生顾虑。另外,不适用的安全策略也会影响用户业务系统通过等保测评。

因此各大安全厂商、云厂商相近推出安全云方案,用以解决云平台和云用户安全问题。

2       新华三安全云方案在SDN中的应用

2.1     新华三安全云核心能力

Ÿ   云安全集中管理:安全资源在云端可见,云平台管理员、租户管理员以及租户根据职责、权限被赋予了不同的管理能力。

Ÿ   安全资源按需申请:将软硬件安全资源服务化,形成云安全的服务目录,包括FWLBWAFDDoS防护、漏扫、堡垒机等。

Ÿ   租户自主化管理:租户可对所管设备直接下发关键配置及策略,同时也可以登录设备进行全面管理。

Ÿ   安全服务编排能力:对安全防护资源具备流量编排能力。与网络控制器关联,实现安全服务链,同时实现自动化组网、自动化部署。

Ÿ   软硬件池化管理:管理员可以按需将安全硬件实例化,形成硬件共享资源池,并可将此与NFV实例混合,提供软硬混合资源池。

Ÿ   运维/运营展示:安全资产使用情况的统计、展示、计费等,可提供消费报告,安全资产运行状况的展示、系统安全指数等。

Ÿ   标准化流程管理:可在线申请应急响应、安全协维、安全培训、渗透测试等安全服务,形成服务流程化管理。

Ÿ   兼容性管理:可通过单点登录的方式实现与第三方安全产品的对接,做到和用户现有产品的兼容性管理。

2.2     新华三安全云服务目录

新华三安全云服务产品主要包含以下14种:

1 新华三安全云服务目录

2.3     新华三安全云服务 | 硬件虚拟化形态产品

新华三安全云服务,硬件虚拟化形态的产品,主要包含以下6种:

2 硬件虚拟化形态产品

2.3.1           防火墙

部署方式:物理防火墙旁挂在核心交换机上,它可以虚拟化出一个个独立的虚墙,每租户独占一个虚墙。租户有防火墙需求时,可在安全云上创建云防火墙,绑定租户的虚拟路由器,并配置策略/规则,安全云会调用VCFC创建虚墙,虚墙上下行网络自动部署。

管理方式:安全云的防火墙页面可以进行关键配置,即安全规则和安全策略。还可以根据虚墙IP地址登录虚墙的web界面进行完整管理。

流量模型:安全上创建虚墙,实际上是调用VCFC的接口,所以虚墙的流量模型和ADDC安全纳管完全一致。即外网用户通过租户虚墙再访问内网服务器,回程流量也要经过租户虚墙。

2.3.2           入侵防御系统

部署方式:入侵防御系统功能是集成在物理防火墙上的,通过license控制。所以IPS和防火墙一样,每租户独占一个IPS服务。租户有IPS需求时,可在安全云上申请IPS服务,绑定该租户的虚墙,并设置IPS策略。则安全云会调用VCFC在对应虚墙上下发IPS相关配置。

管理方式:安全云的IPS页面可以进行关键配置,即IPS相关策略。还可以根据虚墙IP地址登录虚墙的web界面进行完整管理。

流量模型:和防火墙完全一致,即外网用户通过租户虚墙时做IPS防护,再访问内网服务器,回程流量也要经过租户虚墙。

2.3.3           网络防病毒

部署方式:网络防病毒功能是集成在物理防火墙上的,通过license控制。所以AV和防火墙一样,每租户独占一个AV服务。租户有AV需求时,可在安全云上申请AV服务,绑定该租户的虚墙,并设置AV策略。则安全云会调用VCFC在对应虚墙上下发AV相关配置。

管理方式:安全云的AV页面可以进行关键配置,即AV相关策略。还可以根据虚墙IP地址登录虚墙的web界面进行完整管理。

流量模型:和防火墙完全一致,即外网用户通过租户虚墙时做AV防护,再访问内网服务器, 回程流量也要经过租户虚墙。

2.3.4           负载均衡

部署方式:物理LB旁挂在核心交换机上,它可以虚拟化出一个个独立的虚LB,每租户独占一个虚LB。租户有LB需求时,可在安全云上创建LB,绑定租户的虚拟路由器,并配置虚服务/监听器/实服务等,安全云会调用VCFC创建虚LB,虚LB的上下行网络自动部署。

管理方式:安全云的LB页面可以进行关键配置,即虚服务/监听器/实服务等。还可以根据虚LBIP地址登录虚LBweb界面进行完整管理。

流量模型:外网流量先经过租户防火墙,再经过租户LB,最后访问内网服务器;回程流量先回到租户LB,再回到租户防火墙出去。

2.3.5           IPSEC VPN

部署方式:IPSEC VPN功能是集成在物理防火墙上的。所以IPSEC和防火墙一样,每租户独占一个IPSEC服务。租户有IPSEC需求时,可在安全云上申请IPSEC服务,绑定该租户的虚拟路由器(对应该租户的虚墙),并设置IPSEC策略/IKE策略/VPN服务/IPSEC站点连接等。则安全云会调用VCFC在对应虚墙上下发IPSEC相关配置。

管理方式:安全云的IPSEC页面可以进行关键配置,即IPSEC策略/IKE策略/VPN服务/IPSEC站点连接等。还可以登录虚墙的web界面进行完整管理。

流量模型:用户侧IPSEC网关和租户侧IPSEC网关建立隧道(租户墙网关地址需要映射成公网地址),则外网流量在用户侧网关上封装IPSEC隧道,经公网到达租户侧网关,再根据内层私网IP地址路由,到达业务服务器,回程流量类似。

2.3.6           SSL VPN

部署方式:SSL VPN功能是集成在物理防火墙上的。所以SSL和防火墙一样,每租户独占一个SSL服务。租户有SSL需求时,可在安全云上申请SSL服务,绑定该租户的虚拟路由器(对应该租户的虚墙),并设置网关/地址池/IP资源等。则安全云会调用VCFC在对应虚墙上下发SSL相关配置。

管理方式:安全云的SSL页面可以进行关键配置,即网关/地址池/IP资源等。还可以登录虚墙的web界面进行完整管理。

流量模型:移动SSL客户端通过拨号,和租户侧SSL网关建立隧道(租户墙网关地址需要映射成公网地址),则外网流量在客户端上封装SSL隧道,经公网到达租户侧网关,再根据内层私网IP地址路由,到达业务服务器,回程流量类似。

2.4     新华三安全云服务 | 硬件设备及服务器形态产品

新华三安全云服务,硬件设备及服务器形态的产品,主要包含以下5种:

3 硬件设备及服务器形态产品

2.4.1           DDOS防护

部署方式:DDOS防护是硬件安全设备,旁挂在出口路由器上,被安全云纳管,所有租户共享DDOS防护设备。租户有DDOS防护需求时,可在安全云上新建DDOS防护,配置防护IP,则安全云会在DDOS设备上下发配置。

管理方式:安全云的DDOS页面可以进行关键配置,即防护IP。还可以根据DDOS设备地址登录web界面进行完整管理。

流量模型:访问被防护IP的流量会被强制引流到DDOS设备(通过OSPF/BGP的主机路由),清洗完之后的干净流量再回注到网络中,到达业务服务器,返程流量不需要经过DDOS设备。

2.4.2           应用监控

部署方式:应用监控是软件产品,安装在物理服务器上,位于运维管理区,被安全云纳管,所有租户共享。租户有应用监控需求时,可在安全云上新建应用监控服务,配置需要监控的业务虚机地址,则安全云会给应用监控服务器下发相应配置。

管理方式:安全云的应用监控页面可以进行关键配置,即配置监控地址。还可以根据应用监控服务器的地址登录web界面进行完整管理。

流量模型:应用监控服务器位于管理区,需要和所有租户的网络互通,可以在核心交换机上划分多个平面,即租户1VRF、租户2VRF、管理VRF等,租户VRF和管理VRF互通,经过管理防火墙做防护。

2.4.3           漏洞扫描

部署方式:漏扫是硬件安全设备,位于运维管理区,被安全云和态势感知平台纳管,所有租户共享。租户有漏扫需求时,可在安全云上新建漏扫服务,配置需要漏扫的业务虚机地址,则安全云会给漏扫设备下发相应配置。

管理方式:安全云的漏扫页面可以进行关键配置,即配置漏扫任务的扫描地址。还可以根据漏扫设备的地址登录web界面进行完整管理。

流量模型:漏扫设备位于管理区,需要和所有租户的网络互通,可以在核心交换机上划分多个平面,即租户1VRF、租户2VRF、管理VRF等,租户VRF和管理VRF互通,经过管理防火墙做防护。

2.4.4           态势感知

部署方式:态势感知是软件产品,安装在物理服务器上,位于运维管理区,被安全云纳管,所有租户共享。租户有态势感知需求时,可在安全云上申请态势感知服务,创建完毕之后可以单点登录态势感知平台,查看大屏页面。

管理方式:租户管理员在安全云界面上,可以单点登录到态势感知平台,进行展示和管理。

流量模型:态势感知服务器位于管理区,通过接收FW/IPS/AV/DDOS等日志,实现威胁攻击态势感知。还可以接收镜像流量进行分析,实现流量态势感知。所以态势感知平台需要和安全设备管理网互通(可通过带外管理网)。

2.4.5           主机安全加固

部署方式:主机安全加固即终端安全管理系统,包括控制中心软件和客户端软件。控制中心软件安装在主机加固服务器上,位于管理区,客户端软件安装在业务虚拟机上。控制中心被安全云纳管,所有租户共享。租户有主机加固需求时,可在安全云上添加业务虚机,则安全云会给控制中心下发防病毒配置。

管理方式:安全云的应用监控页面可以进行关键配置,即添加防病毒主机。还可以根据主机加固服务器的地址登录web界面进行完整管理。

流量模型:主机加固服务器位于管理区,需要和所有租户的网络互通,可以在核心交换机上划分多个平面,即租户1VRF、租户2VRF、管理VRF等,租户VRF和管理VRF互通,经过管理防火墙做防护。

2.5     新华三安全云服务 | NFV形态产品

新华三安全云服务,NFV形态的产品,主要包含以下4种:

4 NFV形态产品

2.5.1           WEB应用防护

部署方式:WAFNFV形态,通过虚机模板,在资源池中以虚机的形式呈现。vWAF有两张网卡,业务网卡属于租户网络,管理网卡属于管理网络,每租户独占一个vWAF。租户有WAF需求时,可在安全云上创建WAF,绑定租户子网,则安全云会调用CAS创建一个vWAF虚机。

管理方式:安全云的WAF页面可以进行关键配置,即防护设置。还可以根据vWAF地址登录web界面进行完整管理。

流量模型:管理流量:vWAF通过管理网卡和安全云互通,以完成授权。业务流量:vWAF使用反向代理模式并开启SNAT,使得外网访问web服务器的流量,先经过vWAF再到达web服务器,回程也必须经过vWAF

2.5.2           运维审计

部署方式:运维审计是NFV形态,通过虚机模板,在资源池中以虚机的形式呈现。它有两张网卡,业务网卡属于租户网络,管理网卡属于管理网络,每租户独占一个运维审计。租户有运维审计需求时,可在安全云上创建,绑定租户子网,则安全云会调用CAS创建一个运维审计虚机。

管理方式:租户管理员在安全云界面上,可以单点登录到运维审计平台,进行相关配置。

流量模型:运维审计虚机的授权流量走管理网卡,和安全云互通;位于外网的租户管理员想要管理业务虚机,需要先登录到堡垒机(堡垒机机做公网映射,或者配合SSLVPN使用),再从堡垒机登到业务虚机。注意业务虚机对外提供服务时,业务流量不会经过堡垒机,因为业务虚机会直接做公网映射。

2.5.3           日志审计

部署方式:日志审计是NFV形态,通过虚机模板,在资源池中以虚机的形式呈现。它有两张网卡,业务网卡属于租户网络,管理网卡属于管理网络,每租户独占一个日志审计。租户有日志审计需求时,可在安全云上创建,绑定租户子网,则安全云会调用CAS创建一个日志审计虚机。

管理方式:租户管理员在安全云界面上,可以单点登录到日志审计平台,进行相关配置。

流量模型:管理流量:日志审计虚机通过管理网卡与安全云互通,以完成授权。业务流量:业务虚机上需要安装agent,日志审计虚机通过业务网卡与其互通。

2.5.4           数据库审计

部署方式:数据库审计是NFV形态,通过虚机模板,在资源池中以虚机的形式呈现。它有两张网卡,业务网卡属于租户网络,管理网卡属于管理网络,每租户独占一个数据库审计。租户有数据库审计需求时,可在安全云上创建,绑定租户子网,则安全云会调用CAS创建一个数据库审计虚机。

管理方式:租户管理员在安全云界面上,可以单点登录到数据库审计平台,进行相关配置。

流量模型:管理流量:日志审计虚机通过管理网卡与安全云互通,以完成授权。业务流量:数据库服务器上需要安装agent,数据库审计虚机通过业务网卡与其互通。

3       第三方安全云方案在SDN中的应用

3.1     LM友商安全云方案

LM友商安全云方案大体可分为三个区域:平台区域、公共VPC区域、租户VPC区域。

5 LM友商安全云方案

Ÿ   区域一:平台区域。分为安全云平台和安全资源池两部分。1、安全云平台是三台物理服务器做K8S集群,主要作用是集中管理和授权。2、安全资源池是两台服务器做HA,承载WAF/漏扫等安全虚机,其中WAF有两个网卡,管理网卡用于和安全云通信,业务网卡负责接收从核心交换机上引过来的特定web流量,进行防护之后再送回到核心上。漏扫只有一个管理网卡,用于和安全云平台通信、和待扫描的业务虚机互通(管理和业务通过管理防火墙实现租管互通)。

Ÿ   区域二:公共VPC区域。公共VPC区域内都是虚机形态的安全产品,包括日志审计、金山杀毒服务端、EDR服务端,这些虚机都只有一个业务网卡。日志审计需要和安全云平台、所有租户虚机(安装agent)、网络设备(发送syslog)通信,金山杀毒服务端和EDR服务端都需要和安全云平台、所有租户虚机互通。

Ÿ   区域三:租户VPC区域。租户VPC区域内都是NFV虚机形式的安全设备,包括SSL VPN、堡垒机、数据库审计。它们直接使用租户VPC的网络,需要和安全云互通,以完成管理和授权。

3.2     LM友商安全云和SDN对接细节

LM友商安全云和SDN对接细节主要包括以下几点:

Ÿ   资源池中WAF的引流实现:根据租户的Web防护需求,在核心交换机的上行口配置PBR,将访问特定we b服务器的流量引到WAF;在核心交换机的下行口配置PBR,将Web服务器的回程流量引到WAF。这个过程是自动化的,安全云平台通过NETCONF纳管核心交换机,实现PBR中的ACL rule按需下发。注意核心交换机的上下行口都必须在租户范畴以外,即在租户墙以外,因为核心的租户内侧上下行口已经被SDN控制器下发了LB的引流配置,两者会冲突。

Ÿ   公共VPC的通信需求和实现:因为公共VPC没有和外网互通需求,只需要和管理网、所有租户网络互通。所以在云上创建公共VPC之后,不需要为其分配租户墙,所有跨平面访问的流量都经过管理防火墙做防护。

Ÿ   SSLVPN虚机的特殊要求:一般安全云方案的SSLVPN都是IP接入方式,所以要求SSLVPN支持SNAT,即将报文发给业务虚机时,源地址转换为SSLVPN的网卡地址,否则回程流量无法回到SSLVPN

Ÿ   租管互通的局限性:因为管理网和所有租户网络互通,都是直接通过管理防火墙互通,并没有经过租户墙做NAT转换,所以不支持租户IP地址重叠。

3.3     LM友商安全云方案流量模型 | 平台管理

LM友商安全云方案中,平台管理的流量模型如图6所示。

6 平台管理的流量模型

Ÿ   云平台管理方式:客户采取互联网远程登录的方式,进行云平台、安全云平台的管理。首先在出口防火墙做SSLVPN,客户拨入VPN之后,登上堡垒机,对云平台、安全云平台进行管理。也可以单独部署一个跳板机,被堡垒机纳管,用于登录云平台、安全云平台后台和Web界面。

Ÿ   平台管理流量模型:远程用户通过SSLVPN拨入,流量到达出口防火墙,解开外层SSLVPN公网隧道封装,根据内层私网地址路由,经过核心交换机到达管理防火墙做防护,再到达堡垒机。所有对云平台的管理都在堡垒机上操作(或者在被垒机纳管的跳板机)。

3.4     LM友商安全云方案流量模型 | 租户管理

LM友商安全云方案中,租户管理的流量模型如图7所示。

7 租户管理的流量模型

Ÿ   前提条件:租户已经通过平台管理的方式,在云平台上部署了租户VPC和租户业务虚机,在安全云平台上创建了SSLVPN和堡垒机服务,并在租户墙为租户SSLVPN做了公网地址映射。则租户管理员管理本租户内的业务虚机时可以拨入自己的租户SSLVPN,登上租户堡垒机,再进行管理。

Ÿ   租户管理流量模型:远程租户管理员流量,经过出口墙防护,租户墙做DNAT,到达租户SSLVPN虚机,解开SSLVPN外层隧道封装,根据内层私网路由,到达堡垒机。所有对业务虚机的管理都统一在堡垒机上操作(或者被堡垒机纳管的跳板机)。如果需要从运维终端上传程序文件到业务虚机,可以利用堡垒机的FTP代理功能,实现数据文件的摆渡。

3.5     LM友商安全云方案流量模型 | 业务访问

LM友商安全云方案中,业务访问的流量模型如图8所示。

8 业务访问的流量模型

Ÿ   前提条件:1、租户已经通过租户管理的方式,将业务虚机上的程序部署完毕,并在云平台上为该业务虚机分配公网IP地址,即在租户墙上做公网端口映射。2、前面租户管理的流量模型,是指租户管理员对业务虚机的管理流量走向,而业务虚机对外提供业务的业务流量走向,是不需要经过SSLVPN和堡垒机等管理设备的。3、以对外提供服务的Web业务虚机为例,租户管理员已为该虚机申请了WAF安全防护,则核心交换机的上下行口PBRACL规则中就自动添加了该虚机的IP地址,实现VWAF的自动化引流。

Ÿ   业务访问流量模型:业务流量经过出口墙做安全防护,到达核心交换机的上行口,根据PBR将流量引至vWAFvWAF处理完毕之后,回流到核心交换机,再转发到租户防火墙进行DNAT转换,经过租户LB进行负载分担,将流量转发至特定的Web业务虚机。回程流量按原路返回。

感谢您对本刊物的关注,如果您在阅读时有何感想,请点击反馈。
新华三官网
联系我们