運營商

OPERATOR

首頁 > 客戶案例 > 正文

中國聯(lián)通新疆分公司項目案例

閱讀量：

項目背景

隨著越來越多的用戶將傳統(tǒng)的業(yè)務系統(tǒng)遷移至云計算環(huán)境中，云安全面臨的挑戰(zhàn)也更加嚴峻，傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在，如SQL注入、內部越權、數(shù)據泄露、數(shù)據篡改、網頁篡改、漏洞攻擊等，而云環(huán)境下又不斷涌現(xiàn)一堆新的安全問題，如云安全邊界的劃分和防護、云安全防護系統(tǒng)的選擇和部署、云安全檢測、安全防御、云安全審計等。同時，云計算環(huán)境下的資源按需分配、彈性擴容、資源集中化等新型技術形態(tài)也給云安全技術帶來挑戰(zhàn)和技術革新。

項目內容
● 云安全總體業(yè)務架構設計
根據新疆聯(lián)通醫(yī)療云的現(xiàn)有業(yè)務特點以及其相關云安全防護需求，安恒信息提出了基于軟件定義安全（SDS）的天池云安全解決方案，該方案與新疆聯(lián)通醫(yī)療云現(xiàn)有的云環(huán)境進行適配集成，以實現(xiàn)云計算環(huán)境中的安全防護。
本方案采用軟件定義安全（SDS）的架構，其原理是通過將安全數(shù)據與控制平面的分離，對物理及虛擬的網絡安全設備與其接入模式、部署方式、實現(xiàn)功能進行解耦，底層抽象為云安全資源池里的資源，頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的業(yè)務編排和管理，以完成相應的安全功能，從而實現(xiàn)一種靈活的安全防護。云安全資源池業(yè)務架構如下圖所示∶

整體業(yè)務設計架構說明∶

● 云租戶登陸云管理平臺按需申請云安全防護能力，如云堡壘機、云Web應用防火墻等

● 云平臺安全管理員審核需求和服務訂單

● 根據云租戶申請的云安全產品類型，云管理平臺通過調用云安全管理平臺的API接口，自動的創(chuàng)建對應的云安全能力

● 云租戶通過單點登錄到云安全管理平臺將安全策略下發(fā)到各云安全產品

● 云安全管理平臺通過調用云管理平臺提供的SDN API接口，將租戶業(yè)務流量的南北向流量按需的引入到云安全資源池內，經過下一代云防火墻系統(tǒng)和云Web應用防火墻的清洗

●?云平臺管理員通過云安全管理平臺的平臺視角看到整個云平臺的安全狀態(tài)、云安全虛擬機的健康狀態(tài)、系統(tǒng)和安全事件的監(jiān)控情況等

● 云租戶安全管理員通過云安全管理平臺的租戶視角看到自己虛擬網絡的安全狀態(tài)，比如安全事件、安全日志，并且可以按照業(yè)務安全的需求自定義安全規(guī)則

● 云安全資源池網絡模型架構設計
增加了天池云安全資源池后，vm網絡通信流程如上圖所示，分為網關型安全服務（如云防火墻）和非網關型安全服務（如云堡壘機）兩大類安全服務∶
一● 網關型安全服務的網絡通信流程
云租戶申請EIP時，天池云安全資源池與SDN控制器進行協(xié)商，雙方均自動建立好VLAN100與ylan200的網絡，同時SDN控制器將VLAN100對接到某一個VXLAN網絡里面比如 VXLAN 10000，同時將VXLAN IF 10000的接口也綁定到vRouter1上
同時天池云安全管理平臺通過API讓安全資源池創(chuàng)建VLAN100與VLAN200的網絡，并自動生成一個vFW將vFW的trust接口橋接到VLAN100上， untrust接口橋接到VLAN200 上。，同時預留的ip地址配置到云核心，交換機的 VLAN100 VLAN200接口以及云防火墻的trust和untrust接口上。將EIP發(fā)下給云防火墻，并完成SNAT、安全策略的默認配置

后通過vFW的untrust接口轉發(fā)到vRouterpublic上，最后通過vRouter public的underlay的路由將數(shù)據轉發(fā)出云外了。

從云外到云內的流量轉發(fā)模型正好相反，需要調用SDN API 將目的IP為EIP的路由下一跳指向云防火墻的untrust
一● 非網關型安全服務的網絡通信流程
云租戶申請堡壘機，天池云安全資源池與SDN控制器進行協(xié)商，雙方均自動建立好VLAN100的網絡，同時SDN控制器將VLAN100對接到某—個VXLAN網絡里面比如 VXLAN 10000，同時將VXLAN IF 10000的接口也綁定到 vRouter1上
同時天池云安全管理平臺通過API讓DASONE創(chuàng)建VLAN100的網絡，并自動生成一個堡壘機橋接到VLAN100的網絡上。這樣云堡壘機通過VLAN100就完成了與租戶VLAN10和VLAN 20的網絡通信

項目價值

云計算作為一種新興的計算資源利用方式，正處在飛速發(fā)展的階段。云計算的服務商通過對硬件資源的虛擬化，將基礎IT資源變成了可以自由調度的資源池，從而實現(xiàn)資源的按需分配，向客戶提供按使用付費的云計算服務。用戶可以根據業(yè)務的需要動態(tài)調整所需的資源，而云服務商也可以提高自己的資源使用效率，降低服務成本，通過多種不同類型的服務方式為用戶提供計算、存儲和數(shù)據業(yè)務的支持。

云安全>

態(tài)勢感知>

物聯(lián)網安全>

工業(yè)互聯(lián)網安全>

新型智慧城市>

>

新一代安全服務>

偵測服務>

保護檢測服務>

監(jiān)控分析服務>

應急服務>

運營管理服務>

特色服務>

安全管理>

數(shù)據安全>

網絡安全>

應用安全>

端點安全>

>

商用密碼>