運(yùn)營商

OPERATOR

首頁 > 客戶案例 > 正文

中國聯(lián)通新疆分公司項(xiàng)目案例

閱讀量：

項(xiàng)目背景

隨著越來越多的用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至云計(jì)算環(huán)境中，云安全面臨的挑戰(zhàn)也更加嚴(yán)峻，傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在，如SQL注入、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)頁篡改、漏洞攻擊等，而云環(huán)境下又不斷涌現(xiàn)一堆新的安全問題，如云安全邊界的劃分和防護(hù)、云安全防護(hù)系統(tǒng)的選擇和部署、云安全檢測、安全防御、云安全審計(jì)等。同時，云計(jì)算環(huán)境下的資源按需分配、彈性擴(kuò)容、資源集中化等新型技術(shù)形態(tài)也給云安全技術(shù)帶來挑戰(zhàn)和技術(shù)革新。

項(xiàng)目內(nèi)容
● 云安全總體業(yè)務(wù)架構(gòu)設(shè)計(jì)
根據(jù)新疆聯(lián)通醫(yī)療云的現(xiàn)有業(yè)務(wù)特點(diǎn)以及其相關(guān)云安全防護(hù)需求，安恒信息提出了基于軟件定義安全（SDS）的天池云安全解決方案，該方案與新疆聯(lián)通醫(yī)療云現(xiàn)有的云環(huán)境進(jìn)行適配集成，以實(shí)現(xiàn)云計(jì)算環(huán)境中的安全防護(hù)。
本方案采用軟件定義安全（SDS）的架構(gòu)，其原理是通過將安全數(shù)據(jù)與控制平面的分離，對物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行解耦，底層抽象為云安全資源池里的資源，頂層統(tǒng)一通過軟件編程的方式進(jìn)行智能化、自動化的業(yè)務(wù)編排和管理，以完成相應(yīng)的安全功能，從而實(shí)現(xiàn)一種靈活的安全防護(hù)。云安全資源池業(yè)務(wù)架構(gòu)如下圖所示∶

整體業(yè)務(wù)設(shè)計(jì)架構(gòu)說明∶

● 云租戶登陸云管理平臺按需申請?jiān)瓢踩雷o(hù)能力，如云堡壘機(jī)、云Web應(yīng)用防火墻等

● 云平臺安全管理員審核需求和服務(wù)訂單

● 根據(jù)云租戶申請的云安全產(chǎn)品類型，云管理平臺通過調(diào)用云安全管理平臺的API接口，自動的創(chuàng)建對應(yīng)的云安全能力

● 云租戶通過單點(diǎn)登錄到云安全管理平臺將安全策略下發(fā)到各云安全產(chǎn)品

● 云安全管理平臺通過調(diào)用云管理平臺提供的SDN API接口，將租戶業(yè)務(wù)流量的南北向流量按需的引入到云安全資源池內(nèi)，經(jīng)過下一代云防火墻系統(tǒng)和云Web應(yīng)用防火墻的清洗

●?云平臺管理員通過云安全管理平臺的平臺視角看到整個云平臺的安全狀態(tài)、云安全虛擬機(jī)的健康狀態(tài)、系統(tǒng)和安全事件的監(jiān)控情況等

● 云租戶安全管理員通過云安全管理平臺的租戶視角看到自己虛擬網(wǎng)絡(luò)的安全狀態(tài)，比如安全事件、安全日志，并且可以按照業(yè)務(wù)安全的需求自定義安全規(guī)則

● 云安全資源池網(wǎng)絡(luò)模型架構(gòu)設(shè)計(jì)
增加了天池云安全資源池后，vm網(wǎng)絡(luò)通信流程如上圖所示，分為網(wǎng)關(guān)型安全服務(wù)（如云防火墻）和非網(wǎng)關(guān)型安全服務(wù)（如云堡壘機(jī)）兩大類安全服務(wù)∶
一● 網(wǎng)關(guān)型安全服務(wù)的網(wǎng)絡(luò)通信流程
云租戶申請EIP時，天池云安全資源池與SDN控制器進(jìn)行協(xié)商，雙方均自動建立好VLAN100與ylan200的網(wǎng)絡(luò)，同時SDN控制器將VLAN100對接到某一個VXLAN網(wǎng)絡(luò)里面比如 VXLAN 10000，同時將VXLAN IF 10000的接口也綁定到vRouter1上
同時天池云安全管理平臺通過API讓安全資源池創(chuàng)建VLAN100與VLAN200的網(wǎng)絡(luò)，并自動生成一個vFW將vFW的trust接口橋接到VLAN100上， untrust接口橋接到VLAN200 上。，同時預(yù)留的ip地址配置到云核心，交換機(jī)的 VLAN100 VLAN200接口以及云防火墻的trust和untrust接口上。將EIP發(fā)下給云防火墻，并完成SNAT、安全策略的默認(rèn)配置

后通過vFW的untrust接口轉(zhuǎn)發(fā)到vRouterpublic上，最后通過vRouter public的underlay的路由將數(shù)據(jù)轉(zhuǎn)發(fā)出云外了。

從云外到云內(nèi)的流量轉(zhuǎn)發(fā)模型正好相反，需要調(diào)用SDN API 將目的IP為EIP的路由下一跳指向云防火墻的untrust
一● 非網(wǎng)關(guān)型安全服務(wù)的網(wǎng)絡(luò)通信流程
云租戶申請堡壘機(jī)，天池云安全資源池與SDN控制器進(jìn)行協(xié)商，雙方均自動建立好VLAN100的網(wǎng)絡(luò)，同時SDN控制器將VLAN100對接到某—個VXLAN網(wǎng)絡(luò)里面比如 VXLAN 10000，同時將VXLAN IF 10000的接口也綁定到 vRouter1上
同時天池云安全管理平臺通過API讓DASONE創(chuàng)建VLAN100的網(wǎng)絡(luò)，并自動生成一個堡壘機(jī)橋接到VLAN100的網(wǎng)絡(luò)上。這樣云堡壘機(jī)通過VLAN100就完成了與租戶VLAN10和VLAN 20的網(wǎng)絡(luò)通信

項(xiàng)目價值

云計(jì)算作為一種新興的計(jì)算資源利用方式，正處在飛速發(fā)展的階段。云計(jì)算的服務(wù)商通過對硬件資源的虛擬化，將基礎(chǔ)IT資源變成了可以自由調(diào)度的資源池，從而實(shí)現(xiàn)資源的按需分配，向客戶提供按使用付費(fèi)的云計(jì)算服務(wù)。用戶可以根據(jù)業(yè)務(wù)的需要動態(tài)調(diào)整所需的資源，而云服務(wù)商也可以提高自己的資源使用效率，降低服務(wù)成本，通過多種不同類型的服務(wù)方式為用戶提供計(jì)算、存儲和數(shù)據(jù)業(yè)務(wù)的支持。

云安全>

態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務(wù)>

偵測服務(wù)>

保護(hù)檢測服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營管理服務(wù)>

特色服務(wù)>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡(luò)安全>

應(yīng)用安全>

端點(diǎn)安全>

>

商用密碼>