如何打造私有云安全？太一星晨新一代融合安全网关独辟蹊径

随着虚拟化、云计算等新兴IT技术的广泛应用，越来越多基于虚拟化、云计算技术的云数据中心为提高企业资源利用率、降低运营成本提供了切实有效的帮助。但是，伴随着云数据中心大二层的部署、虚拟机迁移等问题，传统安全产品在云计算环境中的部署成为需要解决的问题。

新技术的应用，总是伴随着新的安全挑战

• 安全设备与OpenStack等云管理平台的配置问题

1.Openstack所包含的防火墙即服务定义，是基于IP Tables的软件防火墙，其性能、功能、可靠性、可维护性等均存在不足；

2.OpenStack对数据安全的定义并不完整，这就意味着传统网络安全设备无法通过OpenStack来进行配置和管理。

• 传统网络设备与Vxlan、SDN等网络通讯问题

云数据中心虚拟化、多租户的要求，使的Vxlan等二层网络技术大行其道，而SDN技术更是对传统网络安全产品在云环境下的部署，提出了严峻挑战。

一方面是Openstack云环境中对各种安全的迫切需求，另一方面是传统安全设备“望云却步”。

传统网络将逐渐退隐江湖，虚拟云何以为继？

为了在迅猛发展的新业务环境中破解各种安全挑战，太一星晨于近期推出了MSG多业务融合安全网关。它创新性的采用更适合处理七层业务的X86板卡，使其更适用于传统大中型网络边界、云数据中心、SDN及其他新业务环境。

T-Force MSG多业务融合安全网关现了多种安全网元的资源提供、聚合管理、统一调度及统一监控。tAPI则通过与云计算中心其他核心组件的有机互动，实现了整个云平台的自动化管理、统一配置和统一监控。

云数据中心防火墙解决方案

当只需要防火墙需求时：

太一星晨的防火墙方案可直接在OpenStack的标准环境中使用，替换云数据中心原有的防火墙功能。太一星晨的T-Force MSG多业务融合安全网关统一实现了OpenStack定义的vRouter和FWaas功能。

通过T-Force MSG多业务融合安全网关的防火墙功能实现对用户网络互通，同时实现丰富的防火墙特性。租户可以对自己的虚拟防火墙进行业务管理，在T-Force MSG上创建的虚拟防火墙并支持对NAT、访问控制、拒绝服务攻击防护、会话限制等网络安全特性。

云数据中心安全资源池解决方案

太一星晨MSG多业务融合安全网关融合虚拟化技术、自定义服务链以及通过对OpenStack平台的驱动增强扩展，可以满足云数据中心更丰富的安全需求。

●基于Hypervisor虚拟化的部署模式

基于hypervisor虚拟化的部署模式，任意安全产品只要支持KVM虚拟化，都可以以虚拟网元的形式运行在太一星晨的MSG中，实现各种网元模块资源灵活扩展。

●基于自定义服务链的部署模式

在T-Force MSG多业务融合安全网关中，管理员可以通过指定服务链的策略和编排，使流量通过MSG背板的高性能交换矩阵来实现流量的精细化分流，极大的提升了整个业务链的处理效率，精确度和可靠性。

MSG智能业务链编排

●增强的OpenStack安全驱动扩展

OpenStack只定义了FWaaS　Driver，其他网络安全产品无法通过云管理平台管理。太一星晨MSG平台上，通过增强对FWaaS Driver的扩展，完成对其他安全产品的定制化需求，而IPS和WAF等安全资源也将作为FWaaS的增强特性实现

●与云平台网络侧的部署

在SDN模式下，太一星晨MSG以TRUNK模式与VXLAN网关相连，并通过VXLAN网关连接到核心交换上。

方案优势

太一星晨MSG多业务融合网关产品融合NGFW、WAF、IPS等专业网元，实现了云数据中心业务安全、快速的交付。

与其他方案相比，该方案优势在于：

• 解决了云数据中心四~七层安全产品的部署问题，实现与OpenStack、SDN的配置与通讯；
• 基于hypervisor虚拟化的部署模式，实现各种安全业务模块资源灵活扩展，开放性的将友商的安全产品融入云数据中心解决方案，给用户更灵活的选择；
• 采用分布式架构，通过板卡扩展模式，实现整机性能灵活扩展；
• Intel x86处理器，实现四~七层业务的高性能处理；
• 通过对虚拟网元的监控、自定义服务链的编排，确保当网元异常时，可自动绕过或切换到备份网元，确保业务的连续性。