近日,基于启明星辰云海安全专有云系统(以下简称:Vetrix)的云安全资源池解决方案,已完成在联通的实施。至此,Vetrix方案已实现在移动、电信、联通三大运营商的实践落地。
用户面临的挑战
近年来,运营商业务面临前所未有的挑战:传统电信业务已难以支撑利润增长;市场空间面临微信、Skype等OTT业务的蚕食;国家层面又有提速降费的政策倾向。面对挑战,运营商从开源和节流两方面寻求突破。
云计算业务的发展,虚拟化技术的普及,使得IT资源的使用效率显著提升。三大电信运营商发挥自身资源和技术优势,纷纷推出云计算服务,并将云计算业务作为重要的利润增长点。同时,运营商内部业务迁移到私有云上,实现了IT资源使用效率和运维效率的提升。作为云计算服务的提供者和使用者,运营商对云计算有着更为深刻的理解。
不论是对公众提供服务的公有云,或是服务自身的私有云,运营商均面临安全防护的挑战。传统的安全防护手段多用于对云平台本身的防护。而在用户侧针对东西向流量的安全,运营商对技术的选择较为慎重。运营商之所以最终选择安全资源池方案,是什么原因呢?
是强耦合还是弱耦合 符合业务需求最重要
现有的云安全技术路线有多种类型,按照安全组件对云平台的依赖程度可以分为强耦合和弱耦合方案。强耦合类方案,如:无代理方案,是基于云平台提供的API接口方式获取东西向流量并进行防护;再如:轻代理方案,需要在虚机上安装插件。强耦合的安全方案对云平台有较强的依赖。弱耦合方案如:安全资源池方案或安全虚机方案,是通过对东西向流量引流进行防护。弱耦合方案对云平台依赖程度较弱。强耦合与弱耦合方案都有各自的技术优势。
但是,从市场角度来进行分析:强耦合的方案更有可能形成对用户的技术绑架。
同时,用户面临云平台厂商安全战略调整的风险,有可能对用户业务造成较强的冲击。在这方面,运营商用户讲述了这样的经历:某云平台厂商,在早期以虚拟化平台为主打产品,其平台中虚拟化网络部分功能较弱,于是他们引入了很多网络厂商作为合作伙伴。经过云平台与虚拟网络设备适配,在各方面“Ready”之后,云平台及网络的厂商共同推出了强耦合的平台+网络的整体方案,并共同拓展云计算市场。
后来,云平台厂商收购了一家网络公司,推出了自己的软件定义网络方案。在自身网络方案逐渐成熟之后,云平台厂商做出了战略调整,停止了对合作伙伴网络产品的支持,将网络厂商逐出自己的平台。而运营商用户成为商业战场的受害者,需要着手对虚拟网络产品进行切换。方案的调整对云租户的和运营商自身的业务都造成了较大的冲击。
现在,云平台厂商又与各安全厂商合作,推出了平台+安全的强耦合解决方案。作为合作伙伴,安全厂商也乐于与云平台厂商共同推广。而强耦合形态安全方案的市场一旦发育成熟,云平台厂商在自身业绩增长要求的压力之下,很有可能再度进行战略调整。如同替换虚拟网络方案一样,用户可能面临被动替换安全方案的风险。
符合运营商云建设思路的解决方案
面对市场的不确定性,并且从云业务的长期发展的角度考虑,运营商提出了自己的云建设思路:将云的各部分组件解耦,将云的虚拟化平台、网络、控制器和安全分别作为云的组成部分,各部分组件分别由各领域的专业厂商提供。在保证各组件专业性的同时,避免了用户“把鸡蛋放到一个篮子里”的风险。运营商根据自身需求,提出对各组件的标准要求和对各组件之间通讯的接口标准要求。安全作为云的关键组成部分,承担着对云的防护、检测和监督的重要作用,理应由专业安全厂商提供技术方案。
基于以上分析,安全资源池方案与运营商的云计算技术发展思路更为契合。
通过实践,启明星辰Vetrix方案与运营商的VMware和Openstack架构云平台均实现对接。Vetrix云安全资源池方案架构如下图所示:
方案采用了Vetrix全部组件:虚拟安全资源池、智慧流平台(SDS)和云导流平台(VTAP)构成。整体方案是在云外独立部署安全资源池,在云内部署的云导流平台结合流转发平台,实现对东西向流量的采集和导出。东西流量经过流转发平台的编排交付给虚拟化安全资源池。在安全资源池内部署各类检测引擎,对流量进行分析。
来自用户的声音
Vetrix方案在三大运营商的实施和应用中,用户提出了自己的看法:
“安全资源池方案,实现了安全的独立性。整体来看:安全资源池方案实现了将安全能力抽象,并可动态扩展。通过对安全业务的编排,可动态适应业务场景。基于安全资源池构建了软件定义安全的基本架构。软件定义安全三个部分:软件定义威胁模型、软件定义资源、软件定义流量基本形成” 移动用户说到。
虚拟化环境下安全的重点在于实现安全的可视化。电信用户认为整体方案中,通过将云内流量导出,极大的扩展了分析空间。引入安全资源池,交付给多种类型的安全引擎进行分析。各类引擎实现了网络中基于流、包和事件等多个维度的可视。丰富的引擎类型为上层业务分析提供了多维度的基础数据。另外,通过对东西向流量的分析,实现了对可能造成数据泄露的主要路径的监控。
联通用户表示,在虚拟化环境下的安全方案有多种类型,都有各自的特点。实际上,安全能力都需要与云平台契合才能适应云业务发展的需求。采用了基于Openstack架构的云平台与Vetrix资源池在融合的过程中,双方做了深度的整合,经过合理的适配和取舍,最终为云平台提供了贴合业务的安全能力。
结语
安全资源池的落地,是三大运营商与启明星辰在云安全领域共同探索的重要成果,这些成果在未来将越来越多的体现其价值,Vetrix方案也将服务于更多的用户。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面