启明星辰云安全方案落地三大运营商

近日，基于启明星辰云海安全专有云系统(以下简称:Vetrix)的云安全资源池解决方案，已完成在联通的实施。至此，Vetrix方案已实现在移动、电信、联通三大运营商的实践落地。

用户面临的挑战

近年来，运营商业务面临前所未有的挑战：传统电信业务已难以支撑利润增长;市场空间面临微信、Skype等OTT业务的蚕食;国家层面又有提速降费的政策倾向。面对挑战，运营商从开源和节流两方面寻求突破。

云计算业务的发展，虚拟化技术的普及，使得IT资源的使用效率显著提升。三大电信运营商发挥自身资源和技术优势，纷纷推出云计算服务，并将云计算业务作为重要的利润增长点。同时，运营商内部业务迁移到私有云上，实现了IT资源使用效率和运维效率的提升。作为云计算服务的提供者和使用者，运营商对云计算有着更为深刻的理解。

不论是对公众提供服务的公有云，或是服务自身的私有云，运营商均面临安全防护的挑战。传统的安全防护手段多用于对云平台本身的防护。而在用户侧针对东西向流量的安全，运营商对技术的选择较为慎重。运营商之所以最终选择安全资源池方案，是什么原因呢?

是强耦合还是弱耦合 符合业务需求最重要

现有的云安全技术路线有多种类型，按照安全组件对云平台的依赖程度可以分为强耦合和弱耦合方案。强耦合类方案，如：无代理方案，是基于云平台提供的API接口方式获取东西向流量并进行防护;再如：轻代理方案，需要在虚机上安装插件。强耦合的安全方案对云平台有较强的依赖。弱耦合方案如：安全资源池方案或安全虚机方案，是通过对东西向流量引流进行防护。弱耦合方案对云平台依赖程度较弱。强耦合与弱耦合方案都有各自的技术优势。

但是，从市场角度来进行分析：强耦合的方案更有可能形成对用户的技术绑架。

同时，用户面临云平台厂商安全战略调整的风险，有可能对用户业务造成较强的冲击。在这方面，运营商用户讲述了这样的经历：某云平台厂商，在早期以虚拟化平台为主打产品，其平台中虚拟化网络部分功能较弱，于是他们引入了很多网络厂商作为合作伙伴。经过云平台与虚拟网络设备适配，在各方面“Ready”之后，云平台及网络的厂商共同推出了强耦合的平台+网络的整体方案，并共同拓展云计算市场。

后来，云平台厂商收购了一家网络公司，推出了自己的软件定义网络方案。在自身网络方案逐渐成熟之后，云平台厂商做出了战略调整，停止了对合作伙伴网络产品的支持，将网络厂商逐出自己的平台。而运营商用户成为商业战场的受害者，需要着手对虚拟网络产品进行切换。方案的调整对云租户的和运营商自身的业务都造成了较大的冲击。

现在，云平台厂商又与各安全厂商合作，推出了平台+安全的强耦合解决方案。作为合作伙伴，安全厂商也乐于与云平台厂商共同推广。而强耦合形态安全方案的市场一旦发育成熟，云平台厂商在自身业绩增长要求的压力之下，很有可能再度进行战略调整。如同替换虚拟网络方案一样，用户可能面临被动替换安全方案的风险。

符合运营商云建设思路的解决方案

面对市场的不确定性，并且从云业务的长期发展的角度考虑，运营商提出了自己的云建设思路：将云的各部分组件解耦，将云的虚拟化平台、网络、控制器和安全分别作为云的组成部分，各部分组件分别由各领域的专业厂商提供。在保证各组件专业性的同时，避免了用户“把鸡蛋放到一个篮子里”的风险。运营商根据自身需求，提出对各组件的标准要求和对各组件之间通讯的接口标准要求。安全作为云的关键组成部分，承担着对云的防护、检测和监督的重要作用，理应由专业安全厂商提供技术方案。

基于以上分析，安全资源池方案与运营商的云计算技术发展思路更为契合。

通过实践，启明星辰Vetrix方案与运营商的VMware和Openstack架构云平台均实现对接。Vetrix云安全资源池方案架构如下图所示：

方案采用了Vetrix全部组件：虚拟安全资源池、智慧流平台(SDS)和云导流平台(VTAP)构成。整体方案是在云外独立部署安全资源池，在云内部署的云导流平台结合流转发平台，实现对东西向流量的采集和导出。东西流量经过流转发平台的编排交付给虚拟化安全资源池。在安全资源池内部署各类检测引擎，对流量进行分析。

来自用户的声音

Vetrix方案在三大运营商的实施和应用中，用户提出了自己的看法：

“安全资源池方案，实现了安全的独立性。整体来看：安全资源池方案实现了将安全能力抽象，并可动态扩展。通过对安全业务的编排，可动态适应业务场景。基于安全资源池构建了软件定义安全的基本架构。软件定义安全三个部分：软件定义威胁模型、软件定义资源、软件定义流量基本形成” 移动用户说到。

虚拟化环境下安全的重点在于实现安全的可视化。电信用户认为整体方案中，通过将云内流量导出，极大的扩展了分析空间。引入安全资源池，交付给多种类型的安全引擎进行分析。各类引擎实现了网络中基于流、包和事件等多个维度的可视。丰富的引擎类型为上层业务分析提供了多维度的基础数据。另外，通过对东西向流量的分析，实现了对可能造成数据泄露的主要路径的监控。

联通用户表示，在虚拟化环境下的安全方案有多种类型，都有各自的特点。实际上，安全能力都需要与云平台契合才能适应云业务发展的需求。采用了基于Openstack架构的云平台与Vetrix资源池在融合的过程中，双方做了深度的整合，经过合理的适配和取舍，最终为云平台提供了贴合业务的安全能力。

结语

安全资源池的落地，是三大运营商与启明星辰在云安全领域共同探索的重要成果，这些成果在未来将越来越多的体现其价值，Vetrix方案也将服务于更多的用户。