何平:新IT云环境下安全防护架构设计

流量可以牵引到我的安全资源池,通过虚拟化技术进行清洗,资源池里如果只有防火墙就好办了,但是不可能,这里面可能有入侵防御,可能有审计,可能有各种各样的控制需求,这时候直接扔到你的资源池里,如何实现不同的业务的不同的安全访问需求,华三也实现一个需求,叫做安全服务链,确保流量调度到资源池里以后,安全设备起作用的顺序,可以先过防火墙后过IPS,也可以只过防火墙只过IPS,也可以过完IPS再过负载均衡,看我们这里的路径。绿色的线只过防火墙,黄色的线过了防火墙也过了IPS。我只需要知道源和目的,至于路径怎么定义怎么做不用管,由我们的控制器来统一调度。新的环境下云安全是按照我们设想的方式进行调度,而且只是通过鼠标的点选和路径的规划,完全在一个界面里。如果在传统的情况下,这个接入设备得配,防火墙IPS得单独配,我们要做到安全像服务一样简单的交付。涉及到华三云安全技术的服务理念,安全即服务,说了半天到底是什么,很简单,就是要达到这么个目的,不同的业务、不同的租户有区别地进行安全的策略指定,这个服务器就代表一个业务或一个租户,把部署了这么多安全设备,每个设备是什么样的部署策略,我们可以单独进行定制,我们也叫做条带化的安全。

最后看一个案例。现在云里用的最多的就是政府的政务云,一般情况下政府在外网实现政务云,还有互联网,外网和互联网这两套不同的网络中间要有跨数据交换平台,不同的业务放在不同的安全区域进行防护。公共业务区为不同的区域服务,互联网区也进行同样的设定,互联网区和电子业务区要进行有效的隔离,整网的安全还有专门的安全控制中心进行控制,比如堡垒机、网页防篡改、防病毒等等进行监控。整网部署的是overlay的网络,控制器也是在我们的管理中心,存储、操作数据的调度都需要进行有效的隔离。资源池同化在核心上,这是进行南北向的防护,东西向的防护也可以在某一个计算资源池里单独批一个进行防护。

今天的内容就分享到这里,感谢大家!