新華三安全云,滿足《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的安全能力要求,提供靈活、穩(wěn)定的安全架構(gòu)。以下將從防護(hù)類安全能力架構(gòu)設(shè)計(jì)、檢測(cè)類安全能力架構(gòu)設(shè)計(jì)、日志審計(jì)架構(gòu)設(shè)計(jì)、安全虛擬化架構(gòu)及安全集群四個(gè)方面闡述安全云的關(guān)鍵架構(gòu)。
1. 防護(hù)類安全能力架構(gòu)
防護(hù)類安全設(shè)備采用硬件資源池的方式進(jìn)行部署,虛擬化微服務(wù)通過(guò)Docker方式部署,Docker之間通過(guò)開(kāi)放API接口進(jìn)行通信,能夠使每個(gè)租戶獨(dú)享安全能力。每個(gè)Docker具備有獨(dú)立的日志發(fā)送、獨(dú)立的策略配置、獨(dú)立的硬件資源,即使在單獨(dú)重啟后也不互相干擾。防護(hù)類安全能力通過(guò)同租戶在OpenStack架構(gòu)中的網(wǎng)關(guān)(OpenStack稱之為“路由器”)關(guān)聯(lián),保證業(yè)務(wù)流量能夠?qū)?yīng)到租戶專屬的安全能力。
圖:防護(hù)類安全能力架構(gòu)
2. 檢測(cè)類安全能力架構(gòu)
檢測(cè)類能力采用基于租戶標(biāo)簽的流量分發(fā)方式,實(shí)現(xiàn)對(duì)不同租戶的獨(dú)立審計(jì)及檢測(cè)。在云架構(gòu)中,可以采用VLAN或VxLAN的方式為不同的租戶劃分獨(dú)立的VPC。檢測(cè)類能力需要根據(jù)不同的VPC,將流量對(duì)應(yīng)到不同的檢測(cè)設(shè)備上。通過(guò)匯聚分流平臺(tái)將鏡像流量進(jìn)行M:N的復(fù)制分發(fā)和智能過(guò)濾,一次性接收云架構(gòu)內(nèi)的全部流量,隨后,基于標(biāo)簽實(shí)現(xiàn)不同租戶的流量分發(fā)。最后,將檢測(cè)結(jié)果反饋到多租戶模式下的態(tài)勢(shì)感知平臺(tái)上,針對(duì)每個(gè)租戶進(jìn)行呈現(xiàn)。在此架構(gòu)下,不需要檢測(cè)類設(shè)備支持虛擬化技術(shù)部署,就可以使安全檢測(cè)能力得到彈性化擴(kuò)展,同時(shí)不改變網(wǎng)絡(luò)架構(gòu)或增加流量鏡像的配置,就可以使每個(gè)租戶擁有專享的安全威脅展示空間。
圖:檢測(cè)類安全能力架構(gòu)
新華三安全云,滿足《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的安全能力要求,提供靈活、穩(wěn)定的安全架構(gòu)。上篇文章介紹了防護(hù)類安全能力架構(gòu)設(shè)計(jì)和檢測(cè)類安全能力架構(gòu)設(shè)計(jì),以下詳細(xì)闡述日志審計(jì)架構(gòu)設(shè)計(jì)、安全虛擬化架構(gòu)及安全集群關(guān)鍵架構(gòu)。
3. 日志審計(jì)架構(gòu)
如何實(shí)現(xiàn)租戶內(nèi)的日志審計(jì),包括操作運(yùn)維日志的審計(jì)以及業(yè)務(wù)系統(tǒng)的集中審計(jì)是《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中所強(qiáng)調(diào)的技術(shù)重點(diǎn)。傳統(tǒng)技術(shù)無(wú)法對(duì)租戶的日志進(jìn)行區(qū)分,采用物理設(shè)備的審計(jì)技術(shù),也不能保證各個(gè)租戶間的審計(jì)獨(dú)立性,存在較大的合規(guī)風(fēng)險(xiǎn)。在安全云審計(jì)架構(gòu)中,提供虛擬帶外管理網(wǎng),與業(yè)務(wù)網(wǎng)段完全分開(kāi),專門用于運(yùn)維操作登錄以及業(yè)務(wù)系統(tǒng)日志的收集。業(yè)務(wù)網(wǎng)段通過(guò)訪問(wèn)控制策略的配置,不允許進(jìn)行運(yùn)維操作,如Telnet,SSH,管理網(wǎng)段的HTTP/HTTPS連接。
圖:日志審計(jì)架構(gòu)
4. 安全虛擬化架構(gòu)及安全集群架構(gòu)
1) 安全虛擬化架構(gòu)
安全虛擬化架構(gòu)采用基于容器的虛擬化方案,是一種輕量級(jí)的虛擬化技術(shù),在一個(gè)安全引擎內(nèi),通過(guò)唯一的OS內(nèi)核對(duì)系統(tǒng)硬件資源進(jìn)行管理,每個(gè)虛擬防火墻作為一個(gè)容器實(shí)例運(yùn)行在同一個(gè)內(nèi)核之上。
采用容器化技術(shù),虛擬防火墻有獨(dú)立的進(jìn)程上下文運(yùn)行空間,容器與容器之間的運(yùn)行空間完全隔離,天然具備了虛擬化特性。攻擊者無(wú)法從一個(gè)虛擬墻進(jìn)入另一個(gè)虛擬墻或者獲取另一個(gè)虛擬墻的數(shù)據(jù)。相比傳統(tǒng)的VRF隔離,具有更好的數(shù)據(jù)安全性。在一個(gè)容器中,運(yùn)行了完整的防火墻業(yè)務(wù)系統(tǒng)(包括管理平面、控制平面、數(shù)據(jù)平面),從功能角度看虛擬化后的系統(tǒng)和非虛擬化系統(tǒng)的功能是一致的(整機(jī)重啟、存儲(chǔ)格式化、集群配置等全局系統(tǒng)配置只能由系統(tǒng)管理執(zhí)行)。同時(shí)進(jìn)程空間的隔離實(shí)現(xiàn)了虛擬墻的故障隔離。
另外,由于多個(gè)虛擬墻共享統(tǒng)一的OS內(nèi)核,可以從調(diào)度入口靈活分配每個(gè)虛擬墻的處理能力比如吞吐、并發(fā)、新建等,也可以在線動(dòng)態(tài)地增加資源。最后,基于容器的虛擬化實(shí)現(xiàn)在容器中并不需要運(yùn)行完整的操作系統(tǒng),減少了由于完全虛擬化帶來(lái)的內(nèi)存開(kāi)銷,每個(gè)VFW可以直接通過(guò)內(nèi)核和物理硬件交互,避免了和虛擬設(shè)備交互代理的性能損耗,所以可以支持更多的虛擬防火墻實(shí)例,而不會(huì)對(duì)系統(tǒng)性能造成實(shí)質(zhì)影響。
2) 安全集群架構(gòu)
安全集群框架高可靠性技術(shù)通過(guò)將兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備,實(shí)現(xiàn)了管理和控制上的統(tǒng)一,同時(shí)組網(wǎng)部署更加簡(jiǎn)單,有效利用鏈路帶寬,提高系統(tǒng)穩(wěn)定性,大幅減少故障點(diǎn)帶來(lái)的業(yè)務(wù)切換沖擊。
為解決傳統(tǒng)雙機(jī)備份“故障出發(fā)點(diǎn)多”及“切換粒度粗”帶來(lái)的業(yè)務(wù)沖擊及性能損失問(wèn)題,安全集群架構(gòu)引入了引擎級(jí)備份技術(shù)。引擎級(jí)備份通技術(shù)過(guò)將主機(jī)進(jìn)行安全集群框架集群,對(duì)外通過(guò)跨設(shè)備鏈路捆綁或者提供等價(jià)路由節(jié)點(diǎn)進(jìn)行互聯(lián),有效利用鏈路帶寬。對(duì)內(nèi)在業(yè)務(wù)引擎之間實(shí)現(xiàn)備份,從而將主控、接口和業(yè)務(wù)引擎的故障解耦,可以最大程度地減少各節(jié)點(diǎn)故障帶來(lái)的業(yè)務(wù)沖擊。
單臺(tái)物理設(shè)備受限于自身CPU處理能力、內(nèi)存容量、硬件槽位等多方面因素,整體處理能力存在上限。傳統(tǒng)IT部署模式下,為了滿足未來(lái)三到五年的業(yè)務(wù)流量需求,通常會(huì)購(gòu)買遠(yuǎn)超實(shí)際需求的高端設(shè)備,導(dǎo)致資源利用率低下和投資浪費(fèi)。安全集群架構(gòu)基于Scale-out彈性擴(kuò)展方式實(shí)現(xiàn)多臺(tái)機(jī)框的集群,實(shí)現(xiàn)系統(tǒng)性能的彈性增長(zhǎng)。同時(shí)支持異構(gòu)集群,可以將兩臺(tái)不同性能的設(shè)備進(jìn)行集群,便于企業(yè)按需采購(gòu)和部署,保護(hù)投資。多框集群的另外一個(gè)應(yīng)用場(chǎng)景就是雙活數(shù)據(jù)中心,通過(guò)跨數(shù)據(jù)中心部署多設(shè)備集群,并且在跨數(shù)據(jù)中心的兩臺(tái)設(shè)備之間開(kāi)啟會(huì)話備份,實(shí)現(xiàn)業(yè)務(wù)故障、業(yè)務(wù)遷移、數(shù)據(jù)中心故障等多種場(chǎng)景下可靠性。
可見(jiàn),新華三安全云通過(guò)安全虛擬化架構(gòu)及安全集群架構(gòu),將安全能力靈活分配給不同的租戶或業(yè)務(wù),滿足不同業(yè)務(wù)場(chǎng)景需求,并且管理平臺(tái)在集群基礎(chǔ)上,還可通過(guò)Docker的方式完成業(yè)務(wù)穩(wěn)定、不中斷升級(jí)。
京公網(wǎng)安備 11010502049343號(hào)