關於安全雲服務的資源池化和虛擬化
雲計算的核心理念就是通過互聯網路為用戶提供按需的IT資源服務。
為了達到這個目標,雲服務提供商首先要保證擁有一個容量充足的資源池以滿足在併發的業務高峰時刻仍能滿足用戶的服務要求,這就是雲服務的資源池化,而這個容量充足、可擴展的資源池也就是按需業務提供的基礎。
另一方面,由於用戶在使用雲服務時無須了解雲中的實際架構和技術實現,從用戶感知上其使用的是獨立完整的設備或計算資源,用戶在使用雲服務時對計算資源的這種獨立性要求,將驅動雲服務解決方案在實現資源池化的基礎上提供將計算資源劃分為多組的業務邏輯單元並提供給用戶的能力,這就是雲服務的資源虛擬化。
在理想的狀態下,雲計算的技術方案最好能做到資源池化和虛擬化的無縫連接,也就是在資源池的構建上可以通過物理設備的加入實現彈性的動態容量擴展。另一方面,在已經構建的資源池上進行靈活的按需獨立邏輯分組。在實際實現時,由於目前雲計算技術的限制,很多資源的雲化提供上並未能完全實現這一點。例如在設備的虛擬化方面,目前跨物理主機的虛擬設備解決方案就尚未成熟。
Advertisements
安全雲服務作為一種特定的雲服務,在其技術實現中最重要的也是資源能力的池化和虛擬化,只不過這種池化和虛擬化所針對的是網路安全這種特殊的計算資源和能力。為了滿足用戶的各種網路安全防範要求,安全雲服務提供商在安全雲服務的業務體系中一般包括防火牆訪問控制、DDoS攻擊防護、入侵檢測和防護、特定應用的安全檢測和過濾(如Email、Web的內容過濾,木馬、病毒等惡意代碼的檢測和過濾,特定URL流量過濾,垃圾郵件過濾等)、網路安全脆弱性掃描檢測、Web等特定應用的安全檢測、安全事件的監控和分析、網路異常流量的檢測、在線病毒和木馬查殺、在線終端安全性檢測等服務。這些安全雲服務根據其業務提供的層次和形式分屬於SIaaS、SPaaS、SSaaS的範疇,但不管這些業務的提供內容和形式如何,作為一種特定的雲計算服務,均存在著資源池化和虛擬化的實現問題,所不同的是對於不同的安全雲服務,其資源池化和虛擬化所採用的技術實現方案有所不同。
Advertisements
安全雲服務資源池化指的是在多台安全設備中採用集群技術或者在安全處理軟體中引入分散式計算技術,從而形成對用戶透明的統一網路安全能力池的過程。安全雲服務資源池化過程中要解決的主要問題是可擴展性、可管理性和可靠性。可擴展性指的是資源池的容量可以根據用戶業務需求的增加進行彈性的擴充。可管理性指的是在資源池化之後系統具有對資源池的統一監控調度和分配的能力。可靠性指的是池化之後的資源池具有統一的一體化的協同處理和容錯能力,不會因為特定物理安全設備單元的故障或失效影響到整個資源池的正常運作。
安全服務資源虛擬化指的是在實現資源池化的基礎上根據用戶需求在資源池中劃分出邏輯獨立的虛擬化安全能力提供給用戶使用的過程。在用戶看來,用戶正在使用的是一個完全獨立的安全設備和軟體。安全服務資源虛擬化過程中要解決的主要問題是邏輯隔離、業務復用和智能感知。邏輯隔離指的是通過設備或用戶管理實現用戶之間資源和數據的隔離,保障用戶獨立資源使用的業務體驗。業務復用指的是多個用戶使用的虛擬安全能力資源在時間、帶寬等方面實現在資源池中物理設備的復用,提高安全資源的利用率。智能感知指的是在安全服務資源虛擬化過程中可以智能感知資源池的業務狀態和用戶要求,實現設備資源和用戶需求的契合。
以上分析了在安全服務資源池化和虛擬化過程中面臨的一些主要問題。在各種安全雲服務中,為了獲得特定的業務能力,所採用的安全設備、安全軟體各不相同,其資源池化和虛擬化採用的方法也各不相同,實現的難度也各異。
以北京安數雲信息技術有限公司成功研發的雲安全資源池為例。安數雲·雲安全池(中間件)是為了解決傳統及雲環境下的安全問題而提出的整體解決方案。其中包括:安數云云平台、雲安全池統一管理平台、網路控制平台。通過導流、SDN控制等技術,融合各類信息安全產品及資源,形成雲安全池系統,解決雲的安全問題。
安數云云安全池核心優勢:
1、使用自有導流、SDN控制等技術,靈活部署池內的虛擬網路,融合各類信息安全技術及資源,形成雲安全池系統,解決雲的安全問題;
2、雲安全池系統可以解決虛擬網路東西向、南北向網路安全問題,通過導流方案把虛擬網路引入到雲安全池中;
3、雲安全池提供多種自有安全服務,如WAF、IPS、資料庫審計與風險控制系統、綜合安全檢查評估系統、RASP WAF、CASB、大數據態勢感知系統等,用戶可以自由靈活的選擇對應的安全服務;
4、雲安全池系統可以和公有雲、私有雲進行無縫對接,支持的公有雲如:阿里雲、華為雲、亞馬遜等。支持的私有雲,如Openstack、Zstack、vmware。
5、雲安全池系統可以作為完整的獨立系統直接接入雲平台系統;可以把導流、SDN控制技術作為中間件,把虛擬化安全服務直接融入到雲平台系統中;也可以直接部署到傳統網路環境中使用。
6、雲安全池部署方式簡單靈活,可以不破壞用戶原有的組網,進行雲安全池部署,以確保網路安全。
7、雲安全池具有自動按需分配安全資源、負載分擔、旁路流量審計等功能,根據業務不同使流量進入不同的安全資源中。
8、雲安全池具有主備模式,可在設備故障、鏈路故障、主控故障等多種情況下進行業務的快速切換,可靠性強。
9、雲安全池可以彈性部署,根據業務的具體大小隨時調整雲安全池的規模,方便用戶隨時擴展。
