随着互联网、云计算等技术的发展,企业、政府的数据安全问题也正日益凸显。据统计,2016年以盈利为目的的网络攻击占89%,2017年则上升到93%。安全这一大顽疾,成为用户采用云计算面临的重要障碍。在刚刚结束的China OpenStackDays峰会上,安全话题自然是必不可少。老牌网络安全厂商山石网科,针对OpenStack的安全现状,发布了“山石云·格、云·界”(网友戏称:“哥哥姐姐“)的最新产品方案。
小贴士
OpenStack开源项目涉及构建公有/私有云的方方面面,其迄今已经有官方承认的60个项目,988个代码仓库,包括基础的计算、存储、镜像服务、身份服务、编排部署、数据库服务,全球大量的软件精英参与到其开发中。
OpenStack安全功能无法商业化
较之大多数的虚拟化系统,OpenStack在设计中较充分的考虑的安全问题,也提供了相关的组件供用户使用,但是距离商用化的安全功能还存在差距,主要体现在:性能低、稳定性差、功能少、控制和防护粒度低、缺乏可持续的服务。以防火墙为例,在Forrester Research提出的Zero Trust(零信任安全模型)中,更低的授权、可视化都是关键的技术点,在OpenStack自身的产品上还不具备。不管是公有云、私有云,还是混杂云,在云内的某些场景下都需要彼此之间的隔离。
业界在解决云计算的网络安全问题有两大流派,一个是面向云计算网络的南北方向,一个是云内部的东西方向的安全防护方案。
- 在南北方向,业界推崇的是NFV框架下的SFC(Service Function Chain,服务链),遵从用户传统使用习惯,将防火墙、IPS、WAF等安全网元串接,防护的重点是租户网络边界,乃至租户内部各个安全域(子网)之间的防护控制。
- 在云内东西向防护,业界推崇的解决方案是微隔离和可视化产品(Micro-Segmentation & Flow visibility)。
云·界:针对不同需求的三个NFV解决方案
山石网科发布的NFV架构下的山石云·界三个解决方案,就是在不同环境下,配合用户和集成商做到这六个层次的产品方案。简言之,有NFVO(Network Function Virtualised Orchestration)、没有NFVO和喜欢开源NFVO的都方便客户和合作伙伴集成。
方案一
针对有成熟的VNF(Virtualised Network Function)编排、生命周期管理的客户和集成商,方便他们集成管理。在这个方案中,山石云·界除了可以适配多种Hypervisor外,还有山石云·界的内置Agent、RestAPI可以配合客户或集成商的NFVO进行自动化部署和编排,山石网科提供了License Server实现山石云·界的License分发控制。
方案二
方便习惯OpenStack的Neutron中FWaaS或VPNaaS组件的用户和集成商,降低他们针对VNF编排和生命周期管理的工作量。山石网科在这个方案中较方案一,增加了山石网科的编排管理器vSOM,协助客户和合作伙伴实现山石云·界的编排和管理。同时在这一方案中,山石网科还提供了OpenStack中Neutron的补丁,方便用户和集成商在原有的Neutron中引入第三方的专业商用防火墙。
方案三
针对业界最热门的Open MANO组件Tacker的解决方案。较之方案1和2,山石网科提供山石云·界软件镜像、License Server、RestAPI外,更多的是提供对Tacker这一业界最热门的OpenMANO项目的支持,山石云·界可以支持利用Tacker组件,使用TOSCA模板完成山石云·界的初始化配置,这些初始化配置不仅仅是口令、网络配置,还涉及到IPS、AV等NGFW丰富功能的配置。
为了方便客户和合作伙伴在OpenStack环境实现云·界的集成,山石网科推出了nfv.hillstonenet.com子站点,在这一站点上山石网科提供了云·界NFV框架的完整解决方案白皮书,云·界的TOSCA模板、RestAPI编程指南。这一子站点是为了满足软件定义数据中心(SDDC)技术潮流中,用户和合作伙伴虚拟防火墙可编程、可编排需求。
云·界遵从NFV架构的三大方案,已经与中国移动、华为、浪潮、中兴、EasyStack、九州云、UMCloud等服务商进行过联调,并在一些客户项目中实际部署实施。
云·格:OpenStack中的微隔离与可视化
云·格是业界首个支持OpenStack Liberty Mitaka的网络侧微隔离和可视化产品。
云·格在OpenStack环境中可以提供商业化的云内微隔离防护、可视化、同时提升云内的安全生产效率。云·格能够在OpenStack环境中提供等同于VMware环境的安全防护和可视化能力,帮助用户在OpenStack环境中实践Forrester Research公司提出的零信任安全模型。云·格通过专利引流技术、虚机微隔离及可视化技术,能够为用 户提供全方位的云安全服务,包括流量及应用可视化,虚机之间威胁检测与隔离,网络攻击、网络应用审 计与溯源等,帮助政府、金融、运营商、企业等搭建安全、合规的“绿色”云平台。现已经与九州云、UMcloud、EasyStack、浪潮等国内主流OpenStack供应商完成了互操作兼容性测试,并在多个能源、金融客户处完成PoC验证测试。
小结
随着云计算的落地,云安全早已是安全行业乃至整个云生态都关注的重点。山石云·格、云·界不仅仅是一款下一代防火墙和微隔离及可视化产品和解决方案,更是国内厂商针对OpenStack商用化云安全的支持与贡献,CSDN希望未来有更多的安全厂商和技术爱好者,参与到OpenStack社区的安全贡献中。