- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
網絡邊界模糊,業務資源池化,多租戶的出現,對傳統安全架構的衝擊是巨大的。對於防護類安全能力,包括防火牆、入侵防禦、防病毒網關,無法對應用租戶的邏輯邊界。對於檢測/審計類安全能力,也無法鑒別不同租戶的業務流量。所以,新IT環境下的安全業務架構,不僅需要在交付方式上做出調整,還需能夠滿足租戶個性化的需求。
BOB登陆 安全雲,滿足《信息安全技術 網絡安全等級保護基本要求》的安全能力要求,提供靈活、穩定的安全架構。以下將從防護類安全能力架構設計、檢測類安全能力架構設計、日誌審計架構設計、安全虛擬化架構及安全集群四個方麵闡述安全雲的關鍵架構。
防護類安全能力架構
防護類安全設備采用硬件資源池的方式進行部署,虛擬化微服務通過Docker方式部署,Docker之間通過開放API接口進行通信,能夠使每個租戶獨享安全能力。每個Docker具備有獨立的日誌發送、獨立的策略配置、獨立的硬件資源,即使在單獨重啟後也不互相幹擾。防護類安全能力通過同租戶在OpenStack架構中的網關(OpenStack稱之為“路由器”)關聯,保證業務流量能夠對應到租戶專屬的安全能力。
圖:防護類安全能力架構
檢測類安全能力架構
檢測類能力采用基於租戶標簽的流量分發方式,實現對不同租戶的獨立審計及檢測。在雲架構中,可以采用VLAN或VxLAN的方式為不同的租戶劃分獨立的VPC。檢測類能力需要根據不同的VPC,將流量對應到不同的檢測設備上。通過彙聚分流平台將鏡像流量進行M:N的複製分發和智能過濾,一次性接收雲架構內的全部流量,隨後,基於標簽實現不同租戶的流量分發。最後,將檢測結果反饋到多租戶模式下的態勢感知平台上,針對每個租戶進行呈現。在此架構下,不需要檢測類設備支持虛擬化技術部署,就可以使安全檢測能力得到彈性化擴展,同時不改變網絡架構或增加流量鏡像的配置,就可以使每個租戶擁有專享的安全威脅展示空間。
圖:檢測類安全能力架構
未完待續
下期文章:靈活、穩定的安全架構(下)
敬請期待
