2013年9月17日,天融信攜手英特爾在北京聯(lián)合舉辦了云數(shù)據(jù)中心邊界防護(hù)解決方案發(fā)布會(huì)�。天融信公司高級(jí)副總裁、英特爾公司高層領(lǐng)導(dǎo)��,以及40余家媒體記者出席了會(huì)議��。眾所周知�,云數(shù)據(jù)中心是當(dāng)今企業(yè)信息化建設(shè)最重要的環(huán)節(jié),其中承載著大量的企業(yè)機(jī)密信息����。在棱鏡門(mén)事件之后,企業(yè)對(duì)數(shù)據(jù)安全的敏感度已經(jīng)大大超過(guò)以往����,保護(hù)云數(shù)據(jù)中心也成為企業(yè)安全建設(shè)的重中之重。為此����,天融信攜手英特爾發(fā)布了最新一代的云數(shù)據(jù)中心邊界防護(hù)解決方案,旨在幫助企業(yè)在網(wǎng)絡(luò)邊界就抵擋住威脅�����,免除后顧之憂����,從而專(zhuān)注于業(yè)務(wù)發(fā)展�����。
數(shù)據(jù)中心的“云化”
數(shù)據(jù)中心��,作為信息時(shí)代的重要產(chǎn)物之一,先后經(jīng)歷了大集中�、虛擬化以及云計(jì)算三個(gè)歷史發(fā)展階段。在初期的大集中階段中���,數(shù)據(jù)中心實(shí)現(xiàn)了將以往分散的IT資源進(jìn)行物理層面的集中與整合�,同時(shí)�����,也擁有了較強(qiáng)的容災(zāi)機(jī)制;而隨著業(yè)務(wù)的快速擴(kuò)張���,使我們?cè)谲�����、硬件方面投入的成本不斷增加�,但?shí)際的資源使用率卻很低下,而且靈活性不足����,于是便通過(guò)虛擬化技術(shù)來(lái)解決成本、使用率以及靈活性等等問(wèn)題����,便又很快發(fā)展到了虛擬化階段。
然而��,虛擬化雖然解決了上述問(wèn)題��,但對(duì)于一個(gè)處于高速發(fā)展的企業(yè)來(lái)講����,仍然需要不斷地進(jìn)行軟、硬件的升級(jí)與更新��,另外���,持續(xù)增加的業(yè)務(wù)總會(huì)使現(xiàn)有資源在一定時(shí)期內(nèi)的擴(kuò)展性受到限制��。因此�,采用具有彈性擴(kuò)展���、按需服務(wù)的云計(jì)算模式已經(jīng)成為當(dāng)下的熱點(diǎn)需求����,而在這個(gè)過(guò)程中,數(shù)據(jù)中心的“云化”也自然成為發(fā)展的必然!
傳統(tǒng)邊界防護(hù)的“困局”
云計(jì)算的相關(guān)技術(shù)特點(diǎn)及其應(yīng)用模式正在使網(wǎng)絡(luò)邊界變得模糊���,這使云數(shù)據(jù)中心對(duì)于邊界安全防護(hù)的需求和以往的應(yīng)用場(chǎng)景相比也會(huì)有所不同���。在云計(jì)算環(huán)境下,如何為“云端接入”���、“應(yīng)用防護(hù)”、“虛擬環(huán)境”以及“全網(wǎng)管控”分別提供完善��、可靠的解決方案�,是我們需要面對(duì)的現(xiàn)實(shí)問(wèn)題。因此���,對(duì)于解決云數(shù)據(jù)中心的邊界安全問(wèn)題���,傳統(tǒng)網(wǎng)關(guān)技術(shù)早已束手無(wú)策,而此時(shí)更需要依靠下一代網(wǎng)關(guān)相關(guān)技術(shù)來(lái)提供一套體系化的邊界安全解決方案!
天融信云數(shù)據(jù)中心邊界安全防護(hù)解決方案
面對(duì)上述問(wèn)題�����,天融信解決方案如下:
Ø 通過(guò)TopConnect虛擬化接入與TopVPN智能集群相結(jié)合,實(shí)現(xiàn)“云端接入”安全需求;
Ø 通過(guò)在物理邊界部署一系列物理網(wǎng)關(guān)來(lái)對(duì)各種非法訪問(wèn)�����、攻擊��、病毒等等安全威脅進(jìn)行深度檢測(cè)與防御��,同時(shí)��,利用網(wǎng)關(guān)虛擬化技術(shù)還可以為不同租戶提供虛擬網(wǎng)關(guān)租用服務(wù)����,實(shí)現(xiàn)“應(yīng)用防護(hù)”安全需求;
Ø 通過(guò)TopVSP虛擬化安全平臺(tái),為虛擬機(jī)之間的安全防護(hù)與虛擬化平臺(tái)自身安全提供相應(yīng)解決方案���,實(shí)現(xiàn)“虛擬環(huán)境”安全需求;
Ø 通過(guò)TopPolicy智能化管理平臺(tái)來(lái)將全網(wǎng)的網(wǎng)絡(luò)及安全設(shè)備進(jìn)行有效整合��,提供智能化的安全管控機(jī)制���,實(shí)現(xiàn)“全網(wǎng)管控”安全需求;
技術(shù)特點(diǎn)
l 虛擬化
² 網(wǎng)關(guān)虛擬化:
天融信網(wǎng)關(guān)虛擬化技術(shù)提供了物理網(wǎng)關(guān)“一虛多”的虛擬化安全防護(hù)解決方案。在數(shù)據(jù)中心多租戶的需求背景下,網(wǎng)關(guān)虛擬化能夠使部署在物理邊界的網(wǎng)關(guān)設(shè)備為不同租戶提供虛擬網(wǎng)關(guān)租用服務(wù)����,使不同租戶流量在同一物理設(shè)備上實(shí)現(xiàn)流量邏輯隔離。功能方面�����,網(wǎng)關(guān)虛擬化實(shí)現(xiàn)了從網(wǎng)絡(luò)層到應(yīng)用層的全功能虛擬化特性����,并為租戶提供了基于虛擬系統(tǒng)的自定義安全服務(wù)解決方案,從而使策略部署變得更加靈活�����,而權(quán)限與責(zé)任的界定也更加清晰!
² 虛擬機(jī)安全防護(hù)(TopVSP):
面對(duì)數(shù)據(jù)中心虛擬計(jì)算環(huán)境����,傳統(tǒng)物理網(wǎng)關(guān)已無(wú)用武之地�����,而將虛擬機(jī)流量牽引至物理網(wǎng)關(guān)的解決方案又面臨嚴(yán)重的效率問(wèn)題,僅僅只是過(guò)度方案��。因此��,在該需求背景下�����,天融信TopVSP通過(guò)與各類(lèi)虛擬化平臺(tái)的完美整合���,利用虛擬化安全網(wǎng)關(guān)(vGate)����、租戶系統(tǒng)安全代理(TD)以及虛擬化平臺(tái)接入引擎(TAE)三大系統(tǒng)組件�����,為虛擬計(jì)算環(huán)境提供了一套全方位的安全防護(hù)解決方案�����。
其中,“虛擬化安全網(wǎng)關(guān)(vGate)”是將天融信自主安全操作系統(tǒng)TOS以虛擬機(jī)的形式運(yùn)行在虛擬化平臺(tái)上�����,用于實(shí)現(xiàn)外部到虛擬機(jī)以及虛擬機(jī)之間的虛擬邊界安全防護(hù)。租戶系統(tǒng)安全代理(TD)則是安裝在各租戶操作系統(tǒng)(即虛擬機(jī))上的安全代理服務(wù)�����,用于對(duì)租戶系統(tǒng)進(jìn)行信息收集以及進(jìn)行相關(guān)安全檢查等工作���。而虛擬化平臺(tái)接入引擎(TAE)在實(shí)現(xiàn)了將數(shù)據(jù)流重定向到vGate的同時(shí)�����,還實(shí)現(xiàn)了對(duì)虛擬化平臺(tái)自身的安全加固與權(quán)限控制�。因此�,TopVSP實(shí)際上不僅實(shí)現(xiàn)了虛擬機(jī)之間的安全防護(hù)����,還為虛擬化平臺(tái)自身以及租戶系統(tǒng)提供了相關(guān)的安全解決方案。另外�,TopVSP能夠?qū)崟r(shí)感知虛擬機(jī)產(chǎn)生的熱遷移動(dòng)作��,并在第一時(shí)間完成與TopPolicy智能化管理平臺(tái)的指令交互,將策略動(dòng)態(tài)下發(fā)至遷移后的目標(biāo)vGate�����,從而實(shí)現(xiàn)安全策略的動(dòng)態(tài)同步遷移。
² 遠(yuǎn)程接入虛擬化(TopConnect):
TopConnect為終端到云端的接入提供了一套基于虛擬化技術(shù)的遠(yuǎn)程接入解決方案��。其通過(guò)VPN智能集群與內(nèi)部桌面資源服務(wù)器相結(jié)合�,為遠(yuǎn)程終端提供虛擬桌面和虛擬應(yīng)用發(fā)布功能����,使終端本地在無(wú)須運(yùn)行任何業(yè)務(wù)系統(tǒng)客戶端程序的基礎(chǔ)上����,完成與服務(wù)端的業(yè)務(wù)交互,實(shí)現(xiàn)了終端與業(yè)務(wù)分離的“無(wú)痕訪問(wèn)”需求��,從而有效避免了數(shù)據(jù)泄露的風(fēng)險(xiǎn)隱患���。
l 深度防御
² 一體化智能過(guò)濾引擎:
相比一般應(yīng)用場(chǎng)景�,數(shù)據(jù)中心擁有規(guī)模龐大的業(yè)務(wù)應(yīng)用系統(tǒng)���,在將應(yīng)用層防護(hù)作為基本需求的基礎(chǔ)上��,更加強(qiáng)調(diào)深度檢測(cè)的高效性����,而實(shí)現(xiàn)這一切往往需要檢測(cè)引擎的良好支撐�����。天融信全系網(wǎng)關(guān)產(chǎn)品均采用一體化智能過(guò)濾引擎����,其能夠在一次拆包過(guò)程中,對(duì)數(shù)據(jù)進(jìn)行并行深度檢測(cè)�����,從而保證了協(xié)議深度檢測(cè)的高效性�����。另外����,一體化智能過(guò)濾引擎基于八元組高級(jí)訪問(wèn)控制設(shè)計(jì),除傳統(tǒng)的五元組控制以外�,實(shí)現(xiàn)了用戶身份信息���、應(yīng)用程序指紋及內(nèi)容特征的識(shí)別與控制,從而為計(jì)算資源池內(nèi)眾多業(yè)務(wù)應(yīng)用系統(tǒng)提供了更加高效與細(xì)粒度的威脅檢測(cè)與防護(hù)解決方案�����。
² 雙引擎病毒檢測(cè):
在病毒防護(hù)解決方案中��,針對(duì)數(shù)據(jù)中心復(fù)雜的應(yīng)用場(chǎng)景與大容量的數(shù)據(jù)處理這一特點(diǎn)����,天融信網(wǎng)關(guān)系列產(chǎn)品采用了雙引擎設(shè)計(jì)以實(shí)現(xiàn)病毒檢測(cè)的高效與精準(zhǔn)兼顧。雙引擎殺毒同時(shí)支持快速(流)掃描與深度(文件)掃描兩種檢測(cè)引擎����,可根據(jù)被檢測(cè)應(yīng)用層協(xié)議與應(yīng)用場(chǎng)景選擇不同的病毒檢測(cè)引擎,從而在數(shù)據(jù)中心高性能的網(wǎng)絡(luò)環(huán)境下仍然可以確保達(dá)到較高的病毒檢測(cè)率���。
l 高性能
² 高性能系統(tǒng)平臺(tái):
天融信全系網(wǎng)關(guān)產(chǎn)品基于完全自主研發(fā)的TOS(Topsec Operating System)安全操作系統(tǒng)平臺(tái)��。因此�����,作為數(shù)據(jù)中心高性能邊界防護(hù)解決方案的核心�����,TOS以多核硬件平臺(tái)為基礎(chǔ),采用系統(tǒng)分層與引擎分組的設(shè)計(jì)思想��,在確保高可靠性的基礎(chǔ)上實(shí)現(xiàn)了高性能的設(shè)計(jì)目標(biāo)���。其中,在硬件抽象層通過(guò)引入多種加速技術(shù)�����,實(shí)現(xiàn)了對(duì)CPU多核心之間合理的任務(wù)調(diào)度��,同時(shí)����,通過(guò)將各個(gè)安全引擎組與多核CPU的完美整合���,使TOS在系統(tǒng)層面實(shí)現(xiàn)了全功能多核并行處理��。
² 數(shù)據(jù)層高速處理技術(shù)(TopTURBO):
TopTURBO是天融信在TOS安全操作系統(tǒng)上為中小型數(shù)據(jù)中心設(shè)計(jì)并開(kāi)發(fā)的多核高性能數(shù)據(jù)處理技術(shù),并被應(yīng)用于天融信NGFW®下一代防火墻獵豹與千兆多核系列產(chǎn)品�。TopTURBO以INTEL SNB多核硬件平臺(tái)為基礎(chǔ)�����,在TOS安全操作系統(tǒng)的配合下��,實(shí)現(xiàn)了從網(wǎng)絡(luò)層到應(yīng)用層的全功能多核并行流處理��,并能夠獲得80Gbps的網(wǎng)絡(luò)吞吐以及大于20Gbps的攻擊檢測(cè)性能。
² 并行多級(jí)架構(gòu):
并行多級(jí)架構(gòu)是面向大型數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境的分布式機(jī)架高性能解決方案���,被應(yīng)用于天融信NGFW®下一代防火墻擎天系列產(chǎn)品。擎天采用NSE(網(wǎng)絡(luò)服務(wù)引擎)與SE(安全引擎)分離的引擎部署模式����,NSE完成L2/L3轉(zhuǎn)發(fā)并對(duì)整機(jī)各模塊進(jìn)行管理與監(jiān)控���,而SE負(fù)責(zé)將數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層安全處理與應(yīng)用層安全處理����。其中,SE內(nèi)置TopASIC專(zhuān)用加速芯片���,能夠有效提升單板吞吐性能與降低轉(zhuǎn)發(fā)延時(shí)�����。NSE、SE與用戶接口卡之間通過(guò)高速背板進(jìn)行互連�,可通過(guò)部署多安全引擎與多網(wǎng)絡(luò)服務(wù)引擎來(lái)實(shí)現(xiàn)整機(jī)流量的分布式并行處理與故障熱切換特性���,最高可擴(kuò)展至240Gbps的網(wǎng)絡(luò)吞吐性能使其完全能夠滿足大型數(shù)據(jù)中心的高性能安全處理需求�。
l 高可靠
² 多層級(jí)冗余化設(shè)計(jì):
數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境對(duì)高可靠性的要求近乎于苛刻,這使部署在數(shù)據(jù)中心的網(wǎng)關(guān)產(chǎn)品自身需要提供一套完善的高可用解決方案��。針對(duì)這一需求��,天融信網(wǎng)關(guān)系列產(chǎn)品均采用了多層級(jí)冗余化設(shè)計(jì)。在設(shè)計(jì)中���,通過(guò)板卡冗余����、模塊冗余以及鏈路冗余來(lái)構(gòu)建最底層的物理級(jí)冗余;使用雙操作系統(tǒng)來(lái)提供系統(tǒng)級(jí)冗余;而采用多機(jī)冗余及負(fù)載均衡進(jìn)行設(shè)備部署實(shí)現(xiàn)了方案級(jí)冗余��。由物理級(jí)、系統(tǒng)級(jí)與方案級(jí)冗余共同構(gòu)成了多層級(jí)冗余化體系����,從而最大程度上確保數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性。
l 智能化管控
² 云管控:
云管控以TopPolicy智能化管理平臺(tái)為核心,從全網(wǎng)管控�����、決策輔助與智能策略部署三個(gè)方面實(shí)現(xiàn)了基于云的管控機(jī)制���。其中�����,全網(wǎng)管控提供了對(duì)數(shù)據(jù)中心各類(lèi)網(wǎng)絡(luò)設(shè)備與安全設(shè)備的統(tǒng)一管理與監(jiān)控,同時(shí)����,還實(shí)現(xiàn)了對(duì)物理網(wǎng)關(guān)與虛擬網(wǎng)關(guān)的“虛/實(shí)”一體化管控;決策輔助則通過(guò)對(duì)收集到的各類(lèi)事件信息進(jìn)行統(tǒng)計(jì)分析以及深入的數(shù)據(jù)挖掘�����,最終以豐富的圖形化展示方式為我們提供決策支持;在智能策略部署中���,根據(jù)決策輔助過(guò)程的輸出結(jié)果能夠自動(dòng)生成并下發(fā)安全策略到相應(yīng)的網(wǎng)關(guān)設(shè)備����。另外,通過(guò)TopPolicy與TopVSP的聯(lián)動(dòng)機(jī)制��,能夠?qū)崟r(shí)感知虛擬機(jī)產(chǎn)生的熱遷移動(dòng)作�,從而實(shí)現(xiàn)安全策略的同步遷移�����。
² APT“狙擊”:
APT攻擊從情報(bào)搜集到完成攻擊,整個(gè)過(guò)程往往比較復(fù)雜�,而且可能會(huì)持續(xù)幾天��、幾個(gè)月��,甚至更長(zhǎng)的時(shí)間。因此���,很難通過(guò)某一種安全檢測(cè)機(jī)制阻止一次攻擊就讓問(wèn)題完全消失�����。針對(duì)APT這一特點(diǎn),天融信網(wǎng)關(guān)系列產(chǎn)品通過(guò)專(zhuān)業(yè)的攻擊規(guī)則庫(kù)�、應(yīng)用識(shí)別庫(kù)���、病毒庫(kù)以及URL過(guò)濾庫(kù)�,在APT攻擊的每個(gè)環(huán)節(jié)去獲取攻擊印記��,并通過(guò)TopPolicy對(duì)匹配各類(lèi)規(guī)則庫(kù)所產(chǎn)生的事件進(jìn)行綜合關(guān)聯(lián)分析,將零散的攻擊印記還原為完整行蹤�����。最終�,針對(duì)APT完整的攻擊過(guò)程生成安全策略組����,動(dòng)態(tài)下發(fā)到與攻擊過(guò)程相關(guān)的物理網(wǎng)關(guān)與虛擬網(wǎng)關(guān)設(shè)備���,從而使安全威脅得到準(zhǔn)確與有效控制!
