云計算將成為了IT基礎架構(gòu),它通過為客戶提供諸如IaaS、PaaS、SaaS等云服務,使得任何規(guī)模的企業(yè)都可以以負擔得起的費用,享受到企業(yè)級的應用、計算和儲存服務。隨著數(shù)據(jù)大集中趨勢越來越普遍,在某個管理權限相對獨立的行業(yè),為了滿足相互之間多個基本獨立運行的關鍵業(yè)務需求,構(gòu)建一個基于云計算的數(shù)據(jù)中心就顯得順理成章。
云數(shù)據(jù)中心為每個關鍵業(yè)務構(gòu)建一個虛擬化的數(shù)據(jù)中心,每個虛擬化的數(shù)據(jù)中心具備所有物理意義上數(shù)據(jù)中心的所有虛擬化了的設備和性能特征,如虛擬化主機、虛擬化儲存空間、虛擬化應用以及虛擬化數(shù)據(jù)庫等,為相關關鍵業(yè)務提供服務。
圖1 云安全認證傳輸網(wǎng)關典型應用場景
傳統(tǒng)意義上的安全傳輸網(wǎng)關為企業(yè)員工遠程訪問企業(yè)內(nèi)部網(wǎng)絡資源建立了一個安全的傳輸通道,從應用層面解決了用戶身份認證、遠程訪問控制以及數(shù)據(jù)加密傳輸問題。在云計算環(huán)境下,由于用戶隨機移動概率的增多,訪問接入網(wǎng)絡和終端設備的多樣化,傳統(tǒng)硬件搭建的虛擬專網(wǎng)所固有的冗余缺陷導致其在云環(huán)境下缺乏足夠可擴展性和靈活性,因此亟需分布式的、可以應需擴展的符合云特征的安全網(wǎng)關保障云計算環(huán)境下各數(shù)據(jù)中心之間、應用之間、訪問者和應用之間,進行安全認證、訪問控制和數(shù)據(jù)的安全傳輸。
云安全認證傳輸網(wǎng)關通過采用軟硬件資源池化、服務質(zhì)量可量化和彈性化、資源隨需調(diào)用和接入網(wǎng)絡多樣化等技術,實現(xiàn)了面向業(yè)務的虛擬化、分布式,滿足了云計算環(huán)境下低成本、規(guī)??蓴U展以及彈性計算能力等信息安全服務功能要求,為云計算環(huán)境下關鍵業(yè)務運行提供了應用層面的用戶身份認證、遠程訪問控制以及數(shù)據(jù)加密傳輸?shù)裙δ?,實現(xiàn)了真正意義上的安全即服務(Security as a Service)。
如圖1給出了云安全認證傳輸網(wǎng)關在云數(shù)據(jù)中心環(huán)境中的典型應用場景。
云安全認證傳輸網(wǎng)關是一款適用于云計算環(huán)境的面向應用層的信息安全設備。云安全認證傳輸網(wǎng)關在能為云服務提供商向其各類客戶提供差異化的云服務同時,也能滿足客戶差異化信息安全服務需求。
圖1中,整個行業(yè)的數(shù)據(jù)中心由一個主數(shù)據(jù)中心和分布在全國的若干個分數(shù)據(jù)中心組成,各分數(shù)據(jù)中心和主數(shù)據(jù)中心之間能實現(xiàn)災備。
行業(yè)數(shù)據(jù)中心采用云計算架構(gòu)構(gòu)建。云數(shù)據(jù)中心采用虛擬化技術為每個行業(yè)關鍵業(yè)務,如網(wǎng)上辦公、物資、服裝、車輛管控、以及資金撥付和結(jié)算等,提供一個在邏輯上完全獨立的虛擬化數(shù)據(jù)中心。
該虛擬化的數(shù)據(jù)中心對用戶完全透明,同時為每個行業(yè)關鍵業(yè)務提供與傳統(tǒng)意義上物理上獨立的數(shù)據(jù)中心完全相同的服務,如在為每個關鍵業(yè)務提供運行多種類操作系統(tǒng)服務器、運行多種數(shù)據(jù)庫的數(shù)據(jù)庫服務器、以及各類WWW服務等的同時,也為各類關鍵業(yè)務提供具有彈性特征的儲存容量,以滿足某個業(yè)務的個性化需求。
圖2 云安全認證傳輸網(wǎng)關應用示例
云安全認證傳輸網(wǎng)關采用云計算技術,為云數(shù)據(jù)中心提供應用層面的信息安全保障。通過采用池化技術,可以將云安全認證傳輸網(wǎng)關的諸如CPU、內(nèi)存、硬盤、通信接口等物理資源進行池化,實現(xiàn)物理資源的虛擬化。通過這類虛擬化技術,實現(xiàn)了在云的硬件平臺上,運行多個虛擬化了的云安全認證傳輸網(wǎng)關,使得云安全認證傳輸網(wǎng)關在現(xiàn)有的網(wǎng)絡基礎架構(gòu)上,即對交換機、路由器、防火墻、光纖/電纜等而言也是透明的,為每個關鍵業(yè)務構(gòu)建一個在邏輯層面完全獨立的虛擬專用網(wǎng)(VPN),以便為每個關鍵業(yè)務提供用戶身份認證、遠程訪問控制、以及數(shù)據(jù)加密傳輸?shù)裙δ堋?/p>
采用軟件調(diào)度與負載均衡技術,可以讓多個云安全認證傳輸網(wǎng)關分布式協(xié)作運行,也可以將部署在異地的多個云安全認證傳輸網(wǎng)關通過中心統(tǒng)一調(diào)度、統(tǒng)一管理和統(tǒng)一審計,使之為每個關鍵業(yè)務構(gòu)建的虛擬專用網(wǎng)具有非常靈活的面向業(yè)務的服務能力、很強地性能擴展能力和彈性部署能力。
對照圖2所示的應用場景,下面就從流程角度,對云安全認證傳輸網(wǎng)關應用做一個示范性描述。
1.局域網(wǎng)環(huán)境下用戶訪問流程
對局域網(wǎng)而言,關鍵業(yè)務1的用戶A要訪問云數(shù)據(jù)中心提供的關鍵業(yè)務1,則其訪問流程如下:
用戶A將其持有的具有內(nèi)置了數(shù)字證書的UKey插入到網(wǎng)絡終端的USB口。
在關鍵業(yè)務1用戶群進/出口處的B型云安全認證傳輸網(wǎng)關,對用戶A的數(shù)字證書合法性進行驗證,一旦驗證用戶A為合法用戶,則該網(wǎng)關為用戶A設置相應的資源訪問許可和權限。
在示例中,通過配置,可以在B型云安全認證傳輸網(wǎng)關和總部級云數(shù)據(jù)中心進/出口處的A型云安全認證傳輸網(wǎng)關之間建立站點到站點(site to site)模式的虛擬連接,并可依據(jù)關鍵業(yè)務1的特性,來定義該虛擬連接所許可傳輸?shù)木W(wǎng)絡協(xié)議、數(shù)據(jù)加解密類型等面向特點業(yè)務的連接屬性。
一旦建立了虛擬連接,則用戶A即可獲得云數(shù)據(jù)中心提供的授權許可的服務,并全程實現(xiàn)了數(shù)據(jù)傳輸?shù)募咏饷堋?shù)據(jù)訪問的控制等功能。
如果在關鍵業(yè)務1中有多個用戶要同時訪問云數(shù)據(jù)中心提供的云服務,只要通過了其進/出口處B型云安全認證傳輸網(wǎng)關的身份認證,則均能獲得與用戶A相同的云服務。
由于在B型云安全認證傳輸網(wǎng)關和A型云安全認證傳輸網(wǎng)關之間建立的是站點到站點模式的虛擬連接,因此在這類虛連接上可以運行多種網(wǎng)絡協(xié)議和具有不同協(xié)議端口號的多種應用。
2.廣域網(wǎng)環(huán)境下用戶訪問流程
對廣域網(wǎng)用戶而言,如上圖左上側(cè)的遠程用戶B要訪問云數(shù)據(jù)中心提供的某個關鍵業(yè)務,如車輛管控,則其訪問流程如下。
遠程用戶B將其持有的具有內(nèi)置了其數(shù)字證書的UKey插入到某個允許聯(lián)網(wǎng)的網(wǎng)絡終端的USB口。
在遠程用戶群2進/出口處的小型云安全認證傳輸網(wǎng)關,對用戶B的合法性進行數(shù)字證書的驗證,一旦驗證用戶B為合法用戶,則該網(wǎng)關為用戶B設置相應的由云安全認證傳輸網(wǎng)關提供的且和車輛管控業(yè)務相關的資源訪問許可和權限。
在示例中,通過配置,可以在小型云安全認證傳輸網(wǎng)關和總部級云數(shù)據(jù)中心進/出口處的A型云安全認證傳輸網(wǎng)關之間建立站點到站點(site to site)模式的虛擬連接,并可依據(jù)該連接所承載的關鍵業(yè)務特性,如車輛管控業(yè)務特性,來定義該虛擬連接所允許承載的網(wǎng)絡協(xié)議、數(shù)據(jù)加解密類型等面向特定業(yè)務的連接屬性。
一旦建立了虛擬連接,則用戶B就可以獲得云數(shù)據(jù)中心提供的與車輛管控業(yè)務相關的授權許可服務,并依據(jù)實際需求,可全程實現(xiàn)數(shù)據(jù)傳輸?shù)募咏饷?、?shù)據(jù)訪問的控制認證等功能。
如果在遠程用戶群2中有多個用戶要同時訪問云數(shù)據(jù)中心提供的與不同關鍵業(yè)務相關的云服務,則只要通過其進/出口處的小型云安全認證傳輸網(wǎng)關的身份認證,則均能獲得與用戶B相同的云服務體驗。
由于在小型云安全認證傳輸網(wǎng)關和A型云安全認證傳輸網(wǎng)關之間建立的是站點到站點模式的虛擬連接,因此在這類虛連接上可以運行多種關鍵業(yè)務、多種網(wǎng)絡協(xié)議和具有不同協(xié)議端口號的多種應用。
3.分布式安全認證傳輸實現(xiàn)
為給圖2的分布式云數(shù)據(jù)中心提供相應的應用層面的信息安全保障,依據(jù)部署在不同地點云數(shù)據(jù)中心的對行業(yè)關鍵業(yè)務種類和數(shù)據(jù)流量的不同需求,可將能滿足相應技術性能指標要求的云安全認證傳輸網(wǎng)關部署在相應云數(shù)據(jù)中心出/入口處。
在總部級云數(shù)據(jù)中心部署一個在物理上能實現(xiàn)高性能 集群,在邏輯上可虛擬化了的云安全認證傳輸網(wǎng)關,而在異地的區(qū)域級云數(shù)據(jù)中心部署一個能滿足本地要求的小型化的高性能集群。在各云安全認證傳輸設備之間建立在邏輯鏈路層具有網(wǎng)狀結(jié)構(gòu)的虛擬專網(wǎng),實現(xiàn)云數(shù)據(jù)中心之間安全的信息交換。
通過在總部級云安全認證傳輸網(wǎng)關中,部署相應的調(diào)度軟件,就可以實現(xiàn)全網(wǎng)的云安全傳輸服務的調(diào)度。
通過在總部級云安全認證傳輸網(wǎng)關中,部署一個用于監(jiān)控分布式云安全認證傳輸網(wǎng)關的重量級監(jiān)控軟件,而在其他云安全認證傳輸網(wǎng)關,則部署一個輕量級的監(jiān)控軟件。這類監(jiān)控軟件用于監(jiān)控云安全認證傳輸網(wǎng)關的資源運行情況(如CPU、內(nèi)存、硬盤、物理鏈路流量等),用戶使用統(tǒng)計(如用戶接入時間、退出時間、認證狀態(tài)、訪問目標資源、當前用戶鏈接數(shù)等),并能定時地或隨需地將上述數(shù)據(jù)發(fā)送到指定的監(jiān)控管理終端,以便管理部門可以實時地掌握各級云數(shù)據(jù)中心運行的安全狀況。
云安全認證傳輸網(wǎng)關作為一個應用層面的信息安全設備,既可以在云計算環(huán)境下,向云數(shù)據(jù)中心的用戶提供全方位的信息安全保障服務,也可以向下兼容,替代傳統(tǒng)的硬件安全網(wǎng)關,實現(xiàn)更好的可擴展性和靈活性。