云安全認證傳輸網(wǎng)關的行業(yè)應用

云計算將成為了IT基礎架構(gòu)，它通過為客戶提供諸如IaaS、PaaS、SaaS等云服務，使得任何規(guī)模的企業(yè)都可以以負擔得起的費用，享受到企業(yè)級的應用、計算和儲存服務。隨著數(shù)據(jù)大集中趨勢越來越普遍，在某個管理權限相對獨立的行業(yè)，為了滿足相互之間多個基本獨立運行的關鍵業(yè)務需求，構(gòu)建一個基于云計算的數(shù)據(jù)中心就顯得順理成章。

云數(shù)據(jù)中心為每個關鍵業(yè)務構(gòu)建一個虛擬化的數(shù)據(jù)中心，每個虛擬化的數(shù)據(jù)中心具備所有物理意義上數(shù)據(jù)中心的所有虛擬化了的設備和性能特征，如虛擬化主機、虛擬化儲存空間、虛擬化應用以及虛擬化數(shù)據(jù)庫等，為相關關鍵業(yè)務提供服務。

圖1 云安全認證傳輸網(wǎng)關典型應用場景

傳統(tǒng)意義上的安全傳輸網(wǎng)關為企業(yè)員工遠程訪問企業(yè)內(nèi)部網(wǎng)絡資源建立了一個安全的傳輸通道，從應用層面解決了用戶身份認證、遠程訪問控制以及數(shù)據(jù)加密傳輸問題。在云計算環(huán)境下，由于用戶隨機移動概率的增多，訪問接入網(wǎng)絡和終端設備的多樣化，傳統(tǒng)硬件搭建的虛擬專網(wǎng)所固有的冗余缺陷導致其在云環(huán)境下缺乏足夠可擴展性和靈活性，因此亟需分布式的、可以應需擴展的符合云特征的安全網(wǎng)關保障云計算環(huán)境下各數(shù)據(jù)中心之間、應用之間、訪問者和應用之間，進行安全認證、訪問控制和數(shù)據(jù)的安全傳輸。

云安全認證傳輸網(wǎng)關通過采用軟硬件資源池化、服務質(zhì)量可量化和彈性化、資源隨需調(diào)用和接入網(wǎng)絡多樣化等技術，實現(xiàn)了面向業(yè)務的虛擬化、分布式，滿足了云計算環(huán)境下低成本、規(guī)?？蓴U展以及彈性計算能力等信息安全服務功能要求，為云計算環(huán)境下關鍵業(yè)務運行提供了應用層面的用戶身份認證、遠程訪問控制以及數(shù)據(jù)加密傳輸?shù)裙δ?，實現(xiàn)了真正意義上的安全即服務（Security as a Service）。

云安全認證傳輸網(wǎng)關典型應用場景

如圖1給出了云安全認證傳輸網(wǎng)關在云數(shù)據(jù)中心環(huán)境中的典型應用場景。

云安全認證傳輸網(wǎng)關功能描述

云安全認證傳輸網(wǎng)關是一款適用于云計算環(huán)境的面向應用層的信息安全設備。云安全認證傳輸網(wǎng)關在能為云服務提供商向其各類客戶提供差異化的云服務同時，也能滿足客戶差異化信息安全服務需求。

圖1中，整個行業(yè)的數(shù)據(jù)中心由一個主數(shù)據(jù)中心和分布在全國的若干個分數(shù)據(jù)中心組成，各分數(shù)據(jù)中心和主數(shù)據(jù)中心之間能實現(xiàn)災備。

行業(yè)數(shù)據(jù)中心采用云計算架構(gòu)構(gòu)建。云數(shù)據(jù)中心采用虛擬化技術為每個行業(yè)關鍵業(yè)務，如網(wǎng)上辦公、物資、服裝、車輛管控、以及資金撥付和結(jié)算等，提供一個在邏輯上完全獨立的虛擬化數(shù)據(jù)中心。

該虛擬化的數(shù)據(jù)中心對用戶完全透明，同時為每個行業(yè)關鍵業(yè)務提供與傳統(tǒng)意義上物理上獨立的數(shù)據(jù)中心完全相同的服務，如在為每個關鍵業(yè)務提供運行多種類操作系統(tǒng)服務器、運行多種數(shù)據(jù)庫的數(shù)據(jù)庫服務器、以及各類WWW服務等的同時，也為各類關鍵業(yè)務提供具有彈性特征的儲存容量，以滿足某個業(yè)務的個性化需求。

圖2 云安全認證傳輸網(wǎng)關應用示例

云安全認證傳輸網(wǎng)關采用云計算技術，為云數(shù)據(jù)中心提供應用層面的信息安全保障。通過采用池化技術，可以將云安全認證傳輸網(wǎng)關的諸如CPU、內(nèi)存、硬盤、通信接口等物理資源進行池化，實現(xiàn)物理資源的虛擬化。通過這類虛擬化技術，實現(xiàn)了在云的硬件平臺上，運行多個虛擬化了的云安全認證傳輸網(wǎng)關，使得云安全認證傳輸網(wǎng)關在現(xiàn)有的網(wǎng)絡基礎架構(gòu)上，即對交換機、路由器、防火墻、光纖/電纜等而言也是透明的，為每個關鍵業(yè)務構(gòu)建一個在邏輯層面完全獨立的虛擬專用網(wǎng)（VPN），以便為每個關鍵業(yè)務提供用戶身份認證、遠程訪問控制、以及數(shù)據(jù)加密傳輸?shù)裙δ堋?/p>

采用軟件調(diào)度與負載均衡技術，可以讓多個云安全認證傳輸網(wǎng)關分布式協(xié)作運行，也可以將部署在異地的多個云安全認證傳輸網(wǎng)關通過中心統(tǒng)一調(diào)度、統(tǒng)一管理和統(tǒng)一審計，使之為每個關鍵業(yè)務構(gòu)建的虛擬專用網(wǎng)具有非常靈活的面向業(yè)務的服務能力、很強地性能擴展能力和彈性部署能力。

云安全認證傳輸網(wǎng)關應用示例

對照圖2所示的應用場景，下面就從流程角度，對云安全認證傳輸網(wǎng)關應用做一個示范性描述。

1.局域網(wǎng)環(huán)境下用戶訪問流程

對局域網(wǎng)而言，關鍵業(yè)務1的用戶A要訪問云數(shù)據(jù)中心提供的關鍵業(yè)務1，則其訪問流程如下：

用戶A將其持有的具有內(nèi)置了數(shù)字證書的UKey插入到網(wǎng)絡終端的USB口。

在關鍵業(yè)務1用戶群進/出口處的B型云安全認證傳輸網(wǎng)關，對用戶A的數(shù)字證書合法性進行驗證，一旦驗證用戶A為合法用戶，則該網(wǎng)關為用戶A設置相應的資源訪問許可和權限。

在示例中，通過配置，可以在B型云安全認證傳輸網(wǎng)關和總部級云數(shù)據(jù)中心進/出口處的A型云安全認證傳輸網(wǎng)關之間建立站點到站點（site to site）模式的虛擬連接，并可依據(jù)關鍵業(yè)務1的特性，來定義該虛擬連接所許可傳輸?shù)木W(wǎng)絡協(xié)議、數(shù)據(jù)加解密類型等面向特點業(yè)務的連接屬性。

一旦建立了虛擬連接，則用戶A即可獲得云數(shù)據(jù)中心提供的授權許可的服務，并全程實現(xiàn)了數(shù)據(jù)傳輸?shù)募咏饷堋?shù)據(jù)訪問的控制等功能。

如果在關鍵業(yè)務1中有多個用戶要同時訪問云數(shù)據(jù)中心提供的云服務，只要通過了其進/出口處B型云安全認證傳輸網(wǎng)關的身份認證，則均能獲得與用戶A相同的云服務。

由于在B型云安全認證傳輸網(wǎng)關和A型云安全認證傳輸網(wǎng)關之間建立的是站點到站點模式的虛擬連接，因此在這類虛連接上可以運行多種網(wǎng)絡協(xié)議和具有不同協(xié)議端口號的多種應用。

2.廣域網(wǎng)環(huán)境下用戶訪問流程

對廣域網(wǎng)用戶而言，如上圖左上側(cè)的遠程用戶B要訪問云數(shù)據(jù)中心提供的某個關鍵業(yè)務，如車輛管控，則其訪問流程如下。

遠程用戶B將其持有的具有內(nèi)置了其數(shù)字證書的UKey插入到某個允許聯(lián)網(wǎng)的網(wǎng)絡終端的USB口。

在遠程用戶群2進/出口處的小型云安全認證傳輸網(wǎng)關，對用戶B的合法性進行數(shù)字證書的驗證，一旦驗證用戶B為合法用戶，則該網(wǎng)關為用戶B設置相應的由云安全認證傳輸網(wǎng)關提供的且和車輛管控業(yè)務相關的資源訪問許可和權限。

在示例中，通過配置，可以在小型云安全認證傳輸網(wǎng)關和總部級云數(shù)據(jù)中心進/出口處的A型云安全認證傳輸網(wǎng)關之間建立站點到站點（site to site）模式的虛擬連接，并可依據(jù)該連接所承載的關鍵業(yè)務特性，如車輛管控業(yè)務特性，來定義該虛擬連接所允許承載的網(wǎng)絡協(xié)議、數(shù)據(jù)加解密類型等面向特定業(yè)務的連接屬性。

一旦建立了虛擬連接，則用戶B就可以獲得云數(shù)據(jù)中心提供的與車輛管控業(yè)務相關的授權許可服務，并依據(jù)實際需求，可全程實現(xiàn)數(shù)據(jù)傳輸?shù)募咏饷?、?shù)據(jù)訪問的控制認證等功能。

如果在遠程用戶群2中有多個用戶要同時訪問云數(shù)據(jù)中心提供的與不同關鍵業(yè)務相關的云服務，則只要通過其進/出口處的小型云安全認證傳輸網(wǎng)關的身份認證，則均能獲得與用戶B相同的云服務體驗。

由于在小型云安全認證傳輸網(wǎng)關和A型云安全認證傳輸網(wǎng)關之間建立的是站點到站點模式的虛擬連接，因此在這類虛連接上可以運行多種關鍵業(yè)務、多種網(wǎng)絡協(xié)議和具有不同協(xié)議端口號的多種應用。

3.分布式安全認證傳輸實現(xiàn)

為給圖2的分布式云數(shù)據(jù)中心提供相應的應用層面的信息安全保障，依據(jù)部署在不同地點云數(shù)據(jù)中心的對行業(yè)關鍵業(yè)務種類和數(shù)據(jù)流量的不同需求，可將能滿足相應技術性能指標要求的云安全認證傳輸網(wǎng)關部署在相應云數(shù)據(jù)中心出/入口處。

在總部級云數(shù)據(jù)中心部署一個在物理上能實現(xiàn)高性能 集群，在邏輯上可虛擬化了的云安全認證傳輸網(wǎng)關，而在異地的區(qū)域級云數(shù)據(jù)中心部署一個能滿足本地要求的小型化的高性能集群。在各云安全認證傳輸設備之間建立在邏輯鏈路層具有網(wǎng)狀結(jié)構(gòu)的虛擬專網(wǎng)，實現(xiàn)云數(shù)據(jù)中心之間安全的信息交換。

通過在總部級云安全認證傳輸網(wǎng)關中，部署相應的調(diào)度軟件，就可以實現(xiàn)全網(wǎng)的云安全傳輸服務的調(diào)度。

通過在總部級云安全認證傳輸網(wǎng)關中，部署一個用于監(jiān)控分布式云安全認證傳輸網(wǎng)關的重量級監(jiān)控軟件，而在其他云安全認證傳輸網(wǎng)關，則部署一個輕量級的監(jiān)控軟件。這類監(jiān)控軟件用于監(jiān)控云安全認證傳輸網(wǎng)關的資源運行情況（如CPU、內(nèi)存、硬盤、物理鏈路流量等），用戶使用統(tǒng)計（如用戶接入時間、退出時間、認證狀態(tài)、訪問目標資源、當前用戶鏈接數(shù)等），并能定時地或隨需地將上述數(shù)據(jù)發(fā)送到指定的監(jiān)控管理終端，以便管理部門可以實時地掌握各級云數(shù)據(jù)中心運行的安全狀況。

總結(jié)

云安全認證傳輸網(wǎng)關作為一個應用層面的信息安全設備，既可以在云計算環(huán)境下，向云數(shù)據(jù)中心的用戶提供全方位的信息安全保障服務，也可以向下兼容，替代傳統(tǒng)的硬件安全網(wǎng)關，實現(xiàn)更好的可擴展性和靈活性。