为了帮助客户快速适应未来的各种云业务变化,华为公司创新性地推出了云数据中心网安全解决方案,旨在为客户构筑弹性、简单、开放的云数据中心网络,支撑企业云业务长期发展。华为云数据中心网安全解决方案的价值主张是自动的网络部署、弹性的网络连接、精细的网络运维。在这种创新理念指导下形成的华为云数据中心网安全解决方案,作为SDN/NFV网络的重要组件,需要与管理层、控制层协同工作,弹性、简单、高效地为数据中心网络边界、虚拟层及租户提供端到端的专业、全面的安全保障。
挑战
随着云计算技术的发展与推广,数据中心的安全架构也面临着一系列新的考验:
0信任网络,数据中心内网不可信,虚拟化进一步打破传统网络安全边界,虚拟化层东西向防护出现盲点,恶意VM可能攻击基础设施或横向感染其他VM。
云中心成为僵尸网络发起地,Outbound DDoS攻击频发。
传统静态安全不适应云业务快速变化,安全上线周期长,不适应VM上线、迁移和下线动态变化。
海量安全策略管理复杂,手工配置不能满足需求;物理与虚拟安全策略管理分离,缺乏全局安全态势呈现。
一套行之有效的安全方案是云数据中心提供可信可靠服务的重要保障。华为云数据中心网安全解决方案为了满足了数据中心快速发展、灵活扩容、业务部署要求,提供了端到端的专业、全面的安全解决方案。
解决方案
l 管理和编排层
由FusionSphere云平台提供面向运营商、企业的统一的Portal界面,租户通过Portal订阅安全增值服务。FusionSphere执行安全资源分配,基于租户订购和定义的“业务规则”调用Agile Controller动态开通安全服务。由VNFM负责资源申请,实现安全资源的生命周期管理:部署、升级、扩缩容、删除。
l 控制层
由Agile Controller根据基于云平台定义的租户服务完成网络预配置、基于应用的4-7层安全策略下发。由eSight (含LogCenter组件)实现安全设备管理和日志报表管理。
l 数据面
DC边界,部署数据中心防火墙USG9500、Anti-DDoS、NIP、SVN、FireHunter、CIS等多种安全设备,提供大流量、多业务安全防护。
租户边界,集中部署硬件防火墙USG6000池或软件防火墙USG6000-V池,对租户间的南北向流量进行安全防护。
租户内部,基于Host分布式部署USG6000V,可基于vSYS为多个租户作内部东西向流量过滤、VM主机隔离。