数字经济的平安基石

运营商

OPERATOR

首页 > 客户案例 > 正文

中国联通新疆分公司项目案例

阅读量:
项目配景

随着越来越多的用户将古板的业务系统迁移至云计算环境中,云平安面临的挑战也更加严峻,古板环境下的平安问题在云环境下仍然保存,如SQL注入、内部越权、数据泄露、数据窜改、网页窜改、漏洞攻击等,而云环境下又时时涌现一堆新的平安问题,如云平安疆域的划分和防护、云平安防护系统的选择和安排、云平安检测、平安防御、云平安审计等。同时,云计算环境下的资源按需分派、弹性扩容、资源集中化等新型技术形态也给云平安技术带来挑战和技术革新。


项目内容
● 云平安总体业务架构设计
根据新疆联通医疗云的现有业务特点以及其相关云平安防护需求,凯旋门国际信息提出了基于软件界说平安(SDS)的天池云平安解决计划,该计划与新疆联通医疗云现有的云环境进行适配集成,以实现云计算环境中的平安防护。
本计划采用软件界说平安(SDS)的架构,其原理是通过将平安数据与控制平面的别离,对物理及虚拟的网络平安顿备与其接入模式、安排方法、实现功能进行解耦,底层笼统为云平安资源池里的资源,顶层统一通过软件编程的方法进行智能化、自动化的业务编排和管理,以完成相应的平安功能,从而实现一种灵活的平安防护。云平安资源池业务架构如下图所示∶


整体业务设计架构说明∶

● 云租户登岸云管理平台按需申请云平安防护能力,如云营垒机、云Web应用防火墙等

● 云平台平安管理员审核需求和效劳订单

● 根据云租户申请的云平安产品类型,云管理平台通过挪用云平安管理平台的API接口,自动的创立对应的云平安能力

● 云租户通过单点登录到云平安管理平台将平安战略下发到各云平安产品

● 云平安管理平台通过挪用云管理平台提供的SDN API接口,将租户业务流量的南北向流量按需的引入到云平安资源池内,经过下一代云防火墙系统和云Web应用防火墙的清洗
●?云平台管理员通过云平安管理平台的平台视角看到整个云平台的平安状态、云平安虚拟机的健康状态、系统和平安事件的监控情况等

● 云租户平安管理员通过云平安管理平台的租户视角看到自己虚拟网络的平安状态,比方平安事件、平安日志,并且可以依照业务平安的需求自界说平安规则


● 云平安资源池网络模型架构设计
增加了天池云平安资源池后,vm网络通信流程如上图所示,分为网关型平安效劳(如云防火墙)和非网关型平安效劳(如云营垒机)两大类平安效劳∶
一● 网关型平安效劳的网络通信流程
云租户申请EIP时,天池云平安资源池与SDN控制器进行协商,双方均自动建立好VLAN100与ylan200的网络,同时SDN控制器将VLAN100对接到某一个VXLAN网络里面比方 VXLAN 10000,同时将VXLAN IF 10000的接口也绑定到vRouter1上
同时天池云平安管理平台通过API让平安资源池创立VLAN100与VLAN200的网络,并自动生成一个vFW将vFW的trust接口桥接到VLAN100上, untrust接口桥接到VLAN200 上。,同时预留的ip地点配置到云核心,交换机的 VLAN100 VLAN200接口以及云防火墙的trust和untrust接口上。将EIP发下给云防火墙,并完成SNAT、平安战略的默认配置

后通过vFW的untrust接口转发到vRouterpublic上,最后通过vRouter public的underlay的路由将数据转发出云外了。

从云外到云内的流量转发模型正好相反,需要挪用SDN API 将目的IP为EIP的路由下一跳指向云防火墙的untrust
一● 非网关型平安效劳的网络通信流程
云租户申请营垒机,天池云平安资源池与SDN控制器进行协商,双方均自动建立好VLAN100的网络,同时SDN控制器将VLAN100对接到某—个VXLAN网络里面比方 VXLAN 10000, 同时将VXLAN IF 10000的接口也绑定到 vRouter1上
同时天池云平安管理平台通过API让DASONE创立VLAN100的网络,并自动生成一个营垒机桥接到VLAN100的网络上。这样云营垒机通过VLAN100就完成了与租户VLAN10和VLAN 20的网络通信




项目价值
云计算作为一种新兴的计算资源利用方法,正处在飞速开展的阶段。云计算的效劳商通过对硬件资源的虚拟化,将基础IT资源酿成了可以自由调理的资源池,从而实现资源的按需分派,向客户提供按使用付费的云计算效劳。用户可以根据业务的需要动态调解所需的资源,而云效劳商也可以提高自己的资源使用效率,降低效劳本钱,通过多种差别类型的效劳方法为用户提供计算、存储和数据业务的支持。





返回

与专家在线沟通, 免费获取专业解决计划

线上咨询
联系凯旋门国际

咨询电话:400-6059-110

微信咨询