蓝盾基于SDN实现的云计算安全保护
2014-05-26 17:20:51   来源：   评论：0 点击：

 云计算的安全问题已引起了广泛的重视

　　目前我国众多行业都已在云计算上进行了大规模的投入，虽然云计算建设大多仍处于初级阶段，但已有不少的基于云计算的服务已走入人们的工作和生活中。特别是一些运营商、有实力的企业单位以及大型政府信息中心，经过几年的建设已完成了云基础设施的建设，能向用户较好的提供IaaS或SaaS的服务。 

　　很多组织已经逐步将非核心的业务移植到云平台上。但由于组织普遍担忧云计算数据中心/云平台较传统数据中心受到如数据泄漏、服务受攻击等安全威胁可能性较大的原因，核心业务的转移一直开展缓慢。组织担忧的原因主要是由于虚拟化技术的引入，打破了传统的网络边界的划分方式，另外虚拟机数量的快速变化也要求安全防护能相应的迅速作出反应。针对这些新出现的问题，传统的安全技术手段无法做到有效的安全防护。因此对于采用基于虚拟化的云平台架构搭建IT环境的政府及企业用户来说，安全性及合规性更是成为需要考虑的首要因素：用户需要一套全新的完备的安全方案以同时为虚拟环境和物理环境提供持续的保护，并且满足相关合规性需要。

   蓝盾基于SDN实现的云计算安全保护

　　蓝盾基于SDN实现的云计算安全保护产品是基于广义的SDN概念实现的云计算安全保护产品，它将网元设备（包括硬件或软件，如物理或虚拟的交换机、路由器、中继器等）的数据转发功能与控制传输功能分离开来，通过逻辑集中的控制器来进行管理。同时，蓝盾安全服务编排与SDN控制器集群互操作，协调完成对云计算的安全保护工作。

　　蓝盾基于SDN实现的云计算安全保护产品能针对云计算环境中动态变化的虚拟机数量和虚拟机迁移导致的虚拟机位置变换等与传统环境中不同的特征，对虚拟机进行保护。这种方法基于支持SDN的物理或虚拟交换机（如OpenvSwitch）和虚拟平台管理接口，在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化，从而制定新的安全策略，并且根据此需要在云计算中心的各地各主机上快速的部署或关闭所需的安全虚拟器件（如防火墙、IDS、IPS、漏洞扫描、审计类产品等）并且向支持SDN的交换机更新安全策略，能实时有效的保护云计算中心（包括其中的虚拟机）的安全并且节省系统资源。产品的功能模块如图1所示：

蓝盾基于SDN实现的云计算安全保护产品功能模块图

　　蓝盾基于SDN实现的云计算安全保护产品建立一个云计算中心安全控制台（云安全服务编排）。这个云计算中心安全控制台根据支持SDN的物理/虚拟交换机反馈的安全防护需求，调动安全虚拟器件管理模块按照各地区各主机的安全需求的最新情况增加/删除虚拟安全器件。其中虚拟化主机的网桥由支持SDN的虚拟交换机替换。总控制平台下发流表以保证安全，支持SDN的物理/虚拟交换机根据流表将所需监控的端口流量转发到指定的虚拟安全器件上，并且将可疑的流量转发至总控制平台。总控制平台识别安全需求的变化并自动调整安全策略，并且下发执行网络流量规则和虚拟安全器件的调整，通过SDN控制器下发流表至虚拟交换机，通过虚拟化平台接口调整虚拟器件的网络部署安排。

　　到目前为止，蓝盾基于SDN实现的云计算安全保护产品已为多家云计算服务供应商提供了云计算安全保护、云环境中虚拟机审计、云环境合规性保证等方面的服务，并得到了客户的一致好评。蓝盾将继续致力于云计算、虚拟化、SDN、移动办公等前沿领域的研究，基于蓝盾智慧安全框架“动立方”，为云和虚拟化环境提供更加灵活、可靠、智能的安全防护，用低成本、高回报的方式为客户提供更加优秀的服务。