城堡网 >> 安全产品 >> 方案与服务 

着眼现实 面向未来——论数据中心安全的部署
数据中心的机遇与挑战
随着业务的逐步集中和整合,承载业务的数据中心已经成为信息化建设的核心。数据中心已经摆脱了简单的“机房”的概念,高密度计算、大容量存储以及高速率通信已经成为数据中心的典型特征,随着云计算的兴起,虚拟化技术、绿色环保技术等新技术也开始在数据中心得到逐步的应用。技术的进步也进一步推动了数据中心的发展,包括虚拟化在内的下一代数据中心相关技术已经成为IT技术发展的新的热点,成为IT技术的制高点。
信息安全作为数据中心建设的主要关注点,也将面临下一代数据中心所带来的挑战。具体来说,信息安全需要面临的挑战包括:
n   虚拟化技术的普遍应用及由此带来的虚拟机迁移问题,使得数据中心网络进一步扁平化,全二层组网将成为主流,并且虚拟机在迁移过程中将需要将对应的网络及信息安全策略进行迁移。因此,传统的信息安全分区方法将彻底失效。
n   数据中心骨干链路普遍采用10G链路,并且将要向40G/100G链路进行迁移,对应的信息安全产品也需要支持40G~100G的处理能力,传统的信息安全产品将重新成为性能瓶颈。
n   数据中心业务的快速变化带来了信息安全策略的快速调整,信息安全产品需要能够简单快速的部署,以适应信息安全策略的快速调整。传统的分立式安全方案不能满足此要求,需要新的高性能集成化解决方案。
n   信息安全威胁与应用的快速变化,要求面向下一代数据中心的安全解决方案具有平滑的功能和性能的扩展能力。
n   除信息安全的需求以外,下一代数据中心也要求能够在网络上对应用进行感知和优化,以满足不同应用的QoS需求。具体来说包括:
n   能够感知不同的应用类型,并对不同的应用给予不同的带宽保障。
n   能够对应用进行优化,以缓和数据中心出口带宽的压力,提升用户体验。
n   作为应用性能平滑扩展的主要技术手段,负载均衡将成为数据中心网络所需要具有的基础能力。
 
迪普数据中心的安全部署
从需求的角度来看,尽管以云计算为代表下一代数据中心技术将为数据中心基础架构带来翻天覆地的变化,但是数据中心最核心的业务——应用本身——并没有发生变化。这也就意味着无论应用在数据中心内部,甚至跨数据中心,进行任何形式的部署和迁移,应用的安全、可用、加速的需求依然没有变化。相应的,为了满足应用的需求所需要采用的技术手段也不会有根本性变化,依然是防火墙、IPS、抗DoS/DDoS、web安全防护等等,真正发生变化的是这些技术的部署方式。因此,面向下一代数据中心的安全解决方案首先要解决的是部署问题。
从这个角度出发,杭州迪普科技有限公司推出了业内领先的DPtech DPX8000系列多业务交换网关产品,满足面向下一代数据中心的安全部署需求,并规划了数据中心的部署演进路线。迪普数据中心安全部署方案主要着眼于面向未来数据中心架构的部署方案。方案设计的要点如下:
n   整个数据中心网络整体采用大二层扁平化组网,整个数据中心将以Pod为单位进行服务器的平滑扩展。
n   基于VLAN进行安全分区。
n   根据业务需要,将整网的网关设备分别设置在出口路由器、DPX引擎或者DPX的特定业务板之上,用网关来固定和牵引应用的流量通过安全设备。
n   根据应用的需求,在DPX上配置应用防火墙、IPS、应用交付、流量清洗等业务板卡,满足数据中心的各种安全需求。如果某个功能的性能需求超过一块板卡的能力,则部署多块同功能板卡,通过跨板卡的多合一虚拟化进行性能聚合。
n   根据需要,将各个业务板卡的功能进行虚拟化,每个虚拟化功能(比如虚拟防火墙、虚拟IPS等)对应一个或一类需求相同的业务,进行针对性的安全策略部署。
n   对于虚拟机的部署,建议通过可以感知虚拟机迁移的以太网技术(VN-TAG或VEAP),再基于VLAN进行动态安全分区。
 
典型拓扑如下图所示:


面向未来的演进路线
迪普数据中心安全部署方案既着眼现实的数据中心安全需求,也面向未来的数据中心安全需求,因此在进行方案设计时也充分考虑了数据中心的技术演进。
首先考虑一个传统的完全没有采用虚拟化技术的数据中心。此类数据中心大多采用固定端口的VLAN进行安全分区,在防火墙上通过不同的接口或者trunk链路的虚拟端口连接不同的安全分区,安全分区之间的访问通过防火墙进行控制,其他安全产品则串接或者旁路接入不同的安全分区。对此DPX通过多个业务插卡的功能组合,完全可以满足所有安全需求,只需要在DPX内部简单定义好流量转发的路径即可。
当数据中心开始引入虚拟化技术以后,处于业务稳定的考虑,基本上已经部署的应用都不会马上进行迁移,而是将新增的应用通过虚拟化技术进行部署。此时,可以将业务插卡进行分组,一部分业务插卡用于传统的非虚拟化部署的应用,一部分插卡用于进行虚拟化部署的应用。如采用两块防火墙插卡,一块用于传统非虚拟化部署的应用,一块用于虚拟化部署的应用,其他功能插卡的部署方式也类似。当虚拟化规模很小的时候,也可以考虑进行虚拟化分组,如将一个防火墙插卡虚拟成为两个或者多个防火墙,其中一个用于传统的非虚拟化部署的应用,其余的用于进行了虚拟化部署的应用。
随着虚拟化部署的初步成功,除了新增应用会采用虚拟化部署以外,部分老应用也会逐步的进行虚拟化部署。此时可以根据性能的需要,逐步的将用于非虚拟化部署分组的板卡加入采用虚拟化部署分组的板卡,或者调整板卡上虚拟业务的性能分配,逐步加大用于虚拟化部署应用的安全业务的性能。
最终,除了少量核心业务以外的所有应用都会迁入云中,甚至所有的业务都会迁入云中。此时可以将所有板卡归入一个分组,通过跨板卡的性能聚合将多个板卡作为一个板卡提供给业务的应用。
随着数据中心的演进,板卡部署的变化可用下图简单显示。


当数据中心规模扩大到一定规模以上,传统的双星型拓扑可能已经无法满足数据中心的需求,数据中心可能会采用一些特殊的拓扑形式,比较典型的有Fat Tree拓扑等等。此时也可以通过改变DPX的部署位置而简单的实现,具体部署示例如下图所示:


 
 
 
 
 
 
方案的特色与优势
迪普数据中心安全部署方案最大的特色在于部署,即通过网关固定和牵引应用的流量,从而保证了安全策略实施的简便有和有效,用一句话来概括即“二层以下归网络,三层以上归安全”。除这一鲜明的特色以外,迪普数据中心安全解决方案还具有如下特点与优势:
n   网络级的性能
迪普相关产品基于APP-X硬件平台,可以在吞吐量、并发、新建连接、延时等方面提供网络级的性能。不会因为增加了新的设备而使得应用的性能出现下降。
n   网络适应性
迪普相关产品基于Conplat软件平台,提供了丰富的网络适应性,可以在IPv6、MPLS等复杂网络环境下良好的工作。面向下一代数据中的各种新的网络特性,在部署的时候,可不受限制,也不需要大面积调整网络结构。
n   完善的L2~7安全保护
通过DPX的防火墙、IPS、流量清洗等板卡提供了完善的L2~7层安全保护。
n   面向业务的应用交付
通过DPX的应用交付板卡,提供负载均衡、应用加速、SSL卸载等应用交付功能,使得应用更快速、更可用。
n   一体化部署
采用DPX一体化部署方案,简化了设备部署的复杂性,灵活了安全与应用交付策略的配置,提高了系统可靠性。
n   统一安全策略部署
DPtech产品的统一管理和策略部署能力,提供了简便的统一安全策略部署方案。
n   完善的高可靠性保障
通过DPX的双机热备能力,提供完善的高可靠性保障。并且所有的业务板卡在出现故障时都可以被自动旁路,不会造成应用的中断。
分享到:
责任编辑:jr
我有话说 已有 0 条评论
最新评论 刷新
暂无评论