雲計算作為新型基礎設施建設的重要組成，關鍵作用日益凸顯，市場規模呈現持續增長趨勢。然而云計算安全態勢日益嚴峻，安全性成為影響雲計算充分發揮其作用的核心要素。與傳統 IT 系統架構不同，上雲之後，雲安全迎來了責任共擔新時代。

網絡安全法和等保 2.0 給出了比較清晰的指導建議，當然這也要求雲廠商能提供基於 IaaS、PaaS、SaaS 的安全機制和服務。雲廠商在提供給雲租户雲服務內容的同時，還要提供相應的安全措施和具體的安全服務產品。

QingCloud 安全資源池服務

QingCloud 安全資源池是青雲提供的在當前安全威脅和安全合規要求下的安全解決方案之一。

首先，QingCloud 安全資源池構建在基於可信雲平台之上，雲平台提供安全的 SDN 網絡、SDS 存儲、軟件定義計算的安全雲環境，在雲之上提供給租户自助的安全服務，如主機防護、運維堡壘機、審計、WAF、安全態勢等。這些安全服務，可以滿足租户對安全多樣性的需求，安全組件以租户為單位進行資源和安全隔離，這是安全池的基本功能。

除了安全資源池的整體性，雲平台又給安全組件賦予了一些新的特性：

• <b>自助特性：</b>租户可以自助進行安全組件規格、數量 、處理性能的定製化，可以自由選擇青雲當前最新的雲主機類型，從而發揮出安全組件的最佳性能。

• <b>性能保證：</b>雲中安全組件的性能，往往是用户在選擇此方案時的考慮之一。青雲如何來保證雲中安全組件的性能呢？雲中安全組件可以藉助雲平台的資源彈性擴展功能，來提升安全組件的流量處理能力，如很多安全產品中的流量深度過濾功能，就可以結合雲平台的 LB 負載均衡，來提供多實例的抗衡大流量的網絡攻擊行為。並且可以藉助 EIP 功能，對外體現為一個安全集羣來應對大流量攻擊事件。

• <b>開放特性：</b>用户在選擇安全產品時，除了考慮性能因素外，另外要考慮的就是安全產品的功能和專業度，也就是説能否幫業務做好安全。舉例説明：用户擔心一重防火牆不能阻擋當下新型的網絡攻擊（如 APT 或零日攻擊事件），專業的安全用户就希望有多款不同技術見長的安全產品組合起來實現防護攻擊，實現安全交叉互補的防護效果。客户有需求，我們就要有實現的能力，對雲平台來説也是一個技術挑戰，SDN 編排必須要是開放性的架構設計，可以根據用户的需求，編排對接各種形態和第三方的安全資源池和專業安全設備。青雲在規劃安全資源池時，就考慮到了用户這種專業的安全需求，並且投入大量的研發，實現了 SDN 編排的開放特性，通過 SDN 編排可以兼容第三方的安全資源池，甚至安全設備。

安全資源池服務實現路徑及難點

在瞭解具體的技術實現情況前，先要看一下實現這樣的安全資源池的難點在哪裏？要實現剛才提到的安全資源池，雲平台要解決兩個層面的工作。

1. <b>控制管理平面：</b>租户需要在自己的管理頁面上可以自由選擇，甚至是自由組合使用對應的安全組件產品，包括下發安全配置策略、查看各種安全事件和日誌，這就需要雲平台來對接海量的安全產品管理接口以及對接各種安全產品的控制枱，由於接口技術不統一，工作比較複雜且工作量很大。

2. <b>數據流量平面：</b>如何實現雲實例的正常流量，根據安全管理的需求，分別經過各種安全產品或組件，也就是俗稱的東西向流量和南北向流量編排。如何實現東西向流量和南北向流量編排，本身就是一個難點，用户多、雲業務複雜、流量大，還要保證較低的網絡延時以及無單點故障，加上考慮開發特性、對接各種第三方資源池和安全設備，方案極其複雜。

青雲安全資源池架構實現

上圖為青雲實現統一安全資源池的 SDN 編排方案邏輯圖。由 3 個核心部分構成：SDN 統一管控平台組件、MCN（多雲網絡管理組件）、各種形態的安全資源池。

• <b>安全統一管控平台：</b>青雲自研的統一註冊管理安全產品控制枱的組件平台，這個組件平台一邊對接各安全產品控制枱和 API，另一邊提供豐富的 API 接口，給雲租户 console 來調用，從而對接儘可能多的安全產品和組件，並且解耦安全組件的控制管理，給雲平台租户提供可以自由選擇使用對接註冊到平台上的各種安全組件，並且要實現各種策略的下發、事件的吿警和日誌的集中收集等。

• <b>MCN 多雲網絡管理組件：</b>青雲自研的一款軟件定義網絡產品，在整個方案中 MCN 起到高性能網絡互聯互樞紐的作用，可以對接各種網絡和設備，當然也包括各種安全設備和資源池。以 MCN 為核心，在總的安全 SDN 統一管控平台定義下，把防護實例對象的流量進行安全流量邏輯編排，依次通過定義的安全設備，從而進行各種安全防護。

因為有了 SDN 統一管控平台和 MCN，就可以實現對接青雲自研和第三方的安全資源池安全方案。最後一個組件是青雲的 VG，是互聯網的出口設備組件（軟件），可以對接各種線路、綁定EIP 地址池和公網負載均衡等實現。

青雲 SDN 雲安全服務分別定義了 SDN 統一管控平台和 MCN＋ 各種形態的安全服務，從而實現了基於 SDN 的安全服務編排，為雲租户提供靈活又全面的安全防護方案。

MCN 核心組件，是整個SDN 編排的核心重點。有四個核心功能：

• <b>服務調度：</b>能接受 SDN 統一控制枱的服務和資源調度，對接管理層面。

• <b>流量編排：</b>形成編排邏輯和流量鏈條計劃。

• <b>高性轉發平面：</b>東西向和南北向流向轉發和網絡設備對接，如 Vxlan 數據解封裝。

• <b>多種形態：</b>軟件定義的多種形態，滿足各種場景的需求，成本和高性能是考慮的重點。

青雲對 MCN 使用場景的定義：

• 不同網絡的互聯，甚至在混合雲、私有云場景下的多網絡互連。

• 雲在 Region 下多 AZ 區域的網絡互通，可以感知和實現對雲環境多大的環境變化，這點是傳統交換機無法實現的。

• 數據平台，具有各種網絡隧道能力，數據包解封的能力，如 vxlan 的流量編排等。

SDN 安全服務編排價值

經過 SDN 的編排，有哪些價值？

<b>運維場景：</b>要對雲中數據做運維，可以通過 NFW 訪問堡壘機，再訪問數據庫。

<b>交付業務防護場景：</b>通過入侵防禦、數據庫組的防護組件，再訪問數據庫。用户一鍵快速在雲中實現安全服務的編排部署，如在真實的數據中心，獲取到豐富的安全功能，方案靈活，並且能保證安全產品的性能和安全功能交叉保護，從而實現對雲中實例的安全做到自主可控。

安全產品在真實的實踐中，為了達到較好的防護效果，往往要使用不同技術架構，不同實現的安全產品，通過組合使用，來提升防護率，如戰爭中，我們會發現有各種的防禦措施，第一道防禦、第二道防禦，也會使得不同特點的火力武器進行配合使用。

SDN 編排場景：異構、混合安全防護編排

南北向編排：如雲主機 1 需要訪問互聯網，可以通過 SDN 編排，數據流量先經過安全資源池中的“虛擬下一代防火牆”做訪問規則的過濾後，再跳轉到傳統硬件 IPS 進行應用特徵庫過濾，最終訪問到互聯網。

東西向編排：如 VPC 1 中雲主機 1 和 VPC 2 中的雲主機 4 互通，這屬於典型的跨 VPC 東西向流量，這個場景假設 VPC 1 中為運維終端，要訪問 VPC 2 中的雲主機 4 服務。我們可以通過 SDN 編排，將流量強制經過物理安全設備“堡壘機”的身份認證和授權後，才能訪問雲主機 ４，從而實現運維操作的記錄和審計。此業務場景，通過 SDN 編排後充分利用了“具有性能優勢的物理安全設備”。

南北向編排：此場景為從互聯網主動訪問雲中的主機實例 6 的業務場景，為常見的業務訪問場景。我們通過 SDN 編排 EIP 的能力，將訪問流量依次通過“虛機下一代防火牆”和物理 IPS 混合過濾，經過濾後的流量最終到達實例 ６。不僅實現混合增強防護效果，也可以在混合雲模式下，兼容各種安全防護設備和技術。

SDN 安全服務編排優勢

• <b>開放架構：</b>開放架構可以對接和編排各種第三方安全能力和各種安全資源形態。

• <b>安全資源池：</b>基於青雲雲平台，可提供可信環境、資源彈性、一鍵交付、靈活擴容的安全資源池。

• <b>安全服務化：</b>提供青雲雲資源一致的操作習慣和使用體驗。

• <b>智能編排：</b>解決各種傳統網絡、安全設備、異構安全資源的網絡打通和流量編排。

作者

張帆 青雲科技解決方案架構師

本文由博客一文多發平台 OpenWrite 發佈！