雲端計算作為新型基礎設施建設的重要組成，關鍵作用日益凸顯，市場規模呈現持續增長趨勢。然而云計算安全態勢日益嚴峻，安全性成為影響雲端計算充分發揮其作用的核心要素。與傳統 IT 系統架構不同，上雲之後，雲安全迎來了責任共擔新時代。

網路安全法和等保 2.0 給出了比較清晰的指導建議，當然這也要求雲廠商能提供基於 IaaS、PaaS、SaaS 的安全機制和服務。雲廠商在提供給雲租戶雲服務內容的同時，還要提供相應的安全措施和具體的安全服務產品。

QingCloud 安全資源池服務

QingCloud 安全資源池是青雲提供的在當前安全威脅和安全合規要求下的安全解決方案之一。

首先，QingCloud 安全資源池構建在基於可信雲平臺之上，雲平臺提供安全的 SDN 網路、SDS 儲存、軟體定義計算的安全雲環境，在雲之上提供給租戶自助的安全服務，如主機防護、運維堡壘機、審計、WAF、安全態勢等。這些安全服務，可以滿足租戶對安全多樣性的需求，安全元件以租戶為單位進行資源和安全隔離，這是安全池的基本功能。

除了安全資源池的整體性，雲平臺又給安全元件賦予了一些新的特性：

• <b>自助特性：</b>租戶可以自助進行安全元件規格、數量 、處理效能的定製化，可以自由選擇青雲當前最新的雲主機型別，從而發揮出安全元件的最佳效能。

• <b>效能保證：</b>雲中安全元件的效能，往往是使用者在選擇此方案時的考慮之一。青雲如何來保證雲中安全元件的效能呢？雲中安全元件可以藉助雲平臺的資源彈性擴充套件功能，來提升安全元件的流量處理能力，如很多安全產品中的流量深度過濾功能，就可以結合雲平臺的 LB 負載均衡，來提供多例項的抗衡大流量的網路攻擊行為。並且可以藉助 EIP 功能，對外體現為一個安全叢集來應對大流量攻擊事件。

• <b>開放特性：</b>使用者在選擇安全產品時，除了考慮效能因素外，另外要考慮的就是安全產品的功能和專業度，也就是說能否幫業務做好安全。舉例說明：使用者擔心一重防火牆不能阻擋當下新型的網路攻擊（如 APT 或零日攻擊事件），專業的安全使用者就希望有多款不同技術見長的安全產品組合起來實現防護攻擊，實現安全交叉互補的防護效果。客戶有需求，我們就要有實現的能力，對雲平臺來說也是一個技術挑戰，SDN 編排必須要是開放性的架構設計，可以根據使用者的需求，編排對接各種形態和第三方的安全資源池和專業安全裝置。青雲在規劃安全資源池時，就考慮到了使用者這種專業的安全需求，並且投入大量的研發，實現了 SDN 編排的開放特性，通過 SDN 編排可以相容第三方的安全資源池，甚至安全裝置。

安全資源池服務實現路徑及難點

在瞭解具體的技術實現情況前，先要看一下實現這樣的安全資源池的難點在哪裡？要實現剛才提到的安全資源池，雲平臺要解決兩個層面的工作。

1. <b>控制管理平面：</b>租戶需要在自己的管理頁面上可以自由選擇，甚至是自由組合使用對應的安全元件產品，包括下發安全配置策略、檢視各種安全事件和日誌，這就需要雲平臺來對接海量的安全產品管理介面以及對接各種安全產品的控制檯，由於介面技術不統一，工作比較複雜且工作量很大。

2. <b>資料流量平面：</b>如何實現雲實例的正常流量，根據安全管理的需求，分別經過各種安全產品或元件，也就是俗稱的東西向流量和南北向流量編排。如何實現東西向流量和南北向流量編排，本身就是一個難點，使用者多、雲業務複雜、流量大，還要保證較低的網路延時以及無單點故障，加上考慮開發特性、對接各種第三方資源池和安全裝置，方案極其複雜。

青雲安全資源池架構實現

上圖為青雲實現統一安全資源池的 SDN 編排方案邏輯圖。由 3 個核心部分構成：SDN 統一管控平臺元件、MCN（多雲網路管理元件）、各種形態的安全資源池。

• <b>安全統一管控平臺：</b>青雲自研的統一註冊管理安全產品控制檯的元件平臺，這個元件平臺一邊對接各安全產品控制檯和 API，另一邊提供豐富的 API 介面，給雲租戶 console 來呼叫，從而對接儘可能多的安全產品和元件，並且解耦安全元件的控制管理，給雲平臺租戶提供可以自由選擇使用對接註冊到平臺上的各種安全元件，並且要實現各種策略的下發、事件的告警和日誌的集中收集等。

• <b>MCN 多雲網路管理元件：</b>青雲自研的一款軟體定義網路產品，在整個方案中 MCN 起到高效能網路互聯互樞紐的作用，可以對接各種網路和裝置，當然也包括各種安全裝置和資源池。以 MCN 為核心，在總的安全 SDN 統一管控平臺定義下，把防護例項物件的流量進行安全流量邏輯編排，依次通過定義的安全裝置，從而進行各種安全防護。

因為有了 SDN 統一管控平臺和 MCN，就可以實現對接青雲自研和第三方的安全資源池安全方案。最後一個元件是青雲的 VG，是網際網路的出口裝置元件（軟體），可以對接各種線路、繫結EIP 地址池和公網負載均衡等實現。

青雲 SDN 雲安全服務分別定義了 SDN 統一管控平臺和 MCN＋ 各種形態的安全服務，從而實現了基於 SDN 的安全服務編排，為雲租戶提供靈活又全面的安全防護方案。

MCN 核心元件，是整個SDN 編排的核心重點。有四個核心功能：

• <b>服務排程：</b>能接受 SDN 統一控制檯的服務和資源排程，對接管理層面。

• <b>流量編排：</b>形成編排邏輯和流量鏈條計劃。

• <b>高性轉發平面：</b>東西向和南北向流向轉發和網路裝置對接，如 Vxlan 資料解封裝。

• <b>多種形態：</b>軟體定義的多種形態，滿足各種場景的需求，成本和高效能是考慮的重點。

青雲對 MCN 使用場景的定義：

• 不同網路的互聯，甚至在混合雲、私有云場景下的多網路互連。

• 雲在 Region 下多 AZ 區域的網路互通，可以感知和實現對雲環境多大的環境變化，這點是傳統交換機無法實現的。

• 資料平臺，具有各種網路隧道能力，資料包解封的能力，如 vxlan 的流量編排等。

SDN 安全服務編排價值

經過 SDN 的編排，有哪些價值？

<b>運維場景：</b>要對雲中資料做運維，可以通過 NFW 訪問堡壘機，再訪問資料庫。

<b>交付業務防護場景：</b>通過入侵防禦、資料庫組的防護元件，再訪問資料庫。使用者一鍵快速在雲中實現安全服務的編排部署，如在真實的資料中心，獲取到豐富的安全功能，方案靈活，並且能保證安全產品的效能和安全功能交叉保護，從而實現對雲中例項的安全做到自主可控。

安全產品在真實的實踐中，為了達到較好的防護效果，往往要使用不同技術架構，不同實現的安全產品，通過組合使用，來提升防護率，如戰爭中，我們會發現有各種的防禦措施，第一道防禦、第二道防禦，也會使得不同特點的火力武器進行配合使用。

SDN 編排場景：異構、混合安全防護編排

南北向編排：如雲主機 1 需要訪問網際網路，可以通過 SDN 編排，資料流量先經過安全資源池中的“虛擬下一代防火牆”做訪問規則的過濾後，再跳轉到傳統硬體 IPS 進行應用特徵庫過濾，最終訪問到網際網路。

東西向編排：如 VPC 1 中雲主機 1 和 VPC 2 中的雲主機 4 互通，這屬於典型的跨 VPC 東西向流量，這個場景假設 VPC 1 中為運維終端，要訪問 VPC 2 中的雲主機 4 服務。我們可以通過 SDN 編排，將流量強制經過物理安全裝置“堡壘機”的身份認證和授權後，才能訪問雲主機 ４，從而實現運維操作的記錄和審計。此業務場景，通過 SDN 編排後充分利用了“具有效能優勢的物理安全裝置”。

南北向編排：此場景為從網際網路主動訪問雲中的主機例項 6 的業務場景，為常見的業務訪問場景。我們通過 SDN 編排 EIP 的能力，將訪問流量依次通過“虛機下一代防火牆”和物理 IPS 混合過濾，經過濾後的流量最終到達例項 ６。不僅實現混合增強防護效果，也可以在混合雲模式下，相容各種安全防護裝置和技術。

SDN 安全服務編排優勢

• <b>開放架構：</b>開放架構可以對接和編排各種第三方安全能力和各種安全資源形態。

• <b>安全資源池：</b>基於青雲雲平臺，可提供可信環境、資源彈性、一鍵交付、靈活擴容的安全資源池。

• <b>安全服務化：</b>提供青雲雲資源一致的操作習慣和使用體驗。

• <b>智慧編排：</b>解決各種傳統網路、安全裝置、異構安全資源的網路打通和流量編排。

作者

張帆 青雲科技解決方案架構師

本文由部落格一文多發平臺 OpenWrite 釋出！