基于基礎(chǔ)架構(gòu)層的云安全防護(hù)技術(shù)探究

徐儉

【摘要】主要從云安全防護(hù)技術(shù)需求、云安全架構(gòu)與防護(hù)模型、嵌入式安全實(shí)現(xiàn)方案、基于服務(wù)鏈的云安全組網(wǎng)方案、云安全資源池化技術(shù)、多層次云安全體系等方面，對(duì)基于基礎(chǔ)架構(gòu)層的云安全防護(hù)技術(shù)諸多要點(diǎn)問題進(jìn)行探討研究。

【關(guān)鍵詞】基礎(chǔ)架構(gòu)層 云安全防護(hù) 嵌入式安全 服務(wù)鏈 云安全資源池化 多層次云安全體系

IT領(lǐng)域云計(jì)算技術(shù)的發(fā)展使得計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)模式從面向連接轉(zhuǎn)向了面向應(yīng)用，這給網(wǎng)絡(luò)安全帶來了巨大挑戰(zhàn)，傳統(tǒng)的安全部署模式在管理性、伸縮性、升級(jí)敏捷性等方面已經(jīng)無法跟上業(yè)務(wù)發(fā)展的步伐，云平臺(tái)數(shù)據(jù)中心必須建設(shè)靈活可靠、自動(dòng)化快速部署和資源彈性擴(kuò)展的基于SDN（軟件定義網(wǎng)絡(luò)）、服務(wù)鏈和軟硬件安全設(shè)備相結(jié)合的安全防護(hù)技術(shù)體系，下文探討研究的主要是基于基礎(chǔ)架構(gòu)層的云安全防護(hù)技術(shù)。

一.云安全防護(hù)技術(shù)需求

1.云安全體系開放

基礎(chǔ)架構(gòu)層的云安全體系應(yīng)支持與O p e n S t a c k、CloudOS等多方云平臺(tái)和第三方私有云平臺(tái)對(duì)接，應(yīng)支持CAS、KVM、VMWareESXi、XEN等虛擬化平臺(tái)，可通過服務(wù)鏈代理方式支持第三方安全設(shè)備。

2.云平臺(tái)管理流量與云租戶業(yè)務(wù)流量分離

基礎(chǔ)架構(gòu)層的云安全體系應(yīng)保證云平臺(tái)管理流量與云租戶業(yè)務(wù)流量分離，可根據(jù)云租戶業(yè)務(wù)需求自定義安全訪問路徑，可在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備、設(shè)置訪問控制規(guī)則，可依據(jù)安全策略控制虛機(jī)間訪問。

3.支持豐富的云安全服務(wù)

基礎(chǔ)架構(gòu)層的云安全體系的VPC（虛擬私有云）云安全服務(wù)應(yīng)可實(shí)現(xiàn)基于租戶粒度的隔離，確保租戶業(yè)務(wù)的靈活性和安全性。應(yīng)可基于防火墻實(shí)現(xiàn)基礎(chǔ)網(wǎng)絡(luò)安全，可基于vSwitch（虛擬交換機(jī)）軟件的嵌入式安全方案實(shí)現(xiàn)主機(jī)安全，可基于IPS/AV實(shí)現(xiàn)應(yīng)用安全，可支持4-7層負(fù)載均衡，可通過IPsec技術(shù)實(shí)現(xiàn)遠(yuǎn)程安全接入。

4.提供彈性擴(kuò)展的安全資源池

基礎(chǔ)架構(gòu)層的云安全體系應(yīng)可基于SDN和服務(wù)鏈實(shí)現(xiàn)與軟硬件安全設(shè)備相結(jié)合，可提供FW、LB和IPS/AV等各種安全服務(wù)，并通過云平臺(tái)統(tǒng)一調(diào)度。云租戶可依據(jù)自身需求申請(qǐng)安全服務(wù)，自定義業(yè)務(wù)應(yīng)用系統(tǒng)安全架構(gòu)及安全訪問策略，為虛機(jī)遷移過程提供防護(hù)。支持采用：Overlay（疊加在物理網(wǎng)絡(luò)上的虛擬網(wǎng)絡(luò)，技術(shù)要點(diǎn)是對(duì)物理網(wǎng)絡(luò)進(jìn)行隧道疊加，再邏輯劃分成虛擬網(wǎng)絡(luò)分片）技術(shù)實(shí)現(xiàn)安全設(shè)備的位置解耦；服務(wù)鏈技術(shù)實(shí)現(xiàn)按需確定業(yè)務(wù)流節(jié)點(diǎn)和順序；SDN技術(shù)實(shí)現(xiàn)安全資源池化和在線擴(kuò)容?？商峁椥詳U(kuò)展的基于NGFW的硬件安全資源池和基于NFV（網(wǎng)絡(luò)功能虛擬化）的軟件安全資源池。

5.安全業(yè)務(wù)自動(dòng)化部署

基礎(chǔ)架構(gòu)層的云安全體系針對(duì)北向流量應(yīng)提供開放接口與云平臺(tái)對(duì)接實(shí)現(xiàn)安全業(yè)務(wù)配置的自動(dòng)下發(fā)和部署，可采用VCFC（虛擬應(yīng)用融合架構(gòu)控制器）根據(jù)應(yīng)用需求靈活分配安全資源，可依托服務(wù)鏈技術(shù)靈活調(diào)度業(yè)務(wù)流量。二.云安全架構(gòu)與防護(hù)模型

1.云平臺(tái)數(shù)據(jù)中心安全訪問控制路徑

云平臺(tái)數(shù)據(jù)中心的安全訪問控制主要存在外部網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)絡(luò)間（南北向）、數(shù)據(jù)中心內(nèi)部不同子網(wǎng)間（東西向）、數(shù)據(jù)中心同一子網(wǎng)內(nèi)終端間（東西向）3條轉(zhuǎn)發(fā)路徑，基礎(chǔ)架構(gòu)層的云安全體系就是要實(shí)現(xiàn)這3條轉(zhuǎn)發(fā)路徑的安全防護(hù)。

2.云安全總體架構(gòu)

根據(jù)云平臺(tái)數(shù)據(jù)中心的安全訪問控制需求，基礎(chǔ)架構(gòu)層的云安全總體架構(gòu)從上到下分為4個(gè)層次，可融合云、網(wǎng)絡(luò)虛擬化、信息安全等技術(shù)，將基于連接的、孤立離散的安全策略，轉(zhuǎn)變?yōu)榛赟DN、面向?qū)ο罂啥x和自適應(yīng)的安全體系，把安全變成一種服務(wù)。

通過在云平臺(tái)CloudOS上安全服務(wù)入口統(tǒng)一提供安全云服務(wù)，SDN避免了傳統(tǒng)安全部署時(shí)拓?fù)湟蕾?，可?shí)現(xiàn)全局統(tǒng)一的安全策略，SDN控制器由VCFC擔(dān)當(dāng)；嵌入式安全是嵌入在vSwitch軟件上的安全功能； NFV安全設(shè)備是指云安全環(huán)境下由X86等通用硬件服務(wù)器承載的VSR（虛擬路由器）、vFW（虛擬防火墻）、vLB（虛擬負(fù)載均衡）等NFV虛擬化軟件，NFV通過將網(wǎng)絡(luò)設(shè)備的硬件和軟件解耦，并將傳統(tǒng)網(wǎng)絡(luò)設(shè)備業(yè)務(wù)功能分解成一個(gè)個(gè)VNF（虛擬網(wǎng)絡(luò)轉(zhuǎn)發(fā)單元），通過對(duì)VNF的統(tǒng)一編排和管理，根據(jù)應(yīng)用需求定義為不同的服務(wù)鏈，將不同業(yè)務(wù)流經(jīng)過不同VNF進(jìn)行處理，以實(shí)現(xiàn)各種網(wǎng)絡(luò)業(yè)務(wù)邏輯，NFV可提供安全設(shè)備的彈性擴(kuò)展、敏捷部署及快速交付能力，為虛機(jī)提供防火墻等功能；硬件安全則提供高性能硬件安全服務(wù)，硬件安全設(shè)備有物理安全設(shè)備、物理防火墻、物理負(fù)載均衡設(shè)備；通過服務(wù)鏈將這些安全設(shè)備串接起來并主動(dòng)調(diào)控安全策略，由VCFC分配安全資源；通過代理方式可接入第三方安全設(shè)備。

3.基于云租戶的安全隔離

實(shí)現(xiàn)云平臺(tái)數(shù)據(jù)中心租戶（服務(wù)對(duì)象）之間隔離是基本的安全需求，云平臺(tái)可通過VPC方案向租戶提供從邏輯上完全隔離的VDC（虛擬數(shù)據(jù)中心）環(huán)境，租戶間完全無法相互訪問，通過VPN（虛擬專用網(wǎng)絡(luò)）在租戶自身網(wǎng)絡(luò)到VDC網(wǎng)絡(luò)間建立數(shù)據(jù)傳輸安全通道。租戶以VPC為粒度租用資源，一個(gè)或多個(gè)VPC組成一個(gè)租戶的VDC，VDC是管理該租戶可用CPU、內(nèi)存、存儲(chǔ)和網(wǎng)絡(luò)等資源的邏輯抽象。一個(gè)VDC可包含多個(gè)VPC，一個(gè)VPC對(duì)應(yīng)一個(gè)VRF（虛擬轉(zhuǎn)發(fā)域），不同VPC之間默認(rèn)隔離。由網(wǎng)關(guān)或服務(wù)節(jié)點(diǎn)實(shí)現(xiàn)不同租戶流量隔離和IP地址重疊。

（1）VPC間隔離：通過路由器的邏輯劃分，實(shí)現(xiàn)不同VPC間流量在網(wǎng)關(guān)和服務(wù)節(jié)點(diǎn)內(nèi)隔離；（2）VPC內(nèi)二層隔離：通過Underlay（承載層物理網(wǎng)絡(luò)）報(bào)文中的VXLAN（可擴(kuò)展虛擬局域網(wǎng)絡(luò)）標(biāo)識(shí)，實(shí)現(xiàn)不同Subnet間二層流量隔離；（3）利用vSwitch軟件的狀態(tài)防火墻提供同一租戶內(nèi)VM間4層安全防護(hù)；（4）利用vFW實(shí)現(xiàn)同一租戶不同Subnet間4-7層安全防護(hù)；（5）利用vFW實(shí)現(xiàn)租戶內(nèi)網(wǎng)與外網(wǎng)4-7層安全防護(hù)。

4.云安全防護(hù)模型

云平臺(tái)數(shù)據(jù)中心安全訪問控制需求涉及前述3條轉(zhuǎn)發(fā)路徑，針對(duì)有無服務(wù)鏈情況，這3條轉(zhuǎn)發(fā)路徑的安全防護(hù)轉(zhuǎn)發(fā)邏輯存在差別：（1）無服務(wù)鏈情況：路徑1和路徑2流量都經(jīng)過VXLAN IP網(wǎng)關(guān)，通過網(wǎng)關(guān)外掛的安全設(shè)備（NFV/物理安全設(shè)備）進(jìn)行4-7層安全防護(hù)；路徑3流量通過vSwtich上防火墻進(jìn)行4層安全防護(hù)。（2）有服務(wù)鏈情況：路徑1同無服務(wù)鏈情況時(shí)相同，路徑2和路徑3可通過服務(wù)鏈導(dǎo)流到安全服務(wù)節(jié)點(diǎn)NFV設(shè)備上進(jìn)行4-7層安全防護(hù)。

東西向安全防護(hù)模型對(duì)于有無服務(wù)鏈情況可分為嵌入式安全和服務(wù)鏈安全兩種。

三.嵌入式安全實(shí)現(xiàn)方案

云平臺(tái)數(shù)據(jù)中心將東西向安全防護(hù)功能集成嵌入在vSwitch軟件上，采用嵌入式安全防護(hù)模型為虛機(jī)提供安全防護(hù)，它是通過分布在各個(gè)vSwitch軟件上的安全組功能實(shí)現(xiàn)可跟隨虛機(jī)遷移的分布式安全服務(wù)，安全組分為安全組ACL（訪問控制列表）和分布式狀態(tài)防火墻。

1.安全組ACL

安全組ACL是在虛擬交換機(jī)上針對(duì)不同類型虛機(jī)下發(fā)ACL，以控制虛機(jī)的訪問。用戶可根據(jù)需求創(chuàng)建多個(gè)安全組，并將虛機(jī)加入指定安全組。安全組ACL實(shí)現(xiàn)以虛機(jī)為粒度的安全防護(hù)，主要用于實(shí)現(xiàn)東西向防護(hù)。同一安全組內(nèi)虛機(jī)可以互訪，不同安全組內(nèi)虛機(jī)需按設(shè)定策略訪問。

2.分布式狀態(tài)防火墻

分布式狀態(tài)防火墻是安全組的另一種實(shí)現(xiàn)方式，依據(jù)防火墻策略對(duì)端口報(bào)文作相應(yīng)處理。vSwitch軟件上的狀態(tài)防火墻支持TCP、UDP、IP和ICMP等協(xié)議，可基于源IP地址、目的IP地址、協(xié)議類型（如TCP）、源端口和目的端口的五元組下發(fā)規(guī)則，決定報(bào)文是允許還是丟棄。配置防火墻策略后，原有轉(zhuǎn)發(fā)流程會(huì)以黑盒形式嵌入到防火墻Netfilter的報(bào)文處理過程中，依據(jù)防火墻策略實(shí)現(xiàn)防火墻功能。在虛機(jī)遷移或刪除時(shí)，VCFC控制下發(fā)相關(guān)防火墻策略隨即遷移，實(shí)現(xiàn)云平臺(tái)數(shù)據(jù)中心分布式防火墻，并與安全組ACL可共存、可同時(shí)配置同時(shí)生效。與安全組ACL不同，狀態(tài)防火墻有方向，如：VM1和VM2間能互訪，或VM1能訪問VM2、VM2不能訪問VM1等，狀態(tài)防火墻還可檢測(cè)狀態(tài)會(huì)話（如TCP連接），在TCP連接建立之前會(huì)拒絕訪問。

四.基于服務(wù)鏈的云安全組網(wǎng)方案

1.服務(wù)鏈的基本概念

云平臺(tái)數(shù)據(jù)中心的Service Chain（服務(wù)鏈）是指數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)中傳遞時(shí)，為了給用戶提供安全、快速、穩(wěn)定的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)流量需要按照業(yè)務(wù)邏輯要求的既定順序經(jīng)過各類服務(wù)節(jié)點(diǎn)，從而根據(jù)云租戶的業(yè)務(wù)需求來定義安全訪問路徑。服務(wù)鏈?zhǔn)侵翁摂M化、業(yè)務(wù)網(wǎng)絡(luò)可編程的關(guān)鍵技術(shù)，通過服務(wù)鏈，云平臺(tái)數(shù)據(jù)中心各服務(wù)節(jié)點(diǎn)可實(shí)現(xiàn)業(yè)務(wù)應(yīng)用與網(wǎng)絡(luò)位置解耦，實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)靈活快速部署。通過服務(wù)鏈引流避免路徑依賴，還可集成高轉(zhuǎn)發(fā)性能的物理安全設(shè)備。通過服務(wù)鏈可實(shí)現(xiàn)多種安全業(yè)務(wù)組合自定義，支持采用FW/ LB/IPS/AV等可彈性擴(kuò)展和物理拓?fù)錈o關(guān)的安全資源池提供集中式安全服務(wù)，滿足租戶對(duì)安全資源的彈性需求?；赟DN可為不同VM間流量單獨(dú)定義安全服務(wù)鏈。

VCFC通過統(tǒng)一調(diào)度來集中控制服務(wù)鏈的構(gòu)建與部署，將NFV或硬件形態(tài)的服務(wù)資源抽象為統(tǒng)一的服務(wù)資源池，并可引入第三方安全設(shè)備，實(shí)現(xiàn)服務(wù)鏈的自定義和統(tǒng)一編排，可在OpenStack、CloudOS等云平臺(tái)上配置、并由VCFC配合實(shí)現(xiàn)安全服務(wù)。

2.VSR做網(wǎng)關(guān)的服務(wù)鏈

Overlay網(wǎng)關(guān)（VXLAN IP網(wǎng)關(guān)）由VSR擔(dān)任，采用vSwitch軟件作L2VTEP（二層VXLAN隧道端點(diǎn)），使虛機(jī)接入到VXLAN網(wǎng)絡(luò)中，vSwitch軟件可運(yùn)行在ESXi、KVM、CAS等虛擬化平臺(tái)上。安全服務(wù)節(jié)點(diǎn)包括VSR、vFW、vLB等設(shè)備，通過VCFC集中控制和編排，實(shí)現(xiàn)東西向和南北向服務(wù)鏈服務(wù)節(jié)點(diǎn)功能。服務(wù)鏈支持vPort、Network、Subnet、IP地址進(jìn)行服務(wù)鏈分流配置，服務(wù)節(jié)點(diǎn)的經(jīng)過順序是先vFW再vLB。南北向由VSR集成vFW，vLB獨(dú)立部署。東西向跨網(wǎng)段vFW集成在VSR上，vLB獨(dú)立部署。

3.物理交換機(jī)做網(wǎng)關(guān)的服務(wù)鏈

采用物理交換機(jī)做VXLAN IP網(wǎng)關(guān)，提供Overlay網(wǎng)關(guān)功能。采用vSwitch軟件、VXLAN二層網(wǎng)關(guān)作L2VTEP，使虛機(jī)或物理服務(wù)器接入到VXLAN網(wǎng)絡(luò)中，vSwitch軟件可運(yùn)行在ESXi、KVM、CAS等虛擬化平臺(tái)上。安全服務(wù)節(jié)點(diǎn)包括VSR、vFW、vLB、物理安全設(shè)備/物理防火墻、物理負(fù)載均衡設(shè)備等。南北向由物理交換機(jī)做VXLAN終結(jié)，由CloudOS或OpenStack通過服務(wù)鏈實(shí)現(xiàn)引流到物理安全設(shè)備、物理負(fù)載均衡設(shè)備。東西向跨網(wǎng)段流量由VCFC通過服務(wù)鏈引流，可共享南北向物理安全設(shè)備/物理防火墻、物理負(fù)載均衡設(shè)備安全防護(hù)。

4.服務(wù)鏈對(duì)接第三方安全設(shè)備

（1）東西向服務(wù)鏈代理：東西向流量安全防護(hù)通過服務(wù)鏈代理方式實(shí)現(xiàn)，VCFC通過VXLAN二層網(wǎng)關(guān)做代理，可引入第三方安全設(shè)備提供服務(wù)鏈?zhǔn)桨踩雷o(hù)，實(shí)現(xiàn)東西向防護(hù)。

（2）南北向服務(wù)鏈引流：南北向流量安全防護(hù)通過服務(wù)鏈引流方式實(shí)現(xiàn)，南北向由物理交換機(jī)做VXLAN終結(jié)，再由VCFC通過服務(wù)鏈引流到第三方安全設(shè)備實(shí)現(xiàn)安全防護(hù)。

五.云安全資源池化技術(shù)

1.網(wǎng)絡(luò)服務(wù)資源虛擬化和池化

云平臺(tái)數(shù)據(jù)中心既可使用物理安全設(shè)備、物理防火墻、物理負(fù)載均衡設(shè)備，也可采用安裝在通用服務(wù)器上的vFW/ vLB等NFV虛擬化網(wǎng)元集合來承載通聯(lián)、安全、負(fù)載均衡、VPN、監(jiān)控等網(wǎng)絡(luò)服務(wù)，物理設(shè)備和NFV網(wǎng)元設(shè)備共同構(gòu)成Overlay網(wǎng)絡(luò)服務(wù)資源。網(wǎng)絡(luò)承載層通過堆疊、主備、負(fù)載分擔(dān)等方式支撐上層虛擬化資源池，上層虛擬化資源池?zé)o需關(guān)注底層實(shí)現(xiàn)技術(shù)，只需按照虛擬網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)抽象模型向網(wǎng)絡(luò)資源池按需動(dòng)態(tài)申請(qǐng)和釋放網(wǎng)絡(luò)資源，這些虛擬網(wǎng)絡(luò)服務(wù)資源被VCFC按需地映射到物理網(wǎng)絡(luò)，自動(dòng)分配物理網(wǎng)絡(luò)資源。VCFC通過網(wǎng)絡(luò)服務(wù)虛擬化技術(shù)，將異構(gòu)的承載層物理網(wǎng)絡(luò)服務(wù)設(shè)備資源抽象成統(tǒng)一的虛擬網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)，并在VCFC控制下變成按需分配的網(wǎng)絡(luò)資源池，包括FWaaS虛擬防火墻資源池、LBaaS虛擬負(fù)載均衡器資源池、VPNaaS虛擬VPN資源池、IPSaaS虛擬IPS資源池，這就簡(jiǎn)化了虛擬網(wǎng)絡(luò)的組建，虛擬租戶可按需向資源池申請(qǐng)資源。虛擬網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)被定義后，VCFC會(huì)將這些虛擬資源和承載層網(wǎng)元自動(dòng)映射，承載層網(wǎng)元被切片和隔離成多個(gè)獨(dú)立的服務(wù)空間，承載虛擬網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的實(shí)際業(yè)務(wù)。

VCFC支持多安全服務(wù)資源池，采用VRF進(jìn)行資源池分配。不同租戶的業(yè)務(wù)可綁定到不同資源池中。一個(gè)安全資源池有多個(gè)出口，可連接多個(gè)ISP互聯(lián)網(wǎng)出口，且不同出口可采用不同安全策略。

2.安全資源池大規(guī)模租戶技術(shù)

（1）硬件安全資源池：物理安全設(shè)備可充當(dāng)一個(gè)集成式安全資源池，其每塊業(yè)務(wù)板可虛擬化出幾十個(gè)邏輯安全設(shè)備，支持在邏輯安全設(shè)備上創(chuàng)建VRF，每個(gè)VRF可對(duì)應(yīng)一個(gè)VPC，以提升租戶數(shù)量和橫向擴(kuò)展能力，每塊業(yè)務(wù)板可支持1000個(gè)以上VPC數(shù)目，池中單個(gè)邏輯設(shè)備可終結(jié)Overlay隧道，與服務(wù)鏈方案實(shí)現(xiàn)對(duì)接。

（2）NFV軟件安全資源池：NFV軟件虛擬化安全資源池可與VCFC實(shí)現(xiàn)無縫集成，交付端到端解決方案，用X86服務(wù)器實(shí)現(xiàn)NFV虛擬安全資源池，可快速部署和彈性管理，且橫向擴(kuò)展性好，每臺(tái)服務(wù)器可虛擬出幾十至上百個(gè)NFV安全設(shè)備，NFV安全設(shè)備可隨服務(wù)器的增加線性增長(zhǎng)，可對(duì)接第三方控制平面NFVOrchestrator等系統(tǒng)。

3.云安全微分段服務(wù)

傳統(tǒng)安全模式只支持集中式防火墻等功能，安全防護(hù)能力無法區(qū)分東西和南北流量。VCFC針對(duì)同一租戶部署多套安全資源池，東西向安全資源池和南北向安全資源池分開部署，不同Subnet之間的安全資源池也可分開部署，將流量進(jìn)行分段防護(hù)（即SDN云安全微分段服務(wù)），實(shí)現(xiàn)對(duì)租戶東西向和南北向流量的精細(xì)化安全處理。

4.安全資源池高可靠性技術(shù)

安全資源池可基于IRF（智能彈性架構(gòu)）鏈路捆綁技術(shù)堆疊兩臺(tái)NFV設(shè)備或物理安全設(shè)備，在邏輯上形成單一的安全管理節(jié)點(diǎn)，實(shí)現(xiàn)IRF組內(nèi)備份設(shè)備間全局統(tǒng)一同步配置、業(yè)務(wù)流量轉(zhuǎn)發(fā)的統(tǒng)一調(diào)度、減少二層環(huán)路、簡(jiǎn)化路由配置。通過HA心跳線實(shí)現(xiàn)設(shè)備間防火墻會(huì)話狀態(tài)同步，結(jié)合IRF技術(shù)實(shí)現(xiàn)業(yè)務(wù)流量自動(dòng)分發(fā)和鏈路故障后自動(dòng)快速切換。

六.多層次云安全體系

1.異構(gòu)設(shè)備組成統(tǒng)一安全資源池

vSwitch軟件集成了安全組ACL和狀態(tài)防火墻，并通過VCFC下發(fā)安全組規(guī)則和防火墻規(guī)則實(shí)現(xiàn)嵌入式安全防護(hù)。VCFC集成的VNFManager負(fù)責(zé)NFV資源池管理、NGFWManager實(shí)現(xiàn)硬件安全資源池管理，可管理框式、盒式、插卡硬件安全設(shè)備。VCFC可通過服務(wù)鏈引流把第三方安全設(shè)備集成進(jìn)安全資源池，形成涵蓋嵌入式安全、NFV虛擬安全設(shè)備、硬件安全設(shè)備的異構(gòu)安全資源池。

2.多層次安全防護(hù)手段

基礎(chǔ)架構(gòu)層的云平臺(tái)安全方案在服務(wù)鏈編排下通過使用以下組合可具備多層次的安全防護(hù)手段：（1）嵌入式安全：在vSwitch軟件上實(shí)現(xiàn)安全組ACL和狀態(tài)防火墻，開啟4層安全防護(hù)。（2）東西向安全防護(hù)：東西向可采用物理安全設(shè)備或NFV安全方案，通過服務(wù)鏈將任意流量引入到vFW和vLB進(jìn)行4-7層安全防護(hù)。（3）南北向安全防護(hù)：南北向使用物理安全設(shè)備，由VCFC通過服務(wù)鏈引流到物理安全設(shè)備和物理負(fù)載均衡設(shè)備上進(jìn)行4-7層安全防護(hù)。

3.通過云服務(wù)部署安全功能

在云平臺(tái)上可通過云服務(wù)部署與配置云安全服務(wù)，包括虛擬數(shù)據(jù)中心、負(fù)載均衡、公網(wǎng)IP、防火墻、安全組、WAF（Web應(yīng)用防火墻）、IPS/AV、堡壘機(jī)等，可通過CloudOS的系統(tǒng)參數(shù)啟用或禁用云安全服務(wù)，云安全服務(wù)可由V C F C下發(fā)到網(wǎng)絡(luò)中各個(gè)服務(wù)節(jié)點(diǎn)，OpenStack已定義的服務(wù)F W、LB、IPsecVPN、安全組等，可直接通過OpenStack的插件功能下發(fā)，OpenStack未定義的安全服務(wù)則由C l o u d O S調(diào)用VCFC的RestAPI下

發(fā)。B&P