网络安全 频道

让云计算自主可控 山石云安全产品强势升级

  【IT168 评论】近日,2017 OpenStack Days China在国家会议中心成功举办。山石网科作为唯一参展的网络安全厂商,在大会中发布了山石云·格与山石云·界最新升级版本,填补了OpenStack环境中商用网络安全产品的空白。

  提到OpenStack你会想到什么?开源,开发,还是云计算?说到底,OpenStack还是做云计算的,而不是面向几十个服务器的服务器虚拟化或桌面虚拟化计算资源池的产品。

让云计算自主可控 山石云安全产品升级
▲山石网科虚拟化安全产品线总监荣钰

  OpenStack作为仅微弱落后于Linux的全球第二大开源社区,拥有着庞大的使用群体,而中国企业正在成为OpenStack的主要代码贡献群体。其广泛应用于政府、金融、能源、交通、电信、互联网、企业等自主可控的云计算领域,其重要地位也就不言而喻。那OpenStack的发展究竟面临着哪些瓶颈问题?山石网科的新品又是怎样来解决这些问题的呢?山石网科虚拟化安全产品线总监荣钰向我们一一进行了解答。

  OpenStack安全现状

  荣钰认为,既然如此多的用户选择了OpenStack并广泛应用于各个领域,那安全就不得不成为重点关注的问题之一。根据介绍,其实较之大多数的虚拟化系统,OpenStack在设计中较充分的考虑了安全问题:

  首先在OpenStack组件中有Keystone来做用户认证的统一管理;在Neutron组件中有安全组功能,可以提供云内东西向的防护;Neutron中有FWaaS和VPNaaS,前者为云内的租户提供类似防火墙的服务,后者则为计算节点提供VPN相关的网络服务,这样的设计也非常符合在传统物理网络时代用户的使用习惯,比如用防火墙作为网络边界的安全防护和访问控制。

  Neutron推荐的网络设计模型也是非常科学和安全的,他建议不同的应用系统或用户采用租户网络,每个租户的虚机连接到自己的网络上,不同的租户网络之间进行隔离。Neutron建议在云内有管理网络、数据网络、外部网络和API网络。其中管理网络用于OpenStack组件间通信,API主要是把网络API给租户,外部网络是租户间或Internet可以访问的,数据网络则是数据间通信的网络,这样的网络分类,组网时的隔离和访问控制,是安全合理的。

  OpenStack安全新需求

  荣钰认为,纵使OpenStack在自身设计时将安全问题考虑其中,提供了相关的组件供用户使用,组件提供的NaaS(网络的SaaS),提供了比较全面的功能,包括访问控制、交换、VLAN、NAT、动态地址FlatDHCP,但是距离商用化的安全功能还存在差距,比如其性能低、稳定性差、功能少、控制和防护力度低以及缺乏可持续的服务等。

让云计算自主可控 山石云安全产品升级

  根据荣钰介绍,传统的安全技术应用到OpenStack中也会面临诸多难题,首先是其硬件设备部署难度大、扩展性、灵活性不足,不好编排;其次软件的集成难度较大,缺乏成熟的方案,此外还包含标准化不足等问题。

  填补OpenStack安全产品空白

  面对OpenStack的诸多安全问题,山石网科对虚拟化产品线的山石云·格和山石云·界产品进行了发布和更新,发布的重点是全面支持OpenStack云计算环境。荣钰向我们对山石云·格和山石云·界两款产品的全新版本做了解读。

  ●山石云·界——基于NFV

让云计算自主可控 山石云安全产品升级

  根据荣钰介绍,针对用户的实际需求,本次山石云·界的更新版本主要是基于NFV(Virtualised Network Function)架构的三种解决方案,根据介绍,山石云·界新版本主要解决了Hypervisor的适配、云平台的适配、初始化的配置注入、自动化授权、开放接口和编排六个层次的问题,荣钰认为还有解决了这六个层次的问题才能为用户提供一个可以使用、方便使用集成的虚拟防火墙。

  荣钰提到,大多数用户和友商对虚拟化防火墙的认知还停留在第一个层次Hypervisor的适配上,把硬件上的防火墙变成一个可以在虚机上运行的软件,而山石网科发布的NFV架构下的山石云·界三个解决方案,能够在不同环境下,配合用户和集成商解决六个层次的问题。

  此外,为了给使用山石云·界产品进行集成的客户和合作伙伴提供支持,山石网科还发布了nfv.hillstonenet.com子站点,满足了用户和合作伙伴虚拟防火墙可编程、可编排的需求。

  ●山石云·格——微隔离与可视化方向

  除了山石云·界的版本更新之外,山石网科还发布了山石云·格的最新版本。根据和荣钰的沟通得知,为了帮助用户在OpenStack环境中实践Forrester Research公司提出的零信任安全模型,山石云·格能够在OpenStack环境中提供商业化的云内微隔离防护、可视化、同时提升云内的安全生产效率,以及在OpenStack环境中提供等同于VMware环境的安全防护和可视化能力。

让云计算自主可控 山石云安全产品升级

  作为创新的分布式网络侧微隔离产品,山石云·界通过专利引流技术、虚机微隔离及可视化技术,能够为用户提供全方位的云安全服务,包括流量及应用可视化,虚机之间威胁检测与隔离,网络攻击、网络应用审 计与溯源等。

  荣钰在介绍时自豪的提到,山石云·格是业界首个支持OpenStack Liberty Mitaka的网络侧微隔离和可视化产品,可以说是为其他友商指明了方向。

  写在最后

  作为全球第二大开源社区,OpenStack在中国乃至全球的发展可谓是如火如荼,越来越多的用户选择OpenStack。由于用户激增,应用群体之广,安全问题就成为不容忽略的问题之一,山石网科两款产品的更新弥补了OpenStack环境在安全上的不足之处,能够更好地帮助国内客户构建自主可控的云计算。

0
相关文章