蓝盾基于SDN实现的云计算安全保护产品是基于广义的SDN概念实现的云计算安全保护产品,它将网元设备(包括硬件或软件,如物理或虚拟的交换机、路由器、中继器等)的数据转发功能与控制传输功能分离开来,通过逻辑集中的控制器来进行管理。同时,蓝盾安全服务编排与SDN控制器集群互操作,协调完成对云计算的安全保护工作。
蓝盾基于SDN实现的云计算安全保护产品能针对云计算环境中动态变化的虚拟机数量和虚拟机迁移导致的虚拟机位置变换等与传统环境中不同的特征,对虚拟机进行保护。这种方法基于支持SDN的物理或虚拟交换机(如OpenvSwitch)和虚拟平台管理接口,在不影响正常业务工作的情况下自动识别如虚拟机迁移、虚拟机增删、其他业务流变化等而引起的安全需求的变化,从而制定新的安全策略,并且根据此需要在云计算中心的各地各主机上快速的部署或关闭所需的安全虚拟器件(如防火墙、IDS、IPS、漏洞扫描、审计类产品等)并且向支持SDN的交换机更新安全策略,能实时有效的保护云计算中心(包括其中的虚拟机)的安全并且节省系统资源。产品的功能模块如图1所示:
蓝盾基于SDN实现的云计算安全保护产品建立一个云计算中心安全控制台(云安全服务编排)。这个云计算中心安全控制台根据支持SDN的物理/虚拟交换机反馈的安全防护需求,调动安全虚拟器件管理模块按照各地区各主机的安全需求的最新情况增加/删除虚拟安全器件。其中虚拟化主机的网桥由支持SDN的虚拟交换机替换。总控制平台下发流表以保证安全,支持SDN的物理/虚拟交换机根据流表将所需监控的端口流量转发到指定的虚拟安全器件上,并且将可疑的流量转发至总控制平台。总控制平台识别安全需求的变化并自动调整安全策略,并且下发执行网络流量规则和虚拟安全器件的调整,通过SDN控制器下发流表至虚拟交换机,通过虚拟化平台接口调整虚拟器件的网络部署安排。
到目前为止,蓝盾基于SDN实现的云计算安全保护产品已为多家云计算服务供应商提供了云计算安全保护、云环境中虚拟机审计、云环境合规性保证等方面的服务,并得到了客户的一致好评。蓝盾将继续致力于云计算、虚拟化、SDN、移动办公等前沿领域的研究,基于蓝盾智慧安全框架“动立方”,为云和虚拟化环境提供更加灵活、可靠、智能的安全防护,用低成本、高回报的方式为客户提供更加优秀的服务。(作者程丽明)