近日,天融信携手英特尔在北京联合举办了云数据中心边界防护解决方案发布会。天融信公司高级副总裁、英特尔公司高层领导,以及40余家媒体记者出席了会议。众所周知,云数据中心是当今企业信息化建设最重要的环节,其中承载着大量的企业机密信息。在棱镜门事件之后,企业对数据安全的敏感度已经大大超过以往,保护云数据中心也成为企业安全建设的重中之重。为此,天融信携手英特尔发布了最新一代的云数据中心边界防护解决方案,旨在帮助企业在网络边界就抵挡住威胁,免除后顾之忧,从而专注于业务发展。
数据中心的“云化”
数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个历史发展阶段。在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段。
然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不断地进行软、硬件的升级与更新,另外,持续增加的业务总会使现有资源在一定时期内的扩展性受到限制。因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求,而在这个过程中,数据中心的“云化”也自然成为发展的必然!
传统边界防护的“困局”
云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比也会有所不同。在云计算环境下,如何为“云端接入”、“应用防护”、“虚拟环境”以及“全网管控”分别提供完善、可靠的解决方案,是我们需要面对的现实问题。因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案!
天融信云数据中心边界安全防护解决方案
天融信携手英特尔发布云数据中心边界防护解决方案
面对上述问题,天融信解决方案如下:
· 通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需求;
· 通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关租用服务,实现“应用防护”安全需求;
· 通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提供相应解决方案,实现“虚拟环境”安全需求;
· 通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求;
技术特点
· 虚拟化
——网关虚拟化:
天融信携手英特尔发布云数据中心边界防护解决方案
天融信网关虚拟化技术提供了物理网关“一虚多”的虚拟化安全防护解决方案。在数据中心多租户的需求背景下,网关虚拟化能够使部署在物理边界的网关设备为不同租户提供虚拟网关租用服务,使不同租户流量在同一物理设备上实现流量逻辑隔离。功能方面,网关虚拟化实现了从网络层到应用层的全功能虚拟化特性,并为租户提供了基于虚拟系统的自定义安全服务解决方案,从而使策略部署变得更加灵活,而权限与责任的界定也更加清晰!
——虚拟机安全防护(TopVSP):
天融信携手英特尔发布云数据中心边界防护解决方案
面对数据中心虚拟计算环境,传统物理网关已无用武之地,而将虚拟机流量牵引至物理网关的解决方案又面临严重的效率问题,仅仅只是过度方案。因此,在该需求背景下,天融信TopVSP通过与各类虚拟化平台的完美整合,利用虚拟化安全网关(vGate)、租户系统安全代理(TD)以及虚拟化平台接入引擎(TAE)三大系统组件,为虚拟计算环境提供了一套全方位的安全防护解决方案。
其中,“虚拟化安全网关(vGate)”是将天融信自主安全操作系统TOS以虚拟机的形式运行在虚拟化平台上,用于实现外部到虚拟机以及虚拟机之间的虚拟边界安全防护。租户系统安全代理(TD)则是安装在各租户操作系统(即虚拟机)上的安全代理服务,用于对租户系统进行信息收集以及进行相关安全检查等工作。而虚拟化平台接入引擎(TAE)在实现了将数据流重定向到vGate的同时,还实现了对虚拟化平台自身的安全加固与权限控制。因此,TopVSP实际上不仅实现了虚拟机之间的安全防护,还为虚拟化平台自身以及租户系统提供了相关的安全解决方案。另外,TopVSP能够实时感知虚拟机产生的热迁移动作,并在第一时间完成与TopPolicy智能化管理平台的指令交互,将策略动态下发至迁移后的目标vGate,从而实现安全策略的动态同步迁移。
——远程接入虚拟化(TopConnect):
天融信携手英特尔发布云数据中心边界防护解决方案
TopConnect为终端到云端的接入提供了一套基于虚拟化技术的远程接入解决方案。其通过VPN智能集群与内部桌面资源服务器相结合,为远程终端提供虚拟桌面和虚拟应用发布功能,使终端本地在无须运行任何业务系统客户端程序的基础上,完成与服务端的业务交互,实现了终端与业务分离的“无痕访问”需求,从而有效避免了数据泄露的风险隐患。