數(shù)據(jù)中心安全解決方案

現(xiàn)有數(shù)據(jù)中心的安全產(chǎn)品/工具主要有串接，旁路兩大類。串接類產(chǎn)品一般直接串在線路上，前置BYPASS線路保護(hù)；旁路類產(chǎn)品通過SPAN鏡像/TAP技術(shù)從線路上獲取流量，通過負(fù)載均衡器到后端服務(wù)器集群進(jìn)行業(yè)務(wù)處理。隨著數(shù)據(jù)中心出口帶寬的提升，原有設(shè)備的性能會成為瓶頸，而且VM之間的流量也不能監(jiān)管。這成為客戶的普遍痛點(diǎn)。     業(yè)界實(shí)現(xiàn)業(yè)務(wù)鏈主要通過SDN交換機(jī)+控制器。將現(xiàn)有安全產(chǎn)品作為工具池，由SDN交換機(jī)的控制模塊調(diào)度流量，使流量依次通過工具實(shí)現(xiàn)業(yè)務(wù)鏈。通過OPENFLOW操作，可以將ACL等功能集成到SDN交換機(jī)上，優(yōu)化業(yè)務(wù)鏈的性能和帶寬使用，節(jié)約工具端口，性能優(yōu)化，可擴(kuò)展性好。業(yè)務(wù)鏈資源可使用串接和旁路兩種方式接入到SDN交換機(jī)。既使用串接的方式，實(shí)現(xiàn)業(yè)務(wù)鏈，又可復(fù)制流量至工具，支持旁路部署的工具。利用已有產(chǎn)品組成資源池，對現(xiàn)有安全產(chǎn)品實(shí)行業(yè)務(wù)鏈資源化，組成資源池保護(hù)客戶投資。         VM間的東西向數(shù)據(jù)流防護(hù)一直是數(shù)據(jù)中心需要解決的問題。目前的解決方案為流量牽引技術(shù)，通過設(shè)置路徑上的SDN交換機(jī)流表，把所需流量牽引至數(shù)據(jù)中心核心節(jié)點(diǎn)通過工具鏈。使用標(biāo)準(zhǔn)OPENFLOW協(xié)議操作數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備，對現(xiàn)有網(wǎng)絡(luò)軟硬件基本無影響，無需額外部署軟件，通過工具鏈對VM間的流量防護(hù)同于其他流量，更加可靠。但是使用此技術(shù)需要數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備必須支持OPENFLOW。         BLC-S1000綜合決策系統(tǒng)是一個(gè)大數(shù)據(jù)綜合決策軟件系統(tǒng)，它收集來自于工具，以及綜合防護(hù)系統(tǒng)的流量日志，對數(shù)據(jù)流進(jìn)行評級。     動態(tài)業(yè)務(wù)鏈：         BLC-S1000從業(yè)務(wù)鏈資源池中收集信息進(jìn)行綜合決策，通過對BLC-CS9000的流表操作實(shí)現(xiàn)流的業(yè)務(wù)鏈選擇。對于可信流量業(yè)務(wù)鏈簡化或者直接放行，對于不可信流量進(jìn)行優(yōu)化。     相對于傳統(tǒng)的由用戶決策的業(yè)務(wù)鏈，由數(shù)據(jù)決策的業(yè)務(wù)鏈更加準(zhǔn)確靈活；對于不是非常專業(yè)的運(yùn)維人員，自動化業(yè)務(wù)鏈可有效補(bǔ)充運(yùn)維水平和運(yùn)維效率；自動化業(yè)務(wù)鏈可優(yōu)化工具池的使用，提高工具使用效率。     動鏈路負(fù)載均衡：     根據(jù)收集的數(shù)據(jù)包采樣，鏈路占用信息，進(jìn)行鏈路負(fù)載均衡（路徑選擇），確保各線路承載均衡的流量，提高線路利用率。         BLC-S1000可從網(wǎng)絡(luò)設(shè)備上收集端口信息，以及BLC-CS9000上的流量信息，判斷各線路的流量速率分布通過OPENFLOW，對線路各個(gè)節(jié)點(diǎn)進(jìn)行流表優(yōu)化，提高線路利用效率。