一、用户概况
上海地面通信息网络有限公司是专业从事互联网Internet接入、云计算IDC服务器托管及电信数据通信业务等技术服务的高新技术企业。 公司以领先的服务理念、灵活的经营机制、服务众多国内外客户。 公司自有品牌DMT互联网平台,利用三网合一技术实现了电信、联通、移动三大运营商网络的互联互通功能,为用户节省了费用且解决了相关运行问题。公司根据市场需求建立了上海首家自有数据机房(IDC云计算机房),是颇具规模的电信运营商之一,并荣获2010 年中国上海世博会专用网络运营商。
二、项目背景
云计算(CloudComputing)是网格计算(GridComputing)、分布式计算(DistributedComputing)、并行计算(ParallelComputing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(LoadBalance)等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的一个核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力!
云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。地面通为了更好的为用户提供高效、高性能、高可管理性的服务,专门搭建了以惠普服务器和VMWare为平台的云计算中心,并提供多种服务。如虚拟化主机、SaaS等。然而,云计算中心也同时面临新的安全威胁。总体来说,云计算应用主要面临如下安全威胁。
(1)服务可用性威胁 用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全 策略、事件处理和分析等提出了挑战。另外当发生系统故障时,如何保证用户数 据的快速恢复也成为一个重要问题。
(2)云计算用户信息滥用与泄露风险 用户的资料存储、处理、网络传输等都与云计算系统有关。如果发生关键或私隐信息丢失、窃取,对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求;如何实施有效的安全审计,对数 据操作进行安全监控;如何避免云计算环境中多用户共存带来的潜在风险都成为 云计算环境下所面临的安全挑战。
(3)拒绝服务攻击威胁云计算应用由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,同时由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
(4)法律风险云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至国家,在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于 虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
三、建设目标
地面通云计算中心在信息安全上主要有两个目标:
1. 保障云计算中心的可用性和数据安全性。
2. 通过为用户提供安全服务,来实现云计算中心的新利润增长点。
同时,地面通还需要迎接如下挑战:
1. 随着带宽和用户数的增加,要求安全系统具备高性能
2. 在可以预见的将来,云的规模会越来越大,要求安全系统具备高扩展性
3. 基于虚拟化的服务成为云计算的趋势,要求安全系统具备全功能的虚拟 化
通过云计算中心的安全系统建设,地面通可以提供给用户服务器和存储产品 的同时,还能够提供安全的服务。传统的IDC中心通常要求每一位客户自己配 备独立的网络安全系统,比如防火墙、入侵防御系统(IPS)等。通常为客户自己购买并托管在IDC机房。这种传统方式有较明显的弊端:
1. IDC机房负担了繁重的管理工作,并为管理额外的设备不断投资
2. 安全设备占用机架空间和能源
3. IDC的管理方很难从中盈利
4. 用户自己的先期采购成本高
采用了云安全方案后,地面通推出了安全管理服务,为所有托管在其云计算 中心的客户提供可选的虚拟安全服务,客户可以根据需要选择功能以及支付相应的月租费。计算下来,地面通在安全设备的管理支出下降了一半,提高了地面通 的盈利能力,同时降低了客户的总拥有成本和先期投入。
四、建设方案
针对这些威胁和挑战,多功能防火墙(UTM)可以在一个设备上防护各种安全威胁,并提供高稳定性,高性能,高可扩展性和完全虚拟化功能。
下图为Fortinet针对上海地面通信息网络有限公司的云计算系统而设计的防护方案:
网络中心
在这个设计中,我们选用FortiGate型号的UTM,FortiGate是具备40Gbps 吞吐量、400 万并发会话数的高性能全冗余设计的产品。 FortiGate具备8个万兆SFP+接口和10个千兆SFP接口,可以提供性能的扩展。FortiGate最多支持250个虚拟设备,每个虚拟设备具备全功能(防火墙,VPN,防DDoS,IPS,防病毒,反垃圾邮件,网页过滤等)。具体参数请见产品描述。
将FortiGate以透明模式部署在核心交换机上,内部接口和外部接口都分别与核心交换机相连,通过核心交换机的VLAN的划分,将流量导入到FortiGate中进行安全规则的强化。这样部署的好处在于设置非常灵活。通过交换机上VLAN的设置,可以将需要进行安全防护和过滤的部分客户资源通过FortiGate,不需要的客户可以直接通向互联网。管理员可以动态的根据业务的需求在核心交换机以及FortiGate上进行方便的调整。同时,当需要性能扩展时,也可以通过端口捆绑(LinkAggregation)的方式成倍的扩展安全过滤带宽,FortiGate最多支持8个端口为一组的捆绑。 通过防火墙策略,FortiGate可以保护内部资源不受到非授权的访问;当DDoS攻击发生时,FortiGate可以主动的检测网络流量中哪些是攻击, 哪些是正常访问,并阻挡攻击而放行正常访问;通过实时在线更新的入侵防护功 能,FortiGate可以抵御超过4300中针对服务漏洞的攻击;通过实时在 线更新的超过40万个病毒列表的防病毒库,FortiGate可以防护最新的 病毒和蠕虫的传播;通过高精确度的反垃圾邮件技术,FortiGate提供97%以上的垃圾邮件过滤率和低于0.1%的误报率;通过虚拟化技术, FortiGate可以被划分为最多250个虚拟设备,为不同用户提供不同的安 全管理策略和界面,在虚拟设备中,所有以上的安全功能都是能够自定义的。这 些功能为用户提供了全方位的安全保障和业务扩展能力。
FortiGate还支持IPv6,支持IPv6/IPv4双栈,,支持IPV6的DNS,IPV6的静态与动态路由协议:RIPng、OSPF6等,支持IPv6overIPv4和IPv4Over IPv6,能很好地支持IPV6的流媒体,未来网络可以很好地过渡到IPv6网络。