启明星辰某省电信业务云安全案例

　　1、背景与需求

　　某省电信用户应用虚拟化技术，对现有IT资源进行了整合，建成了内部私有云，供上层各电信业务系统使用。私有云的建成，将硬件资源共享成资源池，可按需分配资源，动态调度资源，冗余的硬件资源得以合理利用，降低了服务器采购数量，明显的减少了投资成本，同时保障了业务用运行的稳定性。云平台采用VMwarevSphere解决方案，电信大部分业务已迁移至云上。

　　私有云的安全防护较为薄弱，仅在资源池网络出口位置部署了防火墙设备。用户关注如何在不影响业务的前提下，实现对云内东西向流量的安全。并要求方案有一定扩展性，能适应未来私有云的扩展。

　　2、解决方案

　　本方案采用启明星辰的软件定义安全SDS+虚拟威胁检测Vetrix的云安全解决方案，应用了软件定义安全SDS、虚拟化安全资源池Vetrix等产品。构建了一个针对东西向流量进行防护的，可扩展的动态安全防护体系。

　　东西向流量由虚拟威胁监控AGT通过ERSPAN的方式，将数据包采用GRE封装后导出到SDS流转发平台，然后由流转发平台进行解封装。解封装之后的流量可通过SDS流控制平台进行编排。经过编排，流量被分别交付给Vetrix虚拟化安全资源池内的各类虚拟化安全产品。在系统运行过程中，编排的流量和安全资源池内的虚拟安全产品可随时被调整，以动态的适应安全态势的变化。

　　3、实施效果

　　在本案例中，通过应用软件定义安全系统SDS、虚拟化权资源池Vetrix等系统，形成了对东西向流量进行全面检测分析的动态防护体系。方案具备高可扩展性，用户可根据流量的变化，增加Vetrix资源池的数量，同时可通过增加安全产品镜像的方式，扩展安全产品品类。另外，由于本次应用的虚拟安全产品均为旁路部署，只需通过镜像导出流量，对系统的运行无影响。

　　4、客户价值

　　●安全资源独立部署带来的益处

　　在此应用中，安全资源独立部署，安全与云平台表现为弱耦合关系。这种部署方式使得职责划分更为清晰，同时实现安全产品的集中维护。当云平台升级或切换时，可保留安全资源部分，保护用户的投资。

　　●可实现安全设备利旧使用

　　Vetrix平台可与传统安全设备对接。当用户将业务从传统网络迁移到云端时，原网络中的部分安全产品将被闲置下来，闲置设备可仍可对接到Vetrix平台继续发挥作用。

　　责任编辑：广汉