為雲而生，深信服雲組件新鮮問世

2023-07-11 01:14:21 2

　　雲是當下最受關注的話題之一，想要擁有一套完整的雲數據中心方案，NFV(網絡功能虛擬化)技術必不可少。關注到用戶在新環境下的需求，2015年，深信服發布了全套NFV安全、優化雲組件產品，適用於公有雲、私有雲、行業雲等雲業務環境。

　　公有云：服務如水電般，隨取隨用

　　AWS、阿里雲近來熱度漸升，頗有帶國內公有雲集體走高的趨勢。用戶租用公有雲服務，除更低的投入成本外，也提升了業務的敏捷性。

　　假設某用戶將OA等業務遷移到阿里雲平臺上，除了租用一些雲伺服器外，他還需解決業務上線後，內部員工的安全接入和數據防洩密問題。而AWS、阿里雲平臺上所提供的基礎安全功能，不能百分百滿足用戶的這個需求，因此AWS、阿里雲打造了一個良性的雲生態系統，邀請各領域最專業的廠商，在公有雲平臺上為租戶提供多元化的服務。

　　深信服的vSSL VPN日前就已登錄阿里雲市場，vSSL VPN能很好解決該用戶的問題，部署vSSL VPN 除能保障第三方接入的安全和身份驗證外，還有一個好處，就是所有管理埠向網際網路的映射都可關閉。用戶必須通過 vSSL 安全接入後才能對內容進行管理。這樣大大降低了被攻擊的風險，因為即便 vSSL 被攻擊癱瘓了，業務伺服器和數據也不受影響。

　　如今，用戶可在阿里雲Web界面直接購買vSSL VPN，隨取隨用、操作靈活。整個採購+配置過程花數分鐘，就可以完成。

　　(用戶可在阿里雲市場直接購買，隨取隨用)

　　深信服雲下一代防火牆vAF也已登錄阿里雲，部署vAF即能為雲伺服器提供雙向、完整、可視的Web層安全防護，防止機密數據的洩露和惡意入侵，部署深信服雲應用交付vAD提升業務穩定性和資源利用率，部署雲廣域網優化vWOC實現混合雲加速組網和雲業務應用優化加速。

　　行業云：劃清責任「三八線」

　　為了滿足特定行業業務統一託管、集約化建設降低信息化成本的需求，行業雲在政府、教育、醫療等行業備受關注，「政務雲」、「醫療雲」都可稱為行業雲的典型應用。

　　無論是行業雲建設方，還是租戶，對安全的需求是一致的，因為行業雲採用集中共享硬體資源的方式，IT系統的運維需要多方參與，往往在一些情況下難以劃分清楚責任邊界，導致相互推諉。

　　另外，對於行業雲平臺建設方來說，除了要滿足業務統一託管的需求外，還要滿足不同租戶的個性化要求，比如A用戶說我要滿足國密算法標準，B說我要做等級保護等等。提供個性化的服務，或許也是建設方的一個困擾。

　　以某省政務云為例，C租戶的應用系統遷移到該政務雲平臺上時，C用戶的網絡架構(伺服器負載+Web伺服器+中間件+資料庫)沒有發生太大的變化，可運維工作卻變複雜了。因為往往是Web等業務應用由C租戶運維，伺服器負載、安全等硬體則由建設商運維。多方聯動，帶來極大不便，且一旦發生故障，責任也難以劃分。

　　例如：C用戶今天要修改Web的內容，網頁的代碼發生了變化，這就可能帶來SQL注入的風險，如果安全還是交給建設方運維，就需要兩方配合調整防護策略，否則可能存在被入侵的風險。可想而知，如果每一個租戶每天都要找建設方修改一次策略，將給運維帶來多大的不便及風險?

　　深信服提供了一套對建設方、租戶皆適用的雲組件解決方案，如上圖所示。

　　對於行業雲平臺建設方而言：

　　建設方只需在雲數據中心物理網絡邊界部署深信服安全、優化硬體設備，如下一代防火牆、應用交付、流量管理、VPN等產品，形成安全硬體資源池，在物理網絡出口提供平臺級的整體安全保護，防止外部網絡的非授權接入和惡意入侵，防止針對雲平臺資源申請和管理界面的攻擊，並提供鏈路負載均衡和業務流量管理等功能，保證應用系統具備更高的持續性、可用性以及快速性。

　　對於行業雲租戶而言：

　　對於租戶而言，深信服提供了更多個性化的可能。因不同租戶託管的應用、業務類型不盡相同，個性化需求也不同，有了深信服雲組件以後，租戶在出現安全等需求時，只需要讓建設方開通授權，就可以實現完全自主的安全運維。如此一來，租戶可以完全自定義行業雲內自己的業務結構，將業務安全、優化牢牢握在自己手中。

　　例如租戶1可部署vSSL VPN加固第三方訪問的傳輸和身份安全性，租戶2除了部署vSSL VPN外，還可部署應用交付vAD做伺服器負載均衡，提升應用穩定性，租戶3可以vSSL VPN、vAD、vAF一起部署，用vAF來為Web系統提供完整的Web保護，防止敏感數據被竊取。

　　私有云：不讓虛擬機安全陷「囧」境

　　在跟一些私有雲用戶溝通後，我們發現部分用戶並沒有真正的「雲化」，大部分用戶只是將業務環境虛擬化了，而比如存儲、網絡、安全等產品卻還是以硬體的方式部署在物理環境中，比如硬體防火牆、IPS等安全產品都是部署在物理邊界上，只能管控數據中心南北流量。

　　如此一來，私有雲用戶面臨最大的安全問題，或許是將業務環境全部虛擬化後，安全邊界消失了，虛擬機之間的東西流量無法得到隔離管控，將來只要任意一臺虛機被攻破，這臺虛擬機就會成為內部入侵的跳板。

　　深信服雲組件對於私有雲數據中心的方案，主要分為兩個層次，如上圖所示。

　　對於物理邊界：

　　使用硬體下一代防火牆、應用交付等產品對整個數據中心進行防護和業務優化。

　　對內部虛擬化環境：

　　在虛擬機間部署深信服下一代防火牆雲組件vAF，可有效實現東西流量隔離。同時，深信服vAF雲組件，能夠為Web系統提供完整的Web保護、防止敏感數據被竊取。vSSL VPN可實現安全加固及接入安全，雲應用交付vAD能夠提供常見的鏈路、伺服器等負載功能和多種應用優化功能。

　　至今，深信服雲組件方案已經應用於政府、企業、運營商等行業，如杭州微貸、福建政務雲平臺等。

　　雲組件全家福：

　　深信服雲組件能以軟體鏡像等方式部署到VMware、KVM、XEN等虛擬化環境，上線快速簡單，即使是一個毫無雲部署經驗的工程師也只需要數小時，就可以完成產品配置和業務上線，極大降低了運維難度。

　　最後，深信服雲組件全家福呈上：