金融行业私有云数据中心安全防护方案


私有数据中心安全需求

目前很多金融机构采用云计算数据中心模式提供服务。对于许多金融企业为了保障服务连续性,多采用双活数据中心,但是在双活数据中心要注意防火墙来回路径不一致的问题,以及链路流量分配的问题。在私有云的云平台层面需要考虑来自数据中心外部的攻击与入侵,以及私有云边界特别是在服务器内部虚拟机边界的安全防护。在私有云平台建设中也考虑安全能力从硬件资源到计算资源的平滑演进过渡以及统一管理和自动化运维的需求。

解决方案

根据金融双活数据中心,充分考虑安全合规、业务稳定性、安全性以及平台异构需求,有效解决数据中心的问题。

业务稳定性:在针对双数据中心之间和数据中心内多链路的高可靠性保证负载均衡,建议在主数据中心和备数据中心分别采用GSLB技术和多链路负载均衡LLB技术以实现站点级别的智能故障切换和站点内链路级别的智能故障切换;同时采用得防护墙支持孪生模式来解决双活数据中心防火墙策略统一部署时遇到的非对称流量转发问题。

业务安全性:在私有云数据中心的出口采用边界防护、入侵检测、抗DDOS等技术对整个数据中心进行整体的安全防护;而在云平台中每个业务系统需要单独的安全防护,根据不同业务采用不同安全访问控制以及业务系统之间虚拟机隔离。对此采用流量牵引来为每个虚拟机实现边界防护及东西流量控制,并且通过可视化方式对虚拟机之间流量以及威胁进行清晰呈现进而保证虚拟机安全;在业务安全和安全管理方面采用数据库防御、应用系统防护、安全审计、集中管理、态势感知、扫描渗透等传统安全防护手段实现全方位的安全防护。

私有云平台异构建设:针对云平台异构建设可以将安全设备与云平台的对接抽离出来,通过建立中间件,采用设备和中间件的对接、中间件和云平台对接的方式,为用户云平台提供安全能力。采用此方法将安全与云结合的工作抽象出来,将安全能力虚拟化,从而可以很好地降低云平台与安全网元的耦合性,实现从硬件资源到计算资源的平滑演进过渡以及统一管理和自动化运维的需求。

方案价值

  • 充分考虑高可靠冗余设计,提供链路、设备、系统多层级的可靠性保障;
  • 从大边界、小边界、微边界以及风险检测进行全方位安全立体防护;
  • 从小规模试点向大规模运营的的方案平滑过渡,亦可从硬件设备向 NFV 网元进行转型切换