弹性安全 云·界授权

——云服务商的安全践行之路

客户简介
作为国有企业控股的上市软件企业，山石网科的客户——某云服务商总部位于上海浦东张江高科技园区，是国家规划布局内重点软件企业。该运营商一直承担着国家科技重大专项、国家科技支撑计划专项、国家科技部863专项、国家工信部电子基金专项等从国家到地方的研发和产业化类项目。

凭借多年的经验和技术积累，该云服务商正致力于云计算、物联网、车联网、智能制造、绿色制造、智慧园区等关键技术研发与应用，为租户提供SaaS、BOO等IT行业新兴服务模式。云计算服务正逐渐成为企业的关键业务，目前已经为上百家企业客户提供了云服务，并荣获“2015年度中国金服务-云计算领域最具影响力服务商”称号。

需求与挑战
该云服务商为租户提供专业的IDC定制服务，除了提供传统云计算服务外，还为租户提供可定制的安全服务，其中包括：租户防火墙、边界防火墙、入侵防御系统等。根据租户的实际需求部署防火墙，并提供给客户管理界面，以满足客户根据自身业务调整安全策略的需求。

该云服务商前期考虑过采用硬件专用设备来提供服务的方案，但这种方案存在实施维护复杂，一次性投入成本高，扩容能力有限等多种问题。

该云服务商不仅要求在技术上能够满足客户的要求，而且要求用于增值服务的成本可以随业务实际使用而增加，不希望一次性投入太多的成本。

解决方案
基于客户的实际需求，山石网科为客户提供了虚拟化安全解决方案，通过虚拟化下一代防火墙——山石云·界提供基于租户的安全防护，并可为每个租户提供独立的WebUI进行个性化管理和配置，由于山石云·界的部署方式与普通虚拟机非常类似，云平台管理员可像管理普通虚拟机一样将山石云·界进行启动、迁移和管理。

通过山石云·界的路由功能及HA功能，该服务商可为租户提供具有高可用性的VPC级安全防护服务，不仅保障客户的虚拟机安全，同时规避单点故障问题。

结合山石云·界的虚拟化license管理方案，授权文件可提前交付，并可根据租户实际使用需求，启动防火墙并导入授权文件；同时，当某租户不再需要此服务时，也可将此租户的授权文件收回，并提供给其他租户使用；后续扩容可根据实际需求提供对应数量的授权文件，而无需更换硬件设备，大大增加维护和管理的灵活性、易用性。

运行效果
通过实际测试，虚拟化下一代防火墙——山石云·界相比硬件设备，对虚拟化环境适应能力更强，可根据业务需求随时进行调整，同时每个云界都可提供独立的管理界面为租户满足个性化管理需求，山石云·界采用多功能all in one设计，为后续的功能服务扩展奠定良好的基础，授权文件的可调整性与可扩展性，使设备部署与云服务业务变的更加紧密，使用虚拟化下一代防火墙安全方案真正的做到了让安全变成云服务。