云计算作为新型基础设施建设的重要组成，关键作用日益凸显，市场规模呈现持续增长趋势。然而云计算安全态势日益严峻，安全性成为影响云计算充分发挥其作用的核心要素。与传统 IT 系统架构不同，上云之后，云安全迎来了责任共担新时代。

网络安全法和等保 2.0 给出了比较清晰的指导建议，当然这也要求云厂商能提供基于 IaaS、PaaS、SaaS 的安全机制和服务。云厂商在提供给云租户云服务内容的同时，还要提供相应的安全措施和具体的安全服务产品。

QingCloud 安全资源池服务

QingCloud 安全资源池是青云提供的在当前安全威胁和安全合规要求下的安全解决方案之一。

首先，QingCloud 安全资源池构建在基于可信云平台之上，云平台提供安全的 SDN 网络、SDS 存储、软件定义计算的安全云环境，在云之上提供给租户自助的安全服务，如主机防护、运维堡垒机、审计、WAF、安全态势等。这些安全服务，可以满足租户对安全多样性的需求，安全组件以租户为单位进行资源和安全隔离，这是安全池的基本功能。

除了安全资源池的整体性，云平台又给安全组件赋予了一些新的特性：

• 自助特性：租户可以自助进行安全组件规格、数量 、处理性能的定制化，可以自由选择青云当前最新的云主机类型，从而发挥出安全组件的最佳性能。

• 性能保证：云中安全组件的性能，往往是用户在选择此方案时的考虑之一。青云如何来保证云中安全组件的性能呢？云中安全组件可以借助云平台的资源弹性扩展功能，来提升安全组件的流量处理能力，如很多安全产品中的流量深度过滤功能，就可以结合云平台的 LB 负载均衡，来提供多实例的抗衡大流量的网络攻击行为。并且可以借助 EIP 功能，对外体现为一个安全集群来应对大流量攻击事件。

• 开放特性：用户在选择安全产品时，除了考虑性能因素外，另外要考虑的就是安全产品的功能和专业度，也就是说能否帮业务做好安全。举例说明：用户担心一重防火墙不能阻挡当下新型的网络攻击（如 APT 或零日攻击事件），专业的安全用户就希望有多款不同技术见长的安全产品组合起来实现防护攻击，实现安全交叉互补的防护效果。客户有需求，我们就要有实现的能力，对云平台来说也是一个技术挑战，SDN 编排必须要是开放性的架构设计，可以根据用户的需求，编排对接各种形态和第三方的安全资源池和专业安全设备。青云在规划安全资源池时，就考虑到了用户这种专业的安全需求，并且投入大量的研发，实现了 SDN 编排的开放特性，通过 SDN 编排可以兼容第三方的安全资源池，甚至安全设备。

安全资源池服务实现路径及难点

在了解具体的技术实现情况前，先要看一下实现这样的安全资源池的难点在哪里？要实现刚才提到的安全资源池，云平台要解决两个层面的工作。

1. 控制管理平面：租户需要在自己的管理页面上可以自由选择，甚至是自由组合使用对应的安全组件产品，包括下发安全配置策略、查看各种安全事件和日志，这就需要云平台来对接海量的安全产品管理接口以及对接各种安全产品的控制台，由于接口技术不统一，工作比较复杂且工作量很大。

2. 数据流量平面：如何实现云实例的正常流量，根据安全管理的需求，分别经过各种安全产品或组件，也就是俗称的东西向流量和南北向流量编排。如何实现东西向流量和南北向流量编排，本身就是一个难点，用户多、云业务复杂、流量大，还要保证较低的网络延时以及无单点故障，加上考虑开发特性、对接各种第三方资源池和安全设备，方案极其复杂。

青云安全资源池架构实现

上图为青云实现统一安全资源池的 SDN 编排方案逻辑图。由 3 个核心部分构成：SDN 统一管控平台组件、MCN（多云网络管理组件）、各种形态的安全资源池。

• 安全统一管控平台：青云自研的统一注册管理安全产品控制台的组件平台，这个组件平台一边对接各安全产品控制台和 API，另一边提供丰富的 API 接口，给云租户 console 来调用，从而对接尽可能多的安全产品和组件，并且解耦安全组件的控制管理，给云平台租户提供可以自由选择使用对接注册到平台上的各种安全组件，并且要实现各种策略的下发、事件的告警和日志的集中收集等。

• MCN 多云网络管理组件：青云自研的一款软件定义网络产品，在整个方案中 MCN 起到高性能网络互联互枢纽的作用，可以对接各种网络和设备，当然也包括各种安全设备和资源池。以 MCN 为核心，在总的安全 SDN 统一管控平台定义下，把防护实例对象的流量进行安全流量逻辑编排，依次通过定义的安全设备，从而进行各种安全防护。

因为有了 SDN 统一管控平台和 MCN，就可以实现对接青云自研和第三方的安全资源池安全方案。最后一个组件是青云的 VG，是互联网的出口设备组件（软件），可以对接各种线路、绑定EIP 地址池和公网负载均衡等实现。

青云 SDN 云安全服务分别定义了 SDN 统一管控平台和 MCN＋ 各种形态的安全服务，从而实现了基于 SDN 的安全服务编排，为云租户提供灵活又全面的安全防护方案。

MCN 核心组件，是整个SDN 编排的核心重点。有四个核心功能：

• 服务调度：能接受 SDN 统一控制台的服务和资源调度，对接管理层面。

• 流量编排：形成编排逻辑和流量链条计划。

• 高性转发平面：东西向和南北向流向转发和网络设备对接，如 Vxlan 数据解封装。

• 多种形态：软件定义的多种形态，满足各种场景的需求，成本和高性能是考虑的重点。

青云对 MCN 使用场景的定义：

• 不同网络的互联，甚至在混合云、私有云场景下的多网络互连。

• 云在 Region 下多 AZ 区域的网络互通，可以感知和实现对云环境多大的环境变化，这点是传统交换机无法实现的。

• 数据平台，具有各种网络隧道能力，数据包解封的能力，如 vxlan 的流量编排等。

SDN 安全服务编排价值

经过 SDN 的编排，有哪些价值？

运维场景：要对云中数据做运维，可以通过 NFW 访问堡垒机，再访问数据库。

交付业务防护场景：通过入侵防御、数据库组的防护组件，再访问数据库。用户一键快速在云中实现安全服务的编排部署，如在真实的数据中心，获取到丰富的安全功能，方案灵活，并且能保证安全产品的性能和安全功能交叉保护，从而实现对云中实例的安全做到自主可控。

安全产品在真实的实践中，为了达到较好的防护效果，往往要使用不同技术架构，不同实现的安全产品，通过组合使用，来提升防护率，如战争中，我们会发现有各种的防御措施，第一道防御、第二道防御，也会使得不同特点的火力武器进行配合使用。

SDN 编排场景：异构、混合安全防护编排

南北向编排：如云主机 1 需要访问互联网，可以通过 SDN 编排，数据流量先经过安全资源池中的“虚拟下一代防火墙”做访问规则的过滤后，再跳转到传统硬件 IPS 进行应用特征库过滤，最终访问到互联网。

东西向编排：如 VPC 1 中云主机 1 和 VPC 2 中的云主机 4 互通，这属于典型的跨 VPC 东西向流量，这个场景假设 VPC 1 中为运维终端，要访问 VPC 2 中的云主机 4 服务。我们可以通过 SDN 编排，将流量强制经过物理安全设备“堡垒机”的身份认证和授权后，才能访问云主机 ４，从而实现运维操作的记录和审计。此业务场景，通过 SDN 编排后充分利用了“具有性能优势的物理安全设备”。

南北向编排：此场景为从互联网主动访问云中的主机实例 6 的业务场景，为常见的业务访问场景。我们通过 SDN 编排 EIP 的能力，将访问流量依次通过“虚机下一代防火墙”和物理 IPS 混合过滤，经过滤后的流量最终到达实例 ６。不仅实现混合增强防护效果，也可以在混合云模式下，兼容各种安全防护设备和技术。

SDN 安全服务编排优势

• 开放架构：开放架构可以对接和编排各种第三方安全能力和各种安全资源形态。

• 安全资源池：基于青云云平台，可提供可信环境、资源弹性、一键交付、灵活扩容的安全资源池。

• 安全服务化：提供青云云资源一致的操作习惯和使用体验。

• 智能编排：解决各种传统网络、安全设备、异构安全资源的网络打通和流量编排。

作者

张帆 青云科技解决方案架构师

本文由博客一文多发平台 OpenWrite 发布！