ZStack实践汇|ZStack与安恒天池云对接实践

痴心易碎 提交于 2020-07-29 07:04:06

一、ZStack与安恒天池云概述

大道至简·极速部署,ZStack致力于产品化私有云和混合云。

云轴科技(ZStack)是一家自主创新、专注产品化的云计算公司,以“降低企业上云门槛”为使命、“让每一家企业都拥有自己的云”为愿景,提供自研的ZStack私有云、ZStack混合云、ZStack Mini边缘计算一体机、ZStack CMP多云管理平台、ZStack企业级分布式存储以及ZStack信创云平台等产品和方案。

作为新一代创新开源的云计算IaaS软件,ZStack由英特尔、微软、CloudStack等世界上最早一批虚拟化工程师创建,拥有KVM、Xen、Hyper-V等成熟的技术背景。ZStack创新提出了云计算4S理念,即Simple(简单)、Strong(健壮)、Scalable(弹性)、Smart(智能),通过全异步架构,无状态服务架构,无锁架构等核心技术,完美解决云计算执行效率低,系统不稳定,不能支撑高并发等问题,实现HA和轻量化管理。ZStack拥有云平台的完全自主知识产权,是国内最大的自主开源 IaaS 社区发起者,累计服务企业客户超过1200家,覆盖10多类行业。

天池云安全管理平台(简称“天池”) 是安恒结合自身在安全领域多年的经验及技术积累打造的专门针对云上安全的产品。天池云安全解决方案融合了众多安全产品的能力,旨在帮助用户解决云上的安全问题。帮助用户构建一个弹性扩容、按需分配、安全能力完善的云安全资源池,并为用户提供便捷的统一管理平台,实现安全产品的统一运维、自动编排、策略管理、资产管理、状态监控、数据分析等。运营管理员可以通过天池云安全运营平台监控整个云平台的安全状态和安全资源的使用情况,云租户可以通过天池云安全租户平台管理自己的云安全资源,掌握自己业务的安全动态,满足云计算环境下等保2.0的安全要求。

二、对接方案

在传统的数据中心内,平台安全建设将FW、WAF、IPS、数据库防火墙等安全网元构建成安全资源池,旁挂到SDN交换机上。通过引流技术将流量牵引至云安全资源池内清洗,完成后再将正常流量原路回注,最终到达业务VM上。这种方式通常基于硬件结构,安全设备形式单一,通常只能向单个业务系统服务,且性能方面难以满足云环境下的动态调整和扩展。

在建设云安全防护体系时,需要充分考虑安全能力的灵活调整、按需使用的需求,满足不同业务系统对安全能力的差异化要求。本次ZStack与安恒天池云对接方案为一种紧耦合方式,如图2-1所示。天池与云平台完全融合,成为整个云平台的服务模块,天池安全运维管理平台VM虚机部署在ZStack云平台上,再通过API对接,天池运维管理平台会在ZStack上自动开通其它安全产品VM,提供个性化、全方位的安全能力。

图2-1  ZStack & 天池云融合对接架构图

三、天池云管理平台搭建

1.在ZStack云平台云资源池内上传天池管理平台及其它安全产品镜像,如图3-1所示。

图3-1上传安全产品镜像

2.使用上传的“天池云管理平台”镜像创建云主机,如图3-2所示。

图3-2创建“天池云”管理平台云主机

3.为了满足租户对安全资源各不相同的需求,ZStack租户体系和天池账户体系实现认证对接,针对安全产品给租户统一分配、利用和管理云上安全资源的权限。登陆界面如图3-3所示。账户体系对接后,云安全运营平台、云平台之间的账户体系将会打通,即云平台租户可以登录到自己的云安全运营平台上,并通过该平台申请需要的安全产品。同时,云安全运营平台将会打通所有的产品权限体系,实现所有安全产品的统一登陆。

图3-3  登陆“天池云”安全运维平台

4.首次登录天池云安全运维平台后,默认进入部署页面。点击<部署天池>进入部署配置页面,如图3-4所示。

图3-4 部署天池云安全管理平台

5.自动化完成云安全管理平台部署后,可直接访问天池云安全管理平台,如图3-5所示。

图3-5  自动部署完成

6.配置IP资源池:为安全产品保留业务网段,用作安全产品的业务地址。在菜单栏点击“部署配置IP资源池”,点击<新增>创建IP资源池,如图3-6所示。

图3-6  配置IP资源池

7.配置引流:在菜单栏点击“部署配置引流配置”,点击<创建>创建新的引流配置,如图3-7所示。

图3-7  创建引流配置

8.引流配置创建后,ZStack云平台内自动创建对应的“二层网络”。同时会基于创建的二层网络创建出三层公有网络及WAF业务网络,如图3-8、3-9所示。

图3-8  自动创建二层网络

图3-9  三层公有网络和waf业务网络

四、安全产品开通

1.以云平台超级管理员身份登陆天池云管理平台,在菜单栏点击“租户管理-开通产品”后,自动调用ZStack云平台资源为不同租户开通不同的安全产品。如图4-1、4-2所示。

图4-1  开通安全产品

图4-2  自动创建的安全产品VM

2.以云平台租户身份登陆天池云管理平台,管理自己权限范围内的安全产品,通过管理界面无感知的登陆到各个安全产品,进行产品的配置、策略更改等操作。如图4-3、4-4所示。

图4-3  租户操作安全产品

结合天池云管理平台搭建及安全资源池产品开通步骤,总体流程如4-4 所示。

图4-4

 

五、业务资源安全防护配置

安全组件分为网关型和非网关型两大类。网关型安全组件包括:下一代云防火墙(vFW)和云WEB应用防火墙(WAF),剩余安全组件均为非网关型安全组件。

网关型安全组件防护中,外部物理交换机将外部WEB流量引向vFW外网口,vFW将WEB流量引向WAF业务网口,进行攻击流量清洗,WAF将清洗后的WEB业务流量返回给vFW,再将WEB流量返回给外部物理交换机。

非网关型安全组件只需要与被保护主机网络互通,不需要在物理交换机上做引流操作。其中部分非网关型安全组件(如:云数据库审计、云网页防篡改、主机安全及管理系统、云综合日志审计)还需要在被保护主机上安装Agent 才能提供安全能力。剩余的非网关型安全组件(如:云堡垒机和云综合漏洞扫描)则不需要在主机安装Agent 即可提供相关安全能力。

下面以vFW、WAF等网关型安全产品为例,详细说明引流策略的配置。假如租户网络内有台WEB应用服务器,WEB服务器IP地址为192.168.0.238/24。WEB服务器对公网提供HTTP服务,现在需要用WAF对该访问网站的流量进行防护。

首先需要在核心交换机上配置引流,将http的流量牵引至引流防火墙,同时在引流防火墙上配置相同的引流策略,将流量再牵引至WAF。

具体配置方式如下:

1. 防火墙上配置策略路由,如图5-1、5-2所示.

图5-1将外网访问web服务器的流量引流给WAF

图5-2 将网站响应外部请求的流量引流至WAF 

2.WAF内配置保护站点,把WAF业务网IP下发到业务口上,此时防火墙才能ping通WAF,如图5-3所示。

图5-3 配置保护站点

 

六、总结

ZStack与安恒天池云的对接,客户可以通过ZStack云平台实现计算、存储、网络等资源按需分配、按需使用。同时结合安恒天池云,客户可以进行云平台资源安全建设和云内业务安全建设,满足不同业务系统对安全能力的差异化需求,打造网络、主机、应用、数据多层安全保障的云基础环境,并从外部攻击防御到内部安全管控两方面提升云安全水平,建设安全、可信的云基础环境。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!