業(yè)務(wù)背景

目前很多金融機(jī)構(gòu)采用云計(jì)算數(shù)據(jù)中心模式提供服務(wù)。對(duì)于許多金融企業(yè)為了保障服務(wù)連續(xù)性，多采用雙活數(shù)據(jù)中心，但是在雙活數(shù)據(jù)中心要注意防火墻來回路徑不一致的問題，以及鏈路流量分配的問題。在私有云的云平臺(tái)層面需要考慮來自數(shù)據(jù)中心外部的攻擊與入侵，以及私有云邊界特別是在服務(wù)器內(nèi)部虛擬機(jī)邊界的安全防護(hù)。在私有云平臺(tái)建設(shè)中也考慮安全能力從硬件資源到計(jì)算資源的平滑演進(jìn)過渡以及統(tǒng)一管理和自動(dòng)化運(yùn)維的需求。

解決方案

? ? ? 根據(jù)金融雙活數(shù)據(jù)中心，充分考慮安全合規(guī)、業(yè)務(wù)穩(wěn)定性、安全性以及平臺(tái)異構(gòu)需求，有效解決數(shù)據(jù)中心的問題。

業(yè)務(wù)穩(wěn)定性：在針對(duì)雙數(shù)據(jù)中心之間和數(shù)據(jù)中心內(nèi)多鏈路的高可靠性保證負(fù)載均衡，建議在主數(shù)據(jù)中心和備數(shù)據(jù)中心分別采用GSLB技術(shù)和多鏈路負(fù)載均衡LLB技術(shù)以實(shí)現(xiàn)站點(diǎn)級(jí)別的智能故障切換和站點(diǎn)內(nèi)鏈路級(jí)別的智能故障切換；同時(shí)采用得防護(hù)墻支持孿生模式來解決雙活數(shù)據(jù)中心防火墻策略統(tǒng)一部署時(shí)遇到的非對(duì)稱流量轉(zhuǎn)發(fā)問題。

業(yè)務(wù)安全性：在私有云數(shù)據(jù)中心的出口采用邊界防護(hù)、入侵檢測(cè)、抗DDOS等技術(shù)對(duì)整個(gè)數(shù)據(jù)中心進(jìn)行整體的安全防護(hù)；而在云平臺(tái)中每個(gè)業(yè)務(wù)系統(tǒng)需要單獨(dú)的安全防護(hù)，根據(jù)不同業(yè)務(wù)采用不同安全訪問控制以及業(yè)務(wù)系統(tǒng)之間虛擬機(jī)隔離。對(duì)此采用流量牽引來為每個(gè)虛擬機(jī)實(shí)現(xiàn)邊界防護(hù)及東西流量控制，并且通過可視化方式對(duì)虛擬機(jī)之間流量以及威脅進(jìn)行清晰呈現(xiàn)進(jìn)而保證虛擬機(jī)安全；在業(yè)務(wù)安全和安全管理方面采用數(shù)據(jù)庫防御、應(yīng)用系統(tǒng)防護(hù)、安全審計(jì)、集中管理、態(tài)勢(shì)感知、掃描滲透等傳統(tǒng)安全防護(hù)手段實(shí)現(xiàn)全方位的安全防護(hù)。

私有云平臺(tái)異構(gòu)建設(shè)：針對(duì)云平臺(tái)異構(gòu)建設(shè)可以將安全設(shè)備與云平臺(tái)的對(duì)接抽離出來，通過建立中間件，采用設(shè)備和中間件的對(duì)接、中間件和云平臺(tái)對(duì)接的方式，為用戶云平臺(tái)提供安全能力。采用此方法將安全與云結(jié)合的工作抽象出來，將安全能力虛擬化，從而可以很好地降低云平臺(tái)與安全網(wǎng)元的耦合性，實(shí)現(xiàn)從硬件資源到計(jì)算資源的平滑演進(jìn)過渡以及統(tǒng)一管理和自動(dòng)化運(yùn)維的需求。

客戶價(jià)值

• 充分考慮高可靠冗余設(shè)計(jì)，提供鏈路、設(shè)備、系統(tǒng)多層級(jí)的可靠性保障；
• 從大邊界、小邊界、微邊界以及風(fēng)險(xiǎn)檢測(cè)進(jìn)行全方位安全立體防護(hù)；
• 從小規(guī)模試點(diǎn)向大規(guī)模運(yùn)營的的方案平滑過渡，亦可從硬件設(shè)備向 NFV 網(wǎng)元進(jìn)行轉(zhuǎn)型切換。