業(yè)務(wù)背景

目前很多金融機構(gòu)采用云計算數(shù)據(jù)中心模式提供服務(wù)。對于許多金融企業(yè)為了保障服務(wù)連續(xù)性，多采用雙活數(shù)據(jù)中心，但是在雙活數(shù)據(jù)中心要注意防火墻來回路徑不一致的問題，以及鏈路流量分配的問題。在私有云的云平臺層面需要考慮來自數(shù)據(jù)中心外部的攻擊與入侵，以及私有云邊界特別是在服務(wù)器內(nèi)部虛擬機邊界的安全防護。在私有云平臺建設(shè)中也考慮安全能力從硬件資源到計算資源的平滑演進過渡以及統(tǒng)一管理和自動化運維的需求。

解決方案

根據(jù)金融雙活數(shù)據(jù)中心，充分考慮安全合規(guī)、業(yè)務(wù)穩(wěn)定性、安全性以及平臺異構(gòu)需求，有效解決數(shù)據(jù)中心的問題。

業(yè)務(wù)穩(wěn)定性：在針對雙數(shù)據(jù)中心之間和數(shù)據(jù)中心內(nèi)多鏈路的高可靠性保證負載均衡，建議在主數(shù)據(jù)中心和備數(shù)據(jù)中心分別采用GSLB技術(shù)和多鏈路負載均衡LLB技術(shù)以實現(xiàn)站點級別的智能故障切換和站點內(nèi)鏈路級別的智能故障切換；同時采用得防護墻支持孿生模式來解決雙活數(shù)據(jù)中心防火墻策略統(tǒng)一部署時遇到的非對稱流量轉(zhuǎn)發(fā)問題。

業(yè)務(wù)安全性：在私有云數(shù)據(jù)中心的出口采用邊界防護、入侵檢測、抗DDOS等技術(shù)對整個數(shù)據(jù)中心進行整體的安全防護；而在云平臺中每個業(yè)務(wù)系統(tǒng)需要單獨的安全防護，根據(jù)不同業(yè)務(wù)采用不同安全訪問控制以及業(yè)務(wù)系統(tǒng)之間虛擬機隔離。對此采用流量牽引來為每個虛擬機實現(xiàn)邊界防護及東西流量控制，并且通過可視化方式對虛擬機之間流量以及威脅進行清晰呈現(xiàn)進而保證虛擬機安全；在業(yè)務(wù)安全和安全管理方面采用數(shù)據(jù)庫防御、應(yīng)用系統(tǒng)防護、安全審計、集中管理、態(tài)勢感知、掃描滲透等傳統(tǒng)安全防護手段實現(xiàn)全方位的安全防護。

私有云平臺異構(gòu)建設(shè)：針對云平臺異構(gòu)建設(shè)可以將安全設(shè)備與云平臺的對接抽離出來，通過建立中間件，采用設(shè)備和中間件的對接、中間件和云平臺對接的方式，為用戶云平臺提供安全能力。采用此方法將安全與云結(jié)合的工作抽象出來，將安全能力虛擬化，從而可以很好地降低云平臺與安全網(wǎng)元的耦合性，實現(xiàn)從硬件資源到計算資源的平滑演進過渡以及統(tǒng)一管理和自動化運維的需求。

客戶價值

• 充分考慮高可靠冗余設(shè)計，提供鏈路、設(shè)備、系統(tǒng)多層級的可靠性保障；
• 從大邊界、小邊界、微邊界以及風險檢測進行全方位安全立體防護；
• 從小規(guī)模試點向大規(guī)模運營的的方案平滑過渡，亦可從硬件設(shè)備向 NFV 網(wǎng)元進行轉(zhuǎn)型切換。