SDN 安全服务链
项目概况
- 基于下一代网络 SDN 技术,构造 SDN 安全服务链(SFC,Service Function Chain),可以让用户根据租户需求来定义、创建服务链 以及服务链上每个节点的业务逻辑。SDN 控制器将相应的策略下发 到接入的软件/硬件服务链网关设备,由 SFC 网关根据策略将流量 引入相应的服务链。SDN 技术与安全服务链场景相结合,很好地解 决了云计算、大数据等业务快速发展带来的矛盾和问题。 SDN 安全服务链为用户提供了一种面向集中控制、解耦控制和转发平 面、具备可编程转发策略的更先进替代方案。SFC 服务请求后,SDN 控制器中的资源管理、VNF 编排模块根据服务请求和底层资源状态, 按照指定的部署策略找到 VNF 和虚拟链路的优化部署位置,并生成 一条满足特定功能、性能的服务路径。 SDN 安全服务链属于新 一代云安全方案,云安全在满足网络架构、访问控制、入侵防范、 安全审计、集中管控、身份鉴别、数据安全性、数据备份恢复和剩 余信息防护的通用要求之外,还应满足基础设施位置、镜像和快照 保护、云服务商选择、供应链管理及云计算环境管理等扩展要求。 其中,实施难点是在同一个云平台上面临着不同的定级对象和不同 的责任方,这就需要云服务商所提供的云计算平台不但要实现自身 的安全防护,还要具有向其上租户系统提供安全防护的能力,例如: 当远程管理云计算平台设备时,管理终端和云计算平台之间应建立 双向身份验证机制;应能检测到对虚拟网络节点的网络攻击行为和 云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、 攻击流量等;应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的 异常流量等。 目前,国内在传统网络分流器(Net TAP)领域,有成都数维通信、湖南戎腾网络等几个区域型厂商,但是 TAP 一代产 品存在性能低,调度不灵活等问题,一直没有在市场上形成规模应 用。而基于 SDN 的 TAP 二代产品或者安全服务链除了几个云计算厂 商在 Overlay 层面有虚拟 SFC 的概念产品。我们开发的系统已在多 个市区级政府信息中心、公安网络监察大队、城市级商业银行、大 型国企的数据中心试用,部分已经签订采购合同。
团队介绍
Copyright @ 2019 新乡科技服务中心 豫ICP备19023816号