云計(jì)算將成為了IT基礎(chǔ)架構(gòu)，它通過為客戶提供諸如IaaS、PaaS、SaaS等云服務(wù)，使得任何規(guī)模的企業(yè)都可以以負(fù)擔(dān)得起的費(fèi)用，享受到企業(yè)級(jí)的應(yīng)用、計(jì)算和儲(chǔ)存服務(wù)。隨著數(shù)據(jù)大集中趨勢(shì)越來越普遍，在某個(gè)管理權(quán)限相對(duì)獨(dú)立的行業(yè)，為了滿足相互之間多個(gè)基本獨(dú)立運(yùn)行的關(guān)鍵業(yè)務(wù)需求，構(gòu)建一個(gè)基于云計(jì)算的數(shù)據(jù)中心就顯得順理成章。

云數(shù)據(jù)中心為每個(gè)關(guān)鍵業(yè)務(wù)構(gòu)建一個(gè)虛擬化的數(shù)據(jù)中心，每個(gè)虛擬化的數(shù)據(jù)中心具備所有物理意義上數(shù)據(jù)中心的所有虛擬化了的設(shè)備和性能特征，如虛擬化主機(jī)、虛擬化儲(chǔ)存空間、虛擬化應(yīng)用以及虛擬化數(shù)據(jù)庫等，為相關(guān)關(guān)鍵業(yè)務(wù)提供服務(wù)。

圖1 云安全認(rèn)證傳輸網(wǎng)關(guān)典型應(yīng)用場(chǎng)景

傳統(tǒng)意義上的安全傳輸網(wǎng)關(guān)為企業(yè)員工遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源建立了一個(gè)安全的傳輸通道，從應(yīng)用層面解決了用戶身份認(rèn)證、遠(yuǎn)程訪問控制以及數(shù)據(jù)加密傳輸問題。在云計(jì)算環(huán)境下，由于用戶隨機(jī)移動(dòng)概率的增多，訪問接入網(wǎng)絡(luò)和終端設(shè)備的多樣化，傳統(tǒng)硬件搭建的虛擬專網(wǎng)所固有的冗余缺陷導(dǎo)致其在云環(huán)境下缺乏足夠可擴(kuò)展性和靈活性，因此亟需分布式的、可以應(yīng)需擴(kuò)展的符合云特征的安全網(wǎng)關(guān)保障云計(jì)算環(huán)境下各數(shù)據(jù)中心之間、應(yīng)用之間、訪問者和應(yīng)用之間，進(jìn)行安全認(rèn)證、訪問控制和數(shù)據(jù)的安全傳輸。

云安全認(rèn)證傳輸網(wǎng)關(guān)通過采用軟硬件資源池化、服務(wù)質(zhì)量可量化和彈性化、資源隨需調(diào)用和接入網(wǎng)絡(luò)多樣化等技術(shù)，實(shí)現(xiàn)了面向業(yè)務(wù)的虛擬化、分布式，滿足了云計(jì)算環(huán)境下低成本、規(guī)?？蓴U(kuò)展以及彈性計(jì)算能力等信息安全服務(wù)功能要求，為云計(jì)算環(huán)境下關(guān)鍵業(yè)務(wù)運(yùn)行提供了應(yīng)用層面的用戶身份認(rèn)證、遠(yuǎn)程訪問控制以及數(shù)據(jù)加密傳輸?shù)裙δ?，?shí)現(xiàn)了真正意義上的安全即服務(wù)（Security as a Service）。

云安全認(rèn)證傳輸網(wǎng)關(guān)典型應(yīng)用場(chǎng)景

如圖1給出了云安全認(rèn)證傳輸網(wǎng)關(guān)在云數(shù)據(jù)中心環(huán)境中的典型應(yīng)用場(chǎng)景。

云安全認(rèn)證傳輸網(wǎng)關(guān)功能描述

云安全認(rèn)證傳輸網(wǎng)關(guān)是一款適用于云計(jì)算環(huán)境的面向應(yīng)用層的信息安全設(shè)備。云安全認(rèn)證傳輸網(wǎng)關(guān)在能為云服務(wù)提供商向其各類客戶提供差異化的云服務(wù)同時(shí)，也能滿足客戶差異化信息安全服務(wù)需求。

圖1中，整個(gè)行業(yè)的數(shù)據(jù)中心由一個(gè)主數(shù)據(jù)中心和分布在全國的若干個(gè)分?jǐn)?shù)據(jù)中心組成，各分?jǐn)?shù)據(jù)中心和主數(shù)據(jù)中心之間能實(shí)現(xiàn)災(zāi)備。

行業(yè)數(shù)據(jù)中心采用云計(jì)算架構(gòu)構(gòu)建。云數(shù)據(jù)中心采用虛擬化技術(shù)為每個(gè)行業(yè)關(guān)鍵業(yè)務(wù)，如網(wǎng)上辦公、物資、服裝、車輛管控、以及資金撥付和結(jié)算等，提供一個(gè)在邏輯上完全獨(dú)立的虛擬化數(shù)據(jù)中心。

該虛擬化的數(shù)據(jù)中心對(duì)用戶完全透明，同時(shí)為每個(gè)行業(yè)關(guān)鍵業(yè)務(wù)提供與傳統(tǒng)意義上物理上獨(dú)立的數(shù)據(jù)中心完全相同的服務(wù)，如在為每個(gè)關(guān)鍵業(yè)務(wù)提供運(yùn)行多種類操作系統(tǒng)服務(wù)器、運(yùn)行多種數(shù)據(jù)庫的數(shù)據(jù)庫服務(wù)器、以及各類WWW服務(wù)等的同時(shí)，也為各類關(guān)鍵業(yè)務(wù)提供具有彈性特征的儲(chǔ)存容量，以滿足某個(gè)業(yè)務(wù)的個(gè)性化需求。

圖2 云安全認(rèn)證傳輸網(wǎng)關(guān)應(yīng)用示例

云安全認(rèn)證傳輸網(wǎng)關(guān)采用云計(jì)算技術(shù)，為云數(shù)據(jù)中心提供應(yīng)用層面的信息安全保障。通過采用池化技術(shù)，可以將云安全認(rèn)證傳輸網(wǎng)關(guān)的諸如CPU、內(nèi)存、硬盤、通信接口等物理資源進(jìn)行池化，實(shí)現(xiàn)物理資源的虛擬化。通過這類虛擬化技術(shù)，實(shí)現(xiàn)了在云的硬件平臺(tái)上，運(yùn)行多個(gè)虛擬化了的云安全認(rèn)證傳輸網(wǎng)關(guān)，使得云安全認(rèn)證傳輸網(wǎng)關(guān)在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上，即對(duì)交換機(jī)、路由器、防火墻、光纖/電纜等而言也是透明的，為每個(gè)關(guān)鍵業(yè)務(wù)構(gòu)建一個(gè)在邏輯層面完全獨(dú)立的虛擬專用網(wǎng)（VPN），以便為每個(gè)關(guān)鍵業(yè)務(wù)提供用戶身份認(rèn)證、遠(yuǎn)程訪問控制、以及數(shù)據(jù)加密傳輸?shù)裙δ堋?/p>

采用軟件調(diào)度與負(fù)載均衡技術(shù)，可以讓多個(gè)云安全認(rèn)證傳輸網(wǎng)關(guān)分布式協(xié)作運(yùn)行，也可以將部署在異地的多個(gè)云安全認(rèn)證傳輸網(wǎng)關(guān)通過中心統(tǒng)一調(diào)度、統(tǒng)一管理和統(tǒng)一審計(jì)，使之為每個(gè)關(guān)鍵業(yè)務(wù)構(gòu)建的虛擬專用網(wǎng)具有非常靈活的面向業(yè)務(wù)的服務(wù)能力、很強(qiáng)地性能擴(kuò)展能力和彈性部署能力。

云安全認(rèn)證傳輸網(wǎng)關(guān)應(yīng)用示例

對(duì)照?qǐng)D2所示的應(yīng)用場(chǎng)景，下面就從流程角度，對(duì)云安全認(rèn)證傳輸網(wǎng)關(guān)應(yīng)用做一個(gè)示范性描述。

1.局域網(wǎng)環(huán)境下用戶訪問流程

對(duì)局域網(wǎng)而言，關(guān)鍵業(yè)務(wù)1的用戶A要訪問云數(shù)據(jù)中心提供的關(guān)鍵業(yè)務(wù)1，則其訪問流程如下：

用戶A將其持有的具有內(nèi)置了數(shù)字證書的UKey插入到網(wǎng)絡(luò)終端的USB口。

在關(guān)鍵業(yè)務(wù)1用戶群進(jìn)/出口處的B型云安全認(rèn)證傳輸網(wǎng)關(guān)，對(duì)用戶A的數(shù)字證書合法性進(jìn)行驗(yàn)證，一旦驗(yàn)證用戶A為合法用戶，則該網(wǎng)關(guān)為用戶A設(shè)置相應(yīng)的資源訪問許可和權(quán)限。

在示例中，通過配置，可以在B型云安全認(rèn)證傳輸網(wǎng)關(guān)和總部級(jí)云數(shù)據(jù)中心進(jìn)/出口處的A型云安全認(rèn)證傳輸網(wǎng)關(guān)之間建立站點(diǎn)到站點(diǎn)（site to site）模式的虛擬連接，并可依據(jù)關(guān)鍵業(yè)務(wù)1的特性，來定義該虛擬連接所許可傳輸?shù)木W(wǎng)絡(luò)協(xié)議、數(shù)據(jù)加解密類型等面向特點(diǎn)業(yè)務(wù)的連接屬性。

一旦建立了虛擬連接，則用戶A即可獲得云數(shù)據(jù)中心提供的授權(quán)許可的服務(wù)，并全程實(shí)現(xiàn)了數(shù)據(jù)傳輸?shù)募咏饷?、?shù)據(jù)訪問的控制等功能。

如果在關(guān)鍵業(yè)務(wù)1中有多個(gè)用戶要同時(shí)訪問云數(shù)據(jù)中心提供的云服務(wù)，只要通過了其進(jìn)/出口處B型云安全認(rèn)證傳輸網(wǎng)關(guān)的身份認(rèn)證，則均能獲得與用戶A相同的云服務(wù)。

由于在B型云安全認(rèn)證傳輸網(wǎng)關(guān)和A型云安全認(rèn)證傳輸網(wǎng)關(guān)之間建立的是站點(diǎn)到站點(diǎn)模式的虛擬連接，因此在這類虛連接上可以運(yùn)行多種網(wǎng)絡(luò)協(xié)議和具有不同協(xié)議端口號(hào)的多種應(yīng)用。

2.廣域網(wǎng)環(huán)境下用戶訪問流程

對(duì)廣域網(wǎng)用戶而言，如上圖左上側(cè)的遠(yuǎn)程用戶B要訪問云數(shù)據(jù)中心提供的某個(gè)關(guān)鍵業(yè)務(wù)，如車輛管控，則其訪問流程如下。

遠(yuǎn)程用戶B將其持有的具有內(nèi)置了其數(shù)字證書的UKey插入到某個(gè)允許聯(lián)網(wǎng)的網(wǎng)絡(luò)終端的USB口。

在遠(yuǎn)程用戶群2進(jìn)/出口處的小型云安全認(rèn)證傳輸網(wǎng)關(guān)，對(duì)用戶B的合法性進(jìn)行數(shù)字證書的驗(yàn)證，一旦驗(yàn)證用戶B為合法用戶，則該網(wǎng)關(guān)為用戶B設(shè)置相應(yīng)的由云安全認(rèn)證傳輸網(wǎng)關(guān)提供的且和車輛管控業(yè)務(wù)相關(guān)的資源訪問許可和權(quán)限。

在示例中，通過配置，可以在小型云安全認(rèn)證傳輸網(wǎng)關(guān)和總部級(jí)云數(shù)據(jù)中心進(jìn)/出口處的A型云安全認(rèn)證傳輸網(wǎng)關(guān)之間建立站點(diǎn)到站點(diǎn)（site to site）模式的虛擬連接，并可依據(jù)該連接所承載的關(guān)鍵業(yè)務(wù)特性，如車輛管控業(yè)務(wù)特性，來定義該虛擬連接所允許承載的網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)加解密類型等面向特定業(yè)務(wù)的連接屬性。

一旦建立了虛擬連接，則用戶B就可以獲得云數(shù)據(jù)中心提供的與車輛管控業(yè)務(wù)相關(guān)的授權(quán)許可服務(wù)，并依據(jù)實(shí)際需求，可全程實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募咏饷?、?shù)據(jù)訪問的控制認(rèn)證等功能。

如果在遠(yuǎn)程用戶群2中有多個(gè)用戶要同時(shí)訪問云數(shù)據(jù)中心提供的與不同關(guān)鍵業(yè)務(wù)相關(guān)的云服務(wù)，則只要通過其進(jìn)/出口處的小型云安全認(rèn)證傳輸網(wǎng)關(guān)的身份認(rèn)證，則均能獲得與用戶B相同的云服務(wù)體驗(yàn)。

由于在小型云安全認(rèn)證傳輸網(wǎng)關(guān)和A型云安全認(rèn)證傳輸網(wǎng)關(guān)之間建立的是站點(diǎn)到站點(diǎn)模式的虛擬連接，因此在這類虛連接上可以運(yùn)行多種關(guān)鍵業(yè)務(wù)、多種網(wǎng)絡(luò)協(xié)議和具有不同協(xié)議端口號(hào)的多種應(yīng)用。

3.分布式安全認(rèn)證傳輸實(shí)現(xiàn)

為給圖2的分布式云數(shù)據(jù)中心提供相應(yīng)的應(yīng)用層面的信息安全保障，依據(jù)部署在不同地點(diǎn)云數(shù)據(jù)中心的對(duì)行業(yè)關(guān)鍵業(yè)務(wù)種類和數(shù)據(jù)流量的不同需求，可將能滿足相應(yīng)技術(shù)性能指標(biāo)要求的云安全認(rèn)證傳輸網(wǎng)關(guān)部署在相應(yīng)云數(shù)據(jù)中心出/入口處。

在總部級(jí)云數(shù)據(jù)中心部署一個(gè)在物理上能實(shí)現(xiàn)高性能 集群，在邏輯上可虛擬化了的云安全認(rèn)證傳輸網(wǎng)關(guān)，而在異地的區(qū)域級(jí)云數(shù)據(jù)中心部署一個(gè)能滿足本地要求的小型化的高性能集群。在各云安全認(rèn)證傳輸設(shè)備之間建立在邏輯鏈路層具有網(wǎng)狀結(jié)構(gòu)的虛擬專網(wǎng)，實(shí)現(xiàn)云數(shù)據(jù)中心之間安全的信息交換。

通過在總部級(jí)云安全認(rèn)證傳輸網(wǎng)關(guān)中，部署相應(yīng)的調(diào)度軟件，就可以實(shí)現(xiàn)全網(wǎng)的云安全傳輸服務(wù)的調(diào)度。

通過在總部級(jí)云安全認(rèn)證傳輸網(wǎng)關(guān)中，部署一個(gè)用于監(jiān)控分布式云安全認(rèn)證傳輸網(wǎng)關(guān)的重量級(jí)監(jiān)控軟件，而在其他云安全認(rèn)證傳輸網(wǎng)關(guān)，則部署一個(gè)輕量級(jí)的監(jiān)控軟件。這類監(jiān)控軟件用于監(jiān)控云安全認(rèn)證傳輸網(wǎng)關(guān)的資源運(yùn)行情況（如CPU、內(nèi)存、硬盤、物理鏈路流量等），用戶使用統(tǒng)計(jì)（如用戶接入時(shí)間、退出時(shí)間、認(rèn)證狀態(tài)、訪問目標(biāo)資源、當(dāng)前用戶鏈接數(shù)等），并能定時(shí)地或隨需地將上述數(shù)據(jù)發(fā)送到指定的監(jiān)控管理終端，以便管理部門可以實(shí)時(shí)地掌握各級(jí)云數(shù)據(jù)中心運(yùn)行的安全狀況。

總結(jié)

云安全認(rèn)證傳輸網(wǎng)關(guān)作為一個(gè)應(yīng)用層面的信息安全設(shè)備，既可以在云計(jì)算環(huán)境下，向云數(shù)據(jù)中心的用戶提供全方位的信息安全保障服務(wù)，也可以向下兼容，替代傳統(tǒng)的硬件安全網(wǎng)關(guān)，實(shí)現(xiàn)更好的可擴(kuò)展性和靈活性。