OpenStack沒你想像中的安全 山石網科是這麼玩的！

近日，2017 OpenStack Days China在國家會議中心成功舉辦。山石網科作為唯一參展的網路安全廠商，在大會中發布了山石雲·格與山石雲·界最新升級版本，填補了OpenStack環境中商用網路安全產品的空白。

提到OpenStack你會想到什麼?開源，開發，還是雲計算?說到底，OpenStack還是做雲計算的，而不是面向幾十個伺服器的伺服器虛擬化或桌面虛擬化計算資源池的產品。

▲山石網科虛擬化安全產品線總監榮鈺

OpenStack作為僅微弱落後於Linux的全球第二大開源社區，擁有著龐大的使用群體，而中國企業正在成為OpenStack的主要代碼貢獻群體。其廣泛應用於政府、金融、能源、交通、電信、互聯網、企業等自主可控的雲計算領域，其重要地位也就不言而喻。那OpenStack的發展究竟面臨著哪些瓶頸問題?山石網科的新品又是怎樣來解決這些問題的呢?山石網科虛擬化安全產品線總監榮鈺向我們一一進行了解答。

OpenStack安全現狀

榮鈺認為，既然如此多的用戶選擇了OpenStack並廣泛應用於各個領域，那安全就不得不成為重點關注的問題之一。根據介紹，其實較之大多數的虛擬化系統，OpenStack在設計中較充分的考慮了安全問題：

首先在OpenStack組件中有Keystone來做用戶認證的統一管理;在Neutron組件中有安全組功能，可以提供雲內東西向的防護;Neutron中有FWaaS和VPNaaS，前者為雲內的租戶提供類似防火牆的服務，後者則為計算節點提供VPN相關的網路服務，這樣的設計也非常符合在傳統物理網路時代用戶的使用習慣，比如用防火牆作為網路邊界的安全防護和訪問控制。

Neutron推薦的網路設計模型也是非常科學和安全的，他建議不同的應用系統或用戶採用租戶網路，每個租戶的虛機連接到自己的網路上，不同的租戶網路之間進行隔離。Neutron建議在雲內有管理網路、數據網路、外部網路和API網路。其中管理網路用於OpenStack組件間通信，API主要是把網路API給租戶，外部網路是租戶間或Internet可以訪問的，數據網路則是數據間通信的網路，這樣的網路分類，組網時的隔離和訪問控制，是安全合理的。

OpenStack安全新需求

榮鈺認為，縱使OpenStack在自身設計時將安全問題考慮其中，提供了相關的組件供用戶使用，組件提供的NaaS(網路的SaaS)，提供了比較全面的功能，包括訪問控制、交換、VLAN、NAT、動態地址FlatDHCP，但是距離商用化的安全功能還存在差距，比如其性能低、穩定性差、功能少、控制和防護力度低以及缺乏可持續的服務等。

根據榮鈺介紹，傳統的安全技術應用到OpenStack中也會面臨諸多難題，首先是其硬體設備部署難度大、擴展性、靈活性不足，不好編排;其次軟體的集成難度較大，缺乏成熟的方案，此外還包含標準化不足等問題。

填補OpenStack安全產品空白

面對OpenStack的諸多安全問題，山石網科對虛擬化產品線的山石雲·格和山石雲·界產品進行了發布和更新，發布的重點是全面支持OpenStack雲計算環境。榮鈺向我們對山石雲·格和山石雲·界兩款產品的全新版本做了解讀。

●山石雲·界——基於NFV

根據榮鈺介紹，針對用戶的實際需求，本次山石雲·界的更新版本主要是基於NFV(Virtualised Network Function)架構的三種解決方案，根據介紹，山石雲·界新版本主要解決了Hypervisor的適配、雲平台的適配、初始化的配置注入、自動化授權、開放介面和編排六個層次的問題，榮鈺認為還有解決了這六個層次的問題才能為用戶提供一個可以使用、方便使用集成的虛擬防火牆。

榮鈺提到，大多數用戶和友商對虛擬化防火牆的認知還停留在第一個層次Hypervisor的適配上，把硬體上的防火牆變成一個可以在虛機上運行的軟體，而山石網科發布的NFV架構下的山石雲·界三個解決方案，能夠在不同環境下，配合用戶和集成商解決六個層次的問題。

此外，為了給使用山石雲·界產品進行集成的客戶和合作夥伴提供支持，山石網科還發布了nfv.hillstonenet.com子站點，滿足了用戶和合作夥伴虛擬防火牆可編程、可編排的需求。

●山石雲·格——微隔離與可視化方向

除了山石雲·界的版本更新之外，山石網科還發布了山石雲·格的最新版本。根據和榮鈺的溝通得知，為了幫助用戶在OpenStack環境中實踐Forrester Research公司提出的零信任安全模型，山石雲·格能夠在OpenStack環境中提供商業化的雲內微隔離防護、可視化、同時提升雲內的安全生產效率，以及在OpenStack環境中提供等同於VMware環境的安全防護和可視化能力。

作為創新的分散式網路側微隔離產品，山石雲·界通過專利引流技術、虛機微隔離及可視化技術，能夠為用戶提供全方位的雲安全服務，包括流量及應用可視化，虛機之間威脅檢測與隔離，網路攻擊、網路應用審 計與溯源等。

榮鈺在介紹時自豪的提到，山石雲·格是業界首個支持OpenStack Liberty Mitaka的網路側微隔離和可視化產品，可以說是為其他友商指明了方向。

寫在最後

作為全球第二大開源社區，OpenStack在中國乃至全球的發展可謂是如火如荼，越來越多的用戶選擇OpenStack。由於用戶激增，應用群體之廣，安全問題就成為不容忽略的問題之一，山石網科兩款產品的更新彌補了OpenStack環境在安全上的不足之處，能夠更好地幫助國內客戶構建自主可控的雲計算。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！