搜索
1前言1.1等级保护的现状与挑战信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。同时等级保护建设是一项体系化的工程,在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。1.2深信服等保一体机概述深信服等保一体机解决方案是基于用户在等保建设中的实际需求,推出软件定义、轻量级、快速交付的实用有效的一站式解决方案,不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评,同时通过丰富的安全能力,可帮助用户为各项业务按需提供个性化的安全增值服务。采用基于标准X86平台打造的等保一体机,无需交付过多专有硬件设备,即可完成等级保护合规交付。2深信服等保一体机技术架构2.1系统整体架构深信服等保一体机架构由两部分组成:一是超融合基础架构,二是一体机管理平台。在等保一体机架构上,客户可以基于自身安全需求按需构建等级保护安全建设体系。超融合基础架构以虚拟化技术为核心,利用计算虚拟化、存储虚拟化、网络虚拟化等模块,将计算、存储、网络等虚拟资源融合到一台标准X86服务器中,形成基础架构单元。并且多套单元设备可以通过网络聚合起来,实现模块化的无缝横向扩展,形成统一的等保一体机资源池。一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力;通过接口自动化部署组件,降低组网难度,减少上架工作量;借助虚拟化技术的优势,提升用户弹性扩充和按需购买安全的能力,从而提高组织的安全服务运维效率。2.2超融合基础架构超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成,从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。2.2.1计算虚拟化传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。深信服等保一体机创新性的使用计算资源虚拟化技术,通过通用的x86服务器经过服务器虚拟化模块,呈现标准的安全设备虚拟机。安全设备虚拟机不是由真实的电子元件组成,而是由一组虚拟组件(文件)组成,这些虚拟组件与物理服务器的硬件配置无关。Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件,因此也可以看作是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(VMM,VirtualMachineMonitor)。Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。当服务器启动并执行Hypervisor时,它会给每一台安全组件分配适量的内存、CPU、网络和磁盘,并加载所有安全组件的客户操作系统。VMM(VirtualMachineMonitor)对物理资源的虚拟可以划分为三个部分:CPU虚拟化、内存虚拟化和I/O设备虚拟化,其中又以CPU的虚拟化最为关键。计算虚拟化在传统虚拟化技术基础上进行了多项针对化的改进和优化,这包括如下几个方面。2.2.1.1安全组件生命周期管理计算虚拟化提供了安全组件从创建至删除整个过程中的全面管理,就像人类的生命周期一样,安全组件最基本的生命周期就是创建、使用和删除这三个状态。当然还包含如下几个状态:➢创建安全组件➢安全组件开关机、重启、挂起➢更新安全组件硬件配置➢迁移安全组件及/或安全组件的存储资源➢分析安全组件的资源利用情况删除安全组件2.2.1.2安全组件的HAHA全称是HighAvailability(高可用性)。在等保一体机平台中,安全组件所在物理主机的网线被拔出或存储不能访问等出现的物理故障时,会将此安全组件切换到其他的主机上重新启动运行,保障安全组件正常使用。计算虚拟化存在后台进程,通过轮询的机制,每隔5s检测一次安全组件状态是否异常,发现异常时,切换安全组件到其他主机运行。下面任意一种情况发生,都会触发安全组件切换主机:1、连续三次检测到安全组件所连接的物理网卡被拔出(不包括网卡被禁用情况);2、连续两次检测到安全组件所在的当前主机无法访问安全组件的存储;通过计算虚拟化的HA技术,提供了安全防护的高可用性,极大缩短了由于各种主机物理或者链路故障引起的安全防护中断时间。2.2.1.3动态资源调度在等保一体机方案中,计算虚拟化管理平台提供动态资源调度技术,通过引入一个自动化机制,持续地动态平衡资源能力,将安全组件迁移到有更多可用资源的主机上,确保每个安全组件在任何节点都能及时地调用相应的资源。计算虚拟化的动态资源调度功能其实现原理:通过跨越集群之间的心跳机制,定时监测集群内主机的CPU和内存等计算资源的利用率,并根据用户自定义的规则来判断是否需要为该主机在集群内寻找有更多可用资源的主机,以将该主机上的安全组件通过安全组件迁移技术迁移到另外一台具有更多合适资源的服务器上。2.2.1.4动态资源扩展在传统的硬件解决方案中,经常会遇到资源计算的问题,如何保证资源刚刚好是一个非常令客户头痛的问题。等保一体机的硬件资源动态热添加功能,能够非常有效地利用主机资源,并且全自动化以减少运维成本。2.2.2存储虚拟化传统硬件安全解决方案提供的硬件存储资源一般存在资源不足或者资源冗余的情况。深信服等保一体机创新性的使用存储资源虚拟化技术,融合了分布式缓存、SSD读写缓存加速、多副本机制保障、故障自动重构机制等诸多存储技术,能够充分保证安全组件高效稳定可靠的运行。存储虚拟化通过主机管理、磁盘管理、缓存技术、存储网络、冗余副本等技术,管理等保一体机平台内所有硬盘,“池化”集群所有硬盘存储的空间,通过向计算虚拟化提供访问接口,使得安全组件可以进行安全配置策略以及安全日志的保存、管理和读写等整个存储过程中的操作。2.2.2.1存储自动精简配置如果采用传统的硬件安全方案,需要用户对当前和未来业务发展规模进行正确的预判,提前做好安全应用存储资源的规划。但在实际中,由于对应用系统规模的估计不准确,往往会造成容量分配的浪费。即使是最优秀的系统管理员,也不可能恰如其分的为安全应用分配好存储资源,而没有任何的浪费。自动精简配置(ThinProvisioning)是一种先进的、智能的、高效的容量分配和管理技术,它扩展了存储管理功能,可以用小的物理容量为操作系统提供超大容量的虚拟存储空间。并且随着应用的数据量增长,实际存储空间也可以及时扩展,而无须手动扩展。一句话而言,自动精简配置提供的是“运行时空间”,可以显著减少已分配但是未使用的存储空间。等保一体机采用了自动精简配置技术有效的解决了存储资源的空间分配难题,提高了资源利用率。采用自动精简配置技术的数据卷分配给用户的是一个逻辑的虚拟容量,而不是一个固定的物理空间,只有当用户向该逻辑资源真正写数据时,才按照预先设定好的策略从物理空间分配实际容量。2.2.2.2私网链路聚合等保一体机采用存储虚拟化的私网链路聚合技术是为了提高网络可靠性和性能设置,使用私网链路聚合功能不需要交换机上配置链路聚合,由存储私网负责链路聚合的功能,使用普通的二层交换机,保证正确的连接即可。传统的链路聚合是按主机IP进行均分,即每两台主机间只能用一条物理链路。而私网链路聚合采用按照TCP连接进行均分,两台主机间的不同TCP连接可使用不同物理链路。在保障可靠性的同时,还达到了更加充分的利用所有链路资源的能力。2.2.2.3数据一致性检查等保一体机的存储虚拟化采用一致性复制协议来保证多个副本数据的一致性,即只有当所有副本都写成功,才返回写入磁盘成功。正常情况下存储虚拟化会保证每个副本上的数据都是完全一致,从任一副本读到的数据都是相同的。如果某个副本中的某个磁盘短暂故障,存储虚拟化会暂时不写这个副本,等恢复后再恢复该副本上的数据;如果磁盘长时间或者永久故障,存储虚拟化会把这个磁盘从群集中移除掉,并为副本寻找新的副本磁盘,再通过重建机制使得数据在各个磁盘上的分布均匀。2.2.3网络虚拟化等保一体机的网络虚拟化设计基于netmap和dpdk的方案,针对数据IO密集型网络应用程序而设计,从而解决安全组件的高性能和安全组件的自编排。2.2.3.1支持专有网卡和通用网卡等保一体机平台对于Intel和Broadcom的e1000e,igb,ixgbe,bnx2,tg3,bnx2x等可编程网卡支持高性能方案,对e1000等网卡支持通用方案,保证硬件兼容性。2.2.3.2跨安全组件的全局内存池等保一体机平台设计并实现了零拷贝的数据面环境,一个跨内核跨进程的全局内存引用机制,真正做到网卡收包一次拷贝,所有安全组件共享引用的方式,数据可以从网卡传送到安全组件而无需再次拷贝,减少对网络传输和网络延迟的影响。2.2.3.3避免中断处理和上下文切换单数据线程亲和锁定到硬件线程,避免内核和用户空间之间的上下文切换、线程切换和中断处理,同时每个线程有直接的高速缓冲,避免了缓冲区争用。在理想情况下,当数据包到达系统时,所有处理该数据包所需的信息最好都已经在内核的本地高速缓存中。我们可以设想一下,如果当数据包到达时,查找表项目、数据流上下文、以及连接控制块都已经在高速缓存中的话,那么就可以直接对数据包进行处理,而无需“挂起”并等待外部顺序内存访问完成。2.2.3.4安全组件数据更稳定等保一体机平台设计了检测监控机制,在最极端的情况,即使进程意外死亡,也能秒级别做到安全组件无感知的网络恢复。数据平面负责报文的转发,是整个系统的核心,数据平面由多个数据转发线程和一个控制线程组成,控制线程负责接收控制进程配置的消息,数据线程是实现报文的处理。系统中所有的报文都是由数据线程接收的,需要做转发的报文,不需要送到linux协议栈,直接在数据线程中处理后从网卡发出,对于到设备本身的报文(如ssh,telnet,ospf,bgp,dhcp等等),数据线程无法直接处理,通过TUN接口将报文重新送到linux协议栈处理,从linux协议栈的发出的报文需经过数据线程中转后才可从折本发出。数据面为底层处理和数据包IO提供了与硬件打交道的功能,而应用层协议栈在上方提供了一个优化的网络堆栈实现。与LinuxSMP解决方案相比,降低了对Linux内核的依赖性,从而具有更好的扩展性和稳定性。2.3一体机管理平台架构一体机管理平台主要由平台管理CSSP、安全组件两大模块构成,其中安全组件提供各类安全服务,而CSSP作为统一的管理中心,承担对安全组件的管理与编排、与外部的UI接口以及日志、告警等信息处理系统。一体机管理平台的整体技术架构如下图所示,利用超融合基础架构提供的资源,将各类安全组件进行统一部署和管理,对内利用安全服务链可以将任意安全组件进行自由组合,对外提供自由的安全编排服务能力。2.3.1虚拟路由器等保一体机内部虚拟网络通过多个虚拟路由器实现对整个安全防护网络的连通,具体如下➢rt_lan_cssp,简称LAN路由器,它的作用是与物理网络互联。路由模式下,负责将物理网络进来的出站流量引流到内部。单臂模式下,负责将物理网络进来的出入站流量引流到内部。➢rt_wan_cssp,简称WAN路由器,它的作用是与物理网络互联,并将从物理网络进来的入站流量引流到内部。WAN路由器仅在路由模式下起作用,单臂模式下流量不经过WAN路由器。➢rt_data_core_cssp,简称核心路由器,实际上它在等保一体机中的作用不大,只是负责把从LAN路由器接收过来的流量再向内转发。➢rt_bord_cssp_admin,简称边界路由器,它负责将从核心路由器接收过来的流量,根据应用编排顺序转发到不同的安全应用。➢rt_manage_core_cssp,简称管理路由器,用与转发CSSP与各安全应用组件之间的内部管理流量。➢switch_lan_cssp,简称镜像交换机,主要用于将物理网络引流进来的流量镜像到网络通信审计vAC和风险监测vAF上。➢dvs_config_ip_cssp,简称配置交换机,用于CSSP给新创建的安全应用组件自动分配IP地址使用。2.3.2应用编排等保一体机