安全是一个老话题，自从有IT以来，企业IT人员就一直在和安全风险做斗争，无论是来自外部的威胁，还是源于内部的不稳定因素。近年来，企业思考最多的就是迁移到混合云模式，即购买公有云服务并搭建自己的私有云。但是，新的安全问题如何解决呢？日前，迪普科技面向私有云用户推出了云安全解决方案。我们一起看看迪普如何看待新时代的云安全，如何解决云安全的问题。

云安全与传统数据中心安全的差异性

传统数据中心安全防护的最大特点是，以“边界”为核心。传统的解决方案利用防火墙、UTM、入侵防御等安全产品将攻击者挡在边界之外。而在服务器虚拟化、逐步实现云计算之后，安全边界的概念已然不存在。

在整体云架构中，各个模块逐渐都有了相应的架构标准，如计算虚拟化中的VMware、KVM、XEN、Docker，网络虚拟化中的VEPA、VN-TAG、OpenFlow、VXLAN，存储虚拟化中的HDFS、Hbase等技术标准，而云安全竟然从未有过标准。所以，对于企业CIO而言，从传统过渡到云，对安全的担心和茫然不足为奇。

在公有云领域，NFV成为一项主流的云安全解决方案。NFV采用了服务器以软件方式处理传统独立的网络服务，如虚拟路由器、虚拟防火墙、虚拟负载均衡等，可以比较灵活快速的进行安全虚拟化和业务自定义，得到了各大公有云服务提供商的支持。但是，由于NFV对服务器CPU资源占用较大，并且可能会造成计算和安全管理界限不清楚，并且在研发和运维层面要求非常高，对于私有云用户而言，并不是一个很好的选择。

迪普采用独立硬件来解决私有云安全问题

面对私有云对安全的特殊要求，迪普科技提出了“云安全、硬实力”的口号，采用安全网关与VXLAN技术结合的方式，通过硬件部署解决云安全问题，实现了安全与计算分离以及一体化集中式管理。

在解决方案分享中，迪普科技安全产品部技术总监朱晓康介绍了迪普科技云安全解决方案的三大模块。

云安全

迪普在云安全技术方面的杀手锏是VXLAN技术。VXLAN(Virtual eXtensible Local Area Network)是一种Overlay技术，不仅能实现二层报文在三层网络中转发，同时，由于VXLAN采用24bit网络标识，因此最多可使用1600万个隔离VXLAN，满足在大规模云计算环境中的使用要求。

此外，迪普科技VXLAN安全网关可以作为VTEP，进行跨VXLAN的三层报文转发。在虚拟机和安全网关中，形成一个完整的VXLAN网络，处于不同VXLAN的虚拟机之间互访必须经过迪普科技安全网关进行转发和控制，从而实现了对于多租户之间的安全隔离。迪普科技的VXLAN安全网关为独立的安全设备，安全与计算完全分离，不会对计算资源造成影响。

安全云

迪普科技打造安全云借用的是其分布式业务平台硬件产品DPX19000/DPX8000，通过“多虚一”和“一虚多”技术快速提升性能，并通过多板卡提供安全增值服务。

多虚一指的是将多个物理安全网关或业务板卡虚拟成为一个逻辑上的虚拟设备，形成一个大的安全资源池。在这个安全资源池中，安全的性能和功能都可以按需扩展。

一虚多虚拟化可以针对不同的租户划分出不同的VSA（虚拟安全设备），可以从VNID、CPU、内存、吞吐量、并发连接数、新建连接数、路由协议等维度进行划分，从而实现1个租户、1个VSA、1个配置界面、N个VNID的目标。

云管理

迪普云管理强调的是管理的自动化，在一个管理界面中可以对所有的安全功能进行管理。迪普科技云安全网关也全面支持基于OpenStack的云管理，用户可以像管理计算、存储、网络资源一样管理迪普的安全设备。

安全问题给云的实现设置了不小的障碍，只有拥有比较完备的云安全解决方案，云的部署才会更加顺畅。