平安云：数据中心云安全VNF项目

平安云是平安科技自主建设的超大型重要金融云平台，是平安科技为平安集团内部多业务群组、外部客户量身打造的。平安科技用强有力的研发实力打造了业界高水平的“全软件定义、高弹性、高可用、高安全”的金融云计算数据中心。

平安科技作为山石网科最重要的金融领域客户和合作伙伴，双方在网络安全和云安全领域已稳定合作多年。

客户背景

平安云是平安科技自主建设的超大型云平台。自2013年立项以来，平安云一直坚持走开源和自主研发相结合的路线，研发了从底层架构到应用系统的全套云产品。

平安科技是平安集团的全资子公司，致力于运用人工智能、智能认知、云计算、区块链等前沿科技。目前，平安科技拥有超过1万人的高级研发团队。

平安云诞生自平安集团。平安集团的金融基因让平安云从架构之初就坚持金融安全级的最高安全标准，此前已获得国际云安全联盟CSA C-STAR、可信云认证、ISO27001等九项国内外权威安全合规认证，成为国内金融云行业标杆。

平安云已涵盖平安集团95%以上的专业子公司、80%业务系统。同时，平安云正在打造金融、医疗、房产、汽车、智慧城市五大生态圈，持续为平安云业务部署提供应用实践。目前，其金融行业解决方案已与上百家金融机构建立合作，覆盖线上用户超过5亿。

应用需求

平安科技坚持自主研发，不仅为用户提供可靠云产品，而且还为用户提供了可灵活选择的高级服务。为了给用户提供网络应用、安全、负载均衡等高级服务，平安科技对自身业务进行了梳理，整理出以下几个核心需求：

1.高级服务方案要满足现有业务开通流程，即做到用户可以通过云平台即时自动地开通/关闭相应网络资源和服务。

2.高级方案要能满足业内相关的技术框架及技术标准，按照要求提供相关的RestAPI接口，提供初始配置注入能力，做到业务上线的全自动化。

3.高级方案可以提供灵活的授权管理能力，按需对不同的安全防护功能、设备规格进行授权，支持自动化的授权管理。

4.高级方案提供商可以提供本地化技术支持服务。

平安云使用了自主研发的云平台框架，并采用SDN技术来支撑基础网络。平安科技凭借自身过硬的技术积累和研发实力，使用自主研发的NSP（网络服务平台）将业务自动化和网络优化整合在同一平台上，使云平台可以通过RestAPI将相应的命令下达到各个物理/虚拟网元，自动化地完成业务开通、运维。

经过平安科技多轮产品技术选型和测试，山石网科凭借以硬件防火墙、虚拟化防火墙山石云·界为主的符合NFV框架的VNF解决方案，入选平安云网络高级应用和安全高级服务的方案提供商。

山石云·界是专门为云计算环境设计的虚拟化网络安全产品，以虚拟主机形态，All In One的理念继承了山石网科下一代防火墙产品的精髓，基于山石网科StoneOS网络防火墙专用操作系统。山石云·界产品支持精细化应用识别、VPN、IPS、病毒过滤(AV)、NAT、负载均衡等功能，具备快速部署和迁移能力，可为公有云、私有云、混合云租户提供高性价比的防护方案，降低客户初始采购和管理维护成本。

借助云计算的优势特性，山石云·界按需部署和扩展安全服务资源，并可与现有的云管理平台进行紧密集成，将管理和安全防护能力直接深入到云计算架构中，并可伴随着客户或虚拟业务资源的需求增长和缩减。

技术优势和方案亮点

针对用户需求，经过多次讨论，平安云技术团队与山石网科最终确定了平安云云网融合VNF安全解决方案。

1.支持拥有强大研发能力的用户

经过多年的积累，山石网科形成了围绕山石云·界的复合NFV框架标准的VNF完整解决方案。山石云·界VNF解决方案的最大特点是，很好地支持云管理、运维者编排和编程，支持主流的DevOps模式，特别适合平安科技这样具备强大研发能力的用户。

2.支持多种云环境，满足金融需求

山石云·界向云管平台提供全面的RestAPI，支持利用RestAPI进行管理和监控，集成到平安科技自研的管理平台。山石云·界支持主流的0Day Configurations功能，可以在虚拟防火墙创建过程中自动将云管平台的配置注入其中。山石云·界的方案支持多种云环境下的HA，满足金融用户对HA的需求。另外，在VNF的许可证管理上也配合平安科技做了适配云环境的开发，持续满足平安云在云环境多租户环境中动态生成、销毁的需求。

3.实现业务自动化开通和自动化运维

山石网科根据平安云的需求对现有RestAPI进行完善和补充，与平安自研的SDN控制器进行对接。

平安云组织建设安全资源池，并完善相关流程，使VNF创建时可以使用专用的资源池，而非普通的计算资源池，使VNF在得到有效性能保障的同时，又可以使用DPDK等性能优化方案。

方案实施的效果和商业价值

1.安全性、稳定性双提升

本方案首先解决了专业安全厂家无法有效为云环境中用户提供专业云计算安全服务的问题，在不改变用户使用习惯的前提下，为用户提供更完善的安全防护功能，以及更高的性能和稳定性。安全和稳定性是金融云用户选择云平台重要的考量因素。山石网科助力平安云进一步提升了云平台的安全可用性。

2.云平台下全自动化管理

山石云·界提供标准的RestAPI，使云平台从vFW创建、许可证下发、初始配置、HA组网到业务配置下发，实现全自动化管理，减少运维管理时间，节省运维成本，适配云平台快速灵活的架构，很好地支撑更快更灵活的新业务。

3.弹性扩展及高性能

山石云·界通过支持网卡热插拔，可应对当业务规模扩大时出现多个子网的情况，实现了虚拟资源的自适应能力，不需要重新部署，仅通过授权和虚机资源的调整，即可实现高性能的扩容调整。

点评

平安云是一朵颇具代表性的金融云，它对安全、稳定的追求，对新技术的应用都走在业界前列。在山石网科的助力下，平安云进一步提升了其云平台的安全性和可用性，它在选型思路、合作伙伴选择、方案实施等方面的经验值得借鉴。