CloudBridge Relay: технологии и перспективы
Облачная API-ориентированная платформа для безопасного туннелирования TCP-трафика в парадигме Zero Trust, основанная на принципах SoftEther VPN.
CloudBridge Relay: технологии и перспективы
CloudBridge Relay задуман как облачная, API-ориентированная платформа для безопасного туннелирования TCP-трафика в парадигме Zero Trust. В основе лежат принципы SoftEther VPN, но их переосмысление позволяет выйти далеко за рамки классического «виртуального частного канала» и приблизиться к гибкой инфраструктуре доступа следующего поколения.
1. Что мы берём у SoftEther - и к чему стремимся
| Принцип SoftEther | Как это работает сегодня | Что планируется в CloudBridge Relay |
|---|---|---|
| Инкапсуляция Ethernet-кадров поверх TLS/HTTPS | Один TLS-туннель, до 32 параллельных TCP-потоков, обход DPI/NAT | Асинхронные TLS-сессии, zero-copy-буферизация, динамическая маршрутизация потоков - выше производительность, ниже латентность |
| Fallback по ICMP/DNS | Переключение, если TCP/UDP заблокированы | «Лёгкий» авто-fallback в режиме строгих фильтров, расширение зоны покрытия |
| VNet через виртуальный Ethernet-бридж + L3-маршрутизация | Требует ручной конфигурации | Интегрированный IP-маршрутизатор: каждому агенту назначается IP, управление сетями и ACL - через UI/API |
| Безопасность на TLS 1.3, PFS | ChaCha20-Poly1305, перфект-форвард-секрси | Опциональные mTLS и JWT-авторизация для тонкого RBAC |
| JSON-RPC API | Консоль-ориентированное управление | Полноценный REST / JSON-RPC / WebSocket-стек, заточенный под CI/CD и IaC |
| Горизонтальное масштабирование | Ручное развёртывание узлов | Кластеры с балансировкой и геораспределением, реализация на Go/Rust с multicore-TLS |
2. Интеллектуальная безопасность будущего
CloudBridge Relay развивается не только как транспорт, но и как охранник трафика:
- ML-движок UEBA Строит профили по геолокации, User-Agent, временному паттерну. Аномалии отмечаются и отправляются на автоматическое реагирование.
- Keycloak IAM + MFA Централизованная идентификация и сегментация административных зон.
- Real-time Threat Monitoring Кластеры, хабы и ключевые метрики собираются в режиме «single pane of glass».
3. Архитектура MVP
┌─────────────┐ │ Client / │ TLS over │Relay Agent ─┼─────────┐ └─────────────┘ │ TCP-multiplex │ ▼ ┌────────────────┐ │ Relay Server │ │ • TLS Termination │ • IP Routing (VNet) │ • JSON-RPC API │ • ML Engine & ACL └────────────────┘ │ Internal cluster │ Heartbeat / Syslog communication ▼ ┌────────────────┐ │ Dashboard UI │ │ • Tunnel Mgmt │ │ • VNet View │ │ • Threat Alerts│ └────────────────┘ │ REST / WebSocket API │ Backend ▼ ┌────────────────┐ │ Django + DB │ │ • Users │ │ • Servers │ │ • VNet, ACL │ └────────────────┘
- Агенты (Go/Rust) - устанавливают TLS-канал, мультиплексируют потоки, передают heartbeat.
- Relay-сервер - завершает TLS, маршрутизует пакеты внутри VNet, хранит журналы и фичи для ML.
- Dashboard - React-SPA, выводит статистику в реальном времени.
- Backend (Django) - хранит сущности, выдаёт JWT, обслуживает REST/WebSocket.
4. Примеры API
Создание туннеля
POST /api/v1/tunnels Content-Type: application/json
{ “server_id”: “5f2a-…-c431”, “ports”: [22, 3389], “vnet_id”: “a17d-…-1b22” }
Ответ:
{ “tunnel_id”: “6b3d-…-e9af”, “endpoint”: “relay.example.com:443”, “agent_token”: “eyJhbGciOiJIUzI1NiIs…” }
Статус туннеля
GET /api/v1/tunnels/{tunnel_id}/status
{ “status”: “active”, “bytes_in”: 102400, “bytes_out”: 204800, “uptime”: 3600 }
Heartbeat от агента
{ “type”: “heartbeat”, “tunnel_id”: “6b3d-…-e9af”, “stats”: { “bytes_in”: 102400, “bytes_out”: 204800, “client_ip”: “10.12.0.2”, “timestamp”: “2025-06-18T12:00:00Z” } }
Управление VNet
POST /api/v1/vnets { “name”: “office-net”, “cidr”: “10.12.0.0/24” } POST /api/v1/vnets/{vnet_id}/members { “server_id”: “5f2a-…-c431”, “ip”: “10.12.0.4” }
5. Roadmap MVP
| Этап | Сроки | Ключевые вехи |
|---|---|---|
| MVP-релиз | Q3 2025 | TLS-туннели, JSON-RPC, базовое UI, JWT, heartbeat |
| VNet & ACL | Q4 2025 | Виртуальные подсети, ACL, туннелирование RDP/SSH |
| Firewall-fallback | Q1 2026 | HTTPS/ICMP/DNS-тоннель при блокировках |
| ML-модули | Q2 2026 | Сбор поведенческих фич, классификация аномалий |
| IAM-интеграция | Q3 2026 | Keycloak, MFA, UI для RBAC |
| Гео-кластеры | Q4 2026 | Распределённые кластеры, SLA-инструменты |
6. Ключевые преимущества
- Адаптивный туннель - устойчив к NAT, DPI и жёстким фильтрам.
- Централизованный IP-маршрутизатор с управляемыми ACL.
- ML-аналитика поведения в реальном времени.
- Облачная инфраструктура Zero Trust с масштабированием «по щелчку».
Заключение
CloudBridge Relay формируется как экосистема для компаний, которым важны:
- простота развёртывания безопасных туннелей без VPN-клиентов;
- прозрачное управление доступами через API и UI;
- встроенный анализ угроз с мгновенной реакцией.
Готовы поделиться детализированной технической схемой, расширенными примерами API, а также обсудить MVP-архитектуру - просто дайте знать!