Команда 2GC Обновлено: 18.06.2025

CloudBridge Relay: технологии и перспективы

Облачная API-ориентированная платформа для безопасного туннелирования TCP-трафика в парадигме Zero Trust, основанная на принципах SoftEther VPN.

CloudBridge Relay: технологии и перспективы
2GC CloudBridge Relay туннелирование Zero Trust API безопасность

CloudBridge Relay: технологии и перспективы

CloudBridge Relay задуман как облачная, API-ориентированная платформа для безопасного туннелирования TCP-трафика в парадигме Zero Trust. В основе лежат принципы SoftEther VPN, но их переосмысление позволяет выйти далеко за рамки классического «виртуального частного канала» и приблизиться к гибкой инфраструктуре доступа следующего поколения.

1. Что мы берем у SoftEther - и к чему стремимся

Принцип SoftEtherКак это работает сегодняЧто планируется в CloudBridge Relay
Инкапсуляция Ethernet-кадров поверх TLS/HTTPSОдин TLS-туннель, до 32 параллельных TCP-потоков, обход DPI/NATАсинхронные TLS-сессии, zero-copy-буферизация, динамическая маршрутизация потоков - выше производительность, ниже латентность
Fallback по ICMP/DNSПереключение, если TCP/UDP заблокированы«Легкий» авто-fallback в режиме строгих фильтров, расширение зоны покрытия
VNet через виртуальный Ethernet-бридж + L3-маршрутизацияТребует ручной конфигурацииИнтегрированный IP-маршрутизатор: каждому агенту назначается IP, управление сетями и ACL - через UI/API
Безопасность на TLS 1.3, PFSChaCha20-Poly1305, перфект-форвард-секрсиОпциональные mTLS и JWT-авторизация для тонкого RBAC
JSON-RPC APIКонсоль-ориентированное управлениеПолноценный REST / JSON-RPC / WebSocket-стек, заточенный под CI/CD и IaC
Горизонтальное масштабированиеРучное развертывание узловКластеры с балансировкой и геораспределением, реализация на Go/Rust с multicore-TLS

2. Интеллектуальная безопасность будущего

CloudBridge Relay развивается не только как транспорт, но и как охранник трафика:

  • ML-движок UEBA Строит профили по геолокации, User-Agent, временному паттерну. Аномалии отмечаются и отправляются на автоматическое реагирование.
  • Keycloak IAM + MFA Централизованная идентификация и сегментация административных зон.
  • Real-time Threat Monitoring Кластеры, хабы и ключевые метрики собираются в режиме «single pane of glass».

3. Архитектура MVP

┌─────────────┐
│ Client /    │  TLS over
│Relay Agent ─┼─────────┐
└─────────────┘          │
      TCP-multiplex      │
                          ▼
                 ┌────────────────┐
                 │  Relay Server  │
                 │ • TLS Termination
                 │ • IP Routing (VNet)
                 │ • JSON-RPC API
                 │ • ML Engine & ACL
                 └────────────────┘
                          │
        Internal cluster  │    Heartbeat / Syslog
         communication    ▼
                 ┌────────────────┐
                 │  Dashboard UI  │
                 │ • Tunnel Mgmt  │
                 │ • VNet View    │
                 │ • Threat Alerts│
                 └────────────────┘
                          │
             REST / WebSocket API
                          │
                       Backend
                          ▼
                 ┌────────────────┐
                 │  Django + DB   │
                 │ • Users        │
                 │ • Servers      │
                 │ • VNet, ACL    │
                 └────────────────┘
  • Агенты (Go/Rust) - устанавливают TLS-канал, мультиплексируют потоки, передают heartbeat.
  • Relay-сервер - завершает TLS, маршрутизует пакеты внутри VNet, хранит журналы и фичи для ML.
  • Dashboard - React-SPA, выводит статистику в реальном времени.
  • Backend (Django) - хранит сущности, выдает JWT, обслуживает REST/WebSocket.

4. Примеры API

Создание туннеля

POST /api/v1/tunnels
Content-Type: application/json

{
  "server_id": "5f2a-…-c431",
  "ports": [22, 3389],
  "vnet_id": "a17d-…-1b22"
}

Ответ:

{
  "tunnel_id": "6b3d-…-e9af",
  "endpoint": "relay.example.com:443",
  "agent_token": "eyJhbGciOiJIUzI1NiIs..."
}

Статус туннеля

GET /api/v1/tunnels/{tunnel_id}/status

{
  "status": "active",
  "bytes_in": 102400,
  "bytes_out": 204800,
  "uptime": 3600
}

Heartbeat от агента

{
  "type": "heartbeat",
  "tunnel_id": "6b3d-…-e9af",
  "stats": {
    "bytes_in": 102400,
    "bytes_out": 204800,
    "client_ip": "10.12.0.2",
    "timestamp": "2025-06-18T12:00:00Z"
  }
}

Управление VNet

POST /api/v1/vnets
{ "name": "office-net", "cidr": "10.12.0.0/24" }

POST /api/v1/vnets/{vnet_id}/members
{ "server_id": "5f2a-…-c431", "ip": "10.12.0.4" }

5. Roadmap MVP

ЭтапСрокиКлючевые вехи
MVP-релизQ3 2025TLS-туннели, JSON-RPC, базовое UI, JWT, heartbeat
VNet & ACLQ4 2025Виртуальные подсети, ACL, туннелирование RDP/SSH
Firewall-fallbackQ1 2026HTTPS/ICMP/DNS-тоннель при блокировках
ML-модулиQ2 2026Сбор поведенческих фич, классификация аномалий
IAM-интеграцияQ3 2026Keycloak, MFA, UI для RBAC
Гео-кластерыQ4 2026Распределенные кластеры, SLA-инструменты

6. Ключевые преимущества

  1. Адаптивный туннель - устойчив к NAT, DPI и жестким фильтрам.
  2. Централизованный IP-маршрутизатор с управляемыми ACL.
  3. ML-аналитика поведения в реальном времени.
  4. Облачная инфраструктура Zero Trust с масштабированием «по щелчку».

Заключение

CloudBridge Relay формируется как экосистема для компаний, которым важны:

  • простота развертывания безопасных туннелей без VPN-клиентов;
  • прозрачное управление доступами через API и UI;
  • встроенный анализ угроз с мгновенной реакцией.

Готовы поделиться детализированной технической схемой, расширенными примерами API, а также обсудить MVP-архитектуру - просто дайте знать!