亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        運(yùn)營商云數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)研究綜述

        2015-05-30 10:48:04張旭輝
        中國新通信 2015年9期
        關(guān)鍵詞:隔離云計(jì)算虛擬化

        張旭輝

        【摘要】 隨著云計(jì)算和虛擬化技術(shù)快速發(fā)展,云數(shù)據(jù)中心面臨更高的安全挑戰(zhàn)。本文首先分析云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全問題,然后提出了云數(shù)據(jù)中心網(wǎng)絡(luò)安全體系架構(gòu),并給出了云數(shù)據(jù)中心外部網(wǎng)絡(luò)安全防護(hù)的具體辦法和內(nèi)部網(wǎng)絡(luò)安全與隔離技術(shù)。為后續(xù)云數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)體系建設(shè)提供參考。

        【關(guān)鍵詞】 云計(jì)算 虛擬化 云數(shù)據(jù)中心 隔離

        一、引言

        數(shù)據(jù)中心的本質(zhì)是為了傳遞、處理和存儲信息,所以數(shù)據(jù)中心必須可靠、安全并能夠根據(jù)需要擴(kuò)容和重新配置。隨著云計(jì)算技術(shù)的產(chǎn)生及應(yīng)用,云數(shù)據(jù)中心已經(jīng)成為企業(yè)信息化的核心,云數(shù)據(jù)中心將計(jì)算和存儲資源從底層基礎(chǔ)設(shè)施中抽象出來,極大增強(qiáng)了資源的共享性和靈活性。但同時云數(shù)據(jù)中心下的網(wǎng)絡(luò)安全問題變得更加突出,除了傳統(tǒng)的主機(jī)安全、網(wǎng)絡(luò)安全外,虛擬化技術(shù)引入對網(wǎng)絡(luò)安全建設(shè)帶來了更高的挑戰(zhàn)。

        網(wǎng)絡(luò)是云數(shù)據(jù)中心的基礎(chǔ),云數(shù)據(jù)中心面臨的網(wǎng)絡(luò)安全威脅包括針對VM(虛擬主機(jī))和Hypervisor的攻擊、侵入攻擊、拒絕服務(wù)攻擊、DDoS攻擊(分布式拒絕服務(wù)攻擊)、蠕蟲、病毒等。本文分別從網(wǎng)絡(luò)安全架構(gòu)和安全設(shè)備部署方面介紹云數(shù)據(jù)中心的網(wǎng)絡(luò)安全技術(shù)。

        二、云數(shù)據(jù)中心網(wǎng)絡(luò)安全挑戰(zhàn)

        云數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)中心最主要的區(qū)別就是通過虛擬化技術(shù)建立統(tǒng)一的資源池,提高資源使用率、簡化資源配置和管理、發(fā)揮云計(jì)算的靈活性和彈性。目前云數(shù)據(jù)中心面臨的安全問題包括:

        出口流量安全:云數(shù)據(jù)中心出口面臨各種侵入攻擊、DoS、DDoS、worm、botnet等攻擊,主要防止網(wǎng)外人員對云數(shù)據(jù)中心進(jìn)行攻擊。

        內(nèi)部流量安全:虛擬機(jī)作為云數(shù)據(jù)中心的最小網(wǎng)元、傳統(tǒng)的安全設(shè)備如防火墻、IPS/IDS等無法監(jiān)控到虛擬機(jī)之間的流量,針對VM(虛擬主機(jī))和Hypervisor的攻擊每天都在發(fā)生。

        高性能要求:較傳統(tǒng)網(wǎng)絡(luò),云數(shù)據(jù)中心的出口流量和內(nèi)部虛擬機(jī)之間的流量加大,安全防護(hù)系統(tǒng)不能成為性能瓶頸。同時云計(jì)算數(shù)據(jù)中心是彈性擴(kuò)容的,安全系統(tǒng)也要支持靈活擴(kuò)展。

        三、云數(shù)據(jù)中心網(wǎng)絡(luò)安全體系架構(gòu)

        基于云數(shù)據(jù)中心安全現(xiàn)狀分析,云數(shù)據(jù)中心安全防護(hù)需要統(tǒng)籌考慮網(wǎng)路出口、虛擬化層等,從內(nèi)到外進(jìn)行全力位考慮,同時考慮采用高性能、高擴(kuò)展性的安全設(shè)備。云數(shù)據(jù)中心網(wǎng)絡(luò)安全體系架構(gòu)圖如圖l。

        云數(shù)據(jù)中心出口核心設(shè)備側(cè)掛防火墻、負(fù)載均衡、IPS/IDS、防病毒網(wǎng)關(guān)、DDoS流量清洗設(shè)備、WEB應(yīng)用防護(hù)等安全設(shè)備。同時要保障用戶訪問數(shù)據(jù)中心過程中的傳輸通道安全,防止信息在傳輸過程中被截取。

        對于虛擬化層內(nèi)部安全問題,現(xiàn)在較為成熟的方法是通過虛擬防火墻隔離技術(shù)進(jìn)行內(nèi)部數(shù)據(jù)隔離。通過在虛擬化層部署虛擬防火墻、虛擬負(fù)載均衡軟件、IPS/IDS深度包檢測軟件、防病毒軟件等進(jìn)行安全防護(hù)。

        運(yùn)維層面部署虛擬堡壘主機(jī)對運(yùn)維操作進(jìn)行安全審計(jì)和管理。

        四、云數(shù)據(jù)中心外部網(wǎng)絡(luò)安全防護(hù)方法

        云數(shù)據(jù)中心外部網(wǎng)絡(luò)安全防護(hù)主要是云數(shù)據(jù)中心出口核心交換機(jī)上側(cè)掛安全防護(hù)設(shè)備,對云數(shù)據(jù)中心內(nèi)部數(shù)據(jù)進(jìn)行安全防護(hù)。

        防火墻:通過部署單獨(dú)的防火墻設(shè)備,可以實(shí)現(xiàn)邊界安全,包括過濾外界流量、擴(kuò)展協(xié)議支持以及VPN訪問等功能。通過防火墻可以劃分Trust、Untrust、DMZ和Local四個安全區(qū)域,在云數(shù)據(jù)中心出口核心交換機(jī)部署防火墻進(jìn)行網(wǎng)絡(luò)層防御,保證業(yè)務(wù)平臺免受外部網(wǎng)絡(luò)攻擊。

        DDoS流量清洗設(shè)備:在云數(shù)據(jù)中心出口核心交換機(jī)側(cè)掛DDoS設(shè)備,對大流量DDoS攻擊進(jìn)行清洗。DDoS設(shè)備由流量檢測和流量清洗兩部分組成,通過在云數(shù)據(jù)中心出口鏈路部署流量檢測系統(tǒng),檢測系統(tǒng)檢測到流量攻擊后上報(bào)流量清洗系統(tǒng),由流量清洗系統(tǒng)對攻擊流量進(jìn)行清洗。

        IPS/IDS:在云數(shù)據(jù)中心出口核心交換機(jī)側(cè)掛IPS/IDS設(shè)備,阻止蠕蟲、病毒、木馬、DoS攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。

        ISP信息安全管理系統(tǒng):根據(jù)工信部要求,運(yùn)營商云數(shù)據(jù)中心必須具備信息安全管理系統(tǒng),在云數(shù)據(jù)中心出口鏈路部署ISP信息安全監(jiān)控系統(tǒng),如浩瀚科技的ISP信息安全監(jiān)控系統(tǒng),可以有效保護(hù)云數(shù)據(jù)中心的信息安全。

        五、云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)安全與隔離

        云數(shù)據(jù)中心內(nèi)部,不同業(yè)務(wù)之間的網(wǎng)絡(luò)必須是相互隔離的。與傳統(tǒng)的安全防護(hù)不同,云數(shù)據(jù)中心在虛擬化環(huán)境下,物流服務(wù)器被虛成多個虛擬機(jī),虛擬機(jī)之間發(fā)流量交換基于服務(wù)器內(nèi)部的虛擬交換,該部分流量不可控。不同的虛擬機(jī)之間需要劃分到不同的安全域,進(jìn)行隔離和訪問控制。

        對于云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)的安全和隔離有內(nèi)部流量引出技術(shù)和隔離技術(shù)兩種辦法。

        5.1 內(nèi)部流量引出技術(shù)

        流量外部化技術(shù)是對云數(shù)據(jù)中心內(nèi)部虛擬機(jī)之間的流量通過相應(yīng)技術(shù)引出,對引出的流量進(jìn)行安全控制??赏ㄟ^EVB協(xié)議(如VEPA協(xié)議)將虛擬機(jī)內(nèi)部不同虛擬機(jī)之間的網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的交換機(jī)處理,交由外部安全控制模塊進(jìn)行安全控制。該方法較為簡單,但是將虛擬機(jī)內(nèi)部流量引出會增加額外流量,造成端口浪費(fèi)。

        5.2 隔離技術(shù)

        目前運(yùn)營商云數(shù)據(jù)中心網(wǎng)絡(luò)安全模型引入了垂直分層、水平分區(qū)的概念。垂直分層是在同一套業(yè)務(wù)系統(tǒng)內(nèi)部分為核心層、應(yīng)用層、隔離層、接入層,各層之間應(yīng)部署安全控制機(jī)制。水平分區(qū)是不同業(yè)務(wù)系統(tǒng)之間的應(yīng)用隔離機(jī)制,避免業(yè)務(wù)系統(tǒng)相互影響。

        隔離技術(shù)主要是實(shí)現(xiàn)各層之間防護(hù),不同業(yè)務(wù)系統(tǒng)之間隔離。使用虛擬防火墻技術(shù)可以實(shí)現(xiàn)云數(shù)據(jù)中心內(nèi)部數(shù)據(jù)分層隔離。

        虛擬防火墻技術(shù)是指軟件定義的防火墻,對虛擬機(jī)之間的流量進(jìn)行安全訪問控制。通過虛擬防火墻技術(shù)主要實(shí)現(xiàn)內(nèi)部安全,包括內(nèi)部網(wǎng)絡(luò)VIAN數(shù)據(jù)隔離、過濾和基于VLAN的策略執(zhí)行。如V shield APP是VMware安全套件中的虛擬防火墻,通過部署VMware V shield APP可以實(shí)現(xiàn)虛機(jī)之間的隔離和訪問控制。V shield end是VMware安全套件中的虛擬機(jī)內(nèi)部安全模塊,通過部署V shield end可以實(shí)現(xiàn)虛擬機(jī)內(nèi)部的安全防護(hù)。虛擬防火墻的優(yōu)勢是可以在虛擬主機(jī)環(huán)境下訪問控制,通過虛擬機(jī)上運(yùn)行軟件防火墻,不會改變VLAN和拓?fù)涞脑L問控制,提高網(wǎng)絡(luò)的可靠性。在虛擬機(jī)下部署虛擬防火墻使數(shù)據(jù)中心內(nèi)部安全防護(hù)變的相對簡單。而且使用該方法,虛擬機(jī)之間的流量管控和安全控制在內(nèi)部完成,不會增加額外流量,消耗的系統(tǒng)資源少。

        六、結(jié)束語

        云計(jì)算時代的到來,云數(shù)據(jù)中心的網(wǎng)絡(luò)和信息安全面臨更大的挑戰(zhàn),網(wǎng)絡(luò)犯罪不再去攻擊用戶的電腦,而是直接攻擊云數(shù)據(jù)中心。本文提出了云數(shù)據(jù)中心內(nèi)部和外部網(wǎng)絡(luò)安全隔離的方法。除了在云數(shù)據(jù)中心進(jìn)行基礎(chǔ)的網(wǎng)絡(luò)安全部署,還需要考慮數(shù)據(jù)加密、備份、認(rèn)證授權(quán)等技術(shù)手段以及政策上的立法和監(jiān)管。無論是政府還是云服務(wù)運(yùn)營商,只有通過不斷提升網(wǎng)絡(luò)安全意識和技術(shù),才能實(shí)現(xiàn)云數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)的目標(biāo)。

        猜你喜歡
        隔離云計(jì)算虛擬化
        基于OpenStack虛擬化網(wǎng)絡(luò)管理平臺的設(shè)計(jì)與實(shí)現(xiàn)
        電子制作(2019年10期)2019-06-17 11:45:10
        對基于Docker的虛擬化技術(shù)的幾點(diǎn)探討
        電子制作(2018年14期)2018-08-21 01:38:20
        虛擬化技術(shù)在計(jì)算機(jī)技術(shù)創(chuàng)造中的應(yīng)用
        電子測試(2017年11期)2017-12-15 08:57:56
        幼兒隔離中的安全問題
        人間(2016年27期)2016-11-11 15:45:42
        基于云計(jì)算的移動學(xué)習(xí)平臺的設(shè)計(jì)
        實(shí)驗(yàn)云:理論教學(xué)與實(shí)驗(yàn)教學(xué)深度融合的助推器
        云計(jì)算中的存儲虛擬化技術(shù)應(yīng)用
        科技視界(2016年20期)2016-09-29 13:34:06
        醫(yī)院消毒隔離的預(yù)防與控制
        存儲虛擬化還有優(yōu)勢嗎?
        精品极品一区二区三区| 久久精品无码中文字幕| 欧美黑人又粗又大久久久| 国产美女a做受大片免费| 亚洲精品99久91在线| 人妻少妇猛烈井进入中文字幕| 四虎成人精品在永久免费| 免费国产黄网站在线观看可以下载 | 亚洲国产精品成人av| 加勒比日韩视频在线观看 | 国精品午夜福利视频不卡| 无码久久精品国产亚洲av影片| 色播在线永久免费视频网站| 国产精品国产三级国产专区51区| 国产女优一区在线观看| 日本少妇浓毛bbwbbwbbw| 国产欧美日韩一区二区三区在线 | 樱花AV在线无码| 女同性恋亚洲一区二区| 熟妇人妻精品一区二区视频免费的| 欧美性猛交99久久久久99按摩| 西西人体444www大胆无码视频| 一本到无码AV专区无码| 国产精品一区二区三区蜜臀| 日本va中文字幕亚洲久伊人| 又紧又大又爽精品一区二区| 18成人片黄网站www| 日本道免费精品一区二区| 国产精品女同二区五区九区| 亚洲亚色中文字幕剧情| 亚洲av日韩精品久久久久久久| 欧美a视频在线观看| 91麻豆精品一区二区三区| 亚洲视频在线免费不卡| 国产亚洲精品美女久久久| 色老汉免费网站免费视频| 一区二区高清视频在线观看| 亚洲网站一区在线播放 | 一道之本加勒比热东京| 久久精品国产亚洲av香蕉| 日本午夜免费福利视频|