• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    虛擬化安全解決方案

    2016-12-22 06:39:02東方有線網(wǎng)絡(luò)有限公司網(wǎng)管中心王遠(yuǎn)偉
    信息安全與通信保密 2016年6期
    關(guān)鍵詞:租戶網(wǎng)關(guān)管理員

    文/東方有線網(wǎng)絡(luò)有限公司網(wǎng)管中心 王遠(yuǎn)偉

    虛擬化安全解決方案

    文/東方有線網(wǎng)絡(luò)有限公司網(wǎng)管中心 王遠(yuǎn)偉

    1.背景

    在云計(jì)算進(jìn)行得如火如荼的今天,其安全問(wèn)題日益突出。眾所周知云計(jì)算的典型特征是將IT的各類資源進(jìn)行池化,并以可度量的服務(wù)形式提供或交付給用戶。虛擬化技術(shù)是實(shí)現(xiàn)資源池化的基礎(chǔ),其實(shí)現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示。通過(guò)虛擬化技術(shù)可以提高資源的利用率,并能根據(jù)用戶業(yè)務(wù)需求的變化,快速、靈活地進(jìn)行自由部署。要建設(shè)一個(gè)成熟的云平臺(tái),必須實(shí)現(xiàn)服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化三大關(guān)鍵技術(shù)。可以說(shuō)是虛擬化為我們帶來(lái)了“云”,同時(shí)也是云計(jì)算區(qū)別于傳統(tǒng)計(jì)算模式的重要標(biāo)志。

    2.虛擬化引起的安全挑戰(zhàn)

    虛擬化的目的就是虛擬化出一個(gè)或多個(gè)租戶相互隔離的執(zhí)行環(huán)境,用于運(yùn)行操作系統(tǒng)及應(yīng)用或者進(jìn)行數(shù)據(jù)通訊。然而,由于虛擬化技術(shù)大規(guī)模的應(yīng)用,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式,網(wǎng)絡(luò)邊界變的模糊和動(dòng)態(tài),特別是虛擬機(jī)的網(wǎng)絡(luò)通信方式發(fā)生了徹底的改變。這些都給傳統(tǒng)安全帶來(lái)了挑戰(zhàn),具體如下:

    VM通訊流量不可視:同一物理機(jī)內(nèi)部的虛擬機(jī)之間進(jìn)行數(shù)據(jù)交換時(shí)并不經(jīng)過(guò)傳統(tǒng)的網(wǎng)絡(luò)接入層交換機(jī),直接導(dǎo)致虛擬機(jī)之間的流量不可視,無(wú)法實(shí)現(xiàn)虛擬機(jī)之間的隔離控制,無(wú)法做到流量數(shù)據(jù)監(jiān)控和審計(jì)等。

    網(wǎng)絡(luò)邊界不固定:分布式資源調(diào)度或者虛擬機(jī)遷移造成邊界動(dòng)態(tài)變化,VM新遷移的運(yùn)行環(huán)境可能存在安全風(fēng)險(xiǎn)。同時(shí)虛擬化的網(wǎng)絡(luò)結(jié)構(gòu),使得傳統(tǒng)的分區(qū)分域防護(hù)變得難以實(shí)現(xiàn)。

    資源惡意競(jìng)爭(zhēng):多虛擬機(jī)共享同一硬件環(huán)境,經(jīng)常出現(xiàn)惡意搶占資源,例如一臺(tái)VM對(duì)另一臺(tái)VM發(fā)起DDOS攻擊,影響服務(wù)水平。

    虛擬機(jī)間無(wú)法隔離:同一臺(tái)服務(wù)器上不同租戶間的VM之間無(wú)法做到有效的隔離,因?yàn)楸姸嘧鈶舻膽?yīng)用和數(shù)據(jù)共享同一套虛擬化軟件和基礎(chǔ)設(shè)施。

    虛擬化平臺(tái)自身安全:因虛擬化平臺(tái)自身存在漏洞,因此由虛擬機(jī)做為跳板通過(guò)網(wǎng)絡(luò)攻擊虛擬化平臺(tái)管理API接口或由虛擬機(jī)通過(guò)漏洞直接攻擊底層的虛擬化平臺(tái),將導(dǎo)致整個(gè)云平臺(tái)癱瘓。

    管理員權(quán)限過(guò)度集中:在傳統(tǒng)數(shù)據(jù)中心,服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)與數(shù)據(jù)等通常分別由不同管理員進(jìn)行管理,但在虛擬化環(huán)境管理,往往都由同一管理員負(fù)責(zé),并缺少對(duì)管理員的權(quán)限控制,操作審計(jì)以及合規(guī)性檢查。

    基于主機(jī)安全技術(shù)手段無(wú)法應(yīng)用:目前傳統(tǒng)的安全措施和工具都是基于物理機(jī)開(kāi)發(fā)的,在虛擬機(jī)環(huán)境下針對(duì)單個(gè)VM并不適用。

    虛擬機(jī)安全管理復(fù)雜:要管理同一時(shí)刻上千臺(tái)的虛擬機(jī)的安全狀態(tài)和策略,無(wú)論是管理難度和強(qiáng)度都是巨大的。

    3.虛擬化安全解決方案

    因此在深入分析由于虛擬化軟件和服務(wù)器虛擬化引起的各類安全問(wèn)題基礎(chǔ)上,并結(jié)合分析當(dāng)前主流的虛擬化安全解決思路,在傳統(tǒng)安全防護(hù)的基礎(chǔ)上,應(yīng)深入hypervisor層增加安全控制手段,直接將安全網(wǎng)關(guān)虛擬化以軟件的形式安裝在hypervisor層的三層防御體系思路,從網(wǎng)絡(luò)層面,系統(tǒng)層面,管理層面三個(gè)層面對(duì)虛擬化環(huán)境進(jìn)行安全保護(hù)。重點(diǎn)解決不同虛擬機(jī)之間的網(wǎng)絡(luò)訪問(wèn)控制層面上的安全防護(hù)和hypervisor層的安全。

    防御體系思路上通過(guò)部署虛擬安全網(wǎng)關(guān),該網(wǎng)關(guān)具備相關(guān)物理硬件設(shè)備的一切安全功能,由集中管理平臺(tái)、虛擬化安全網(wǎng)關(guān)vGate、客戶系統(tǒng)內(nèi)安全代理、虛擬化平臺(tái)接入引擎四個(gè)組件構(gòu)成,并以虛擬機(jī)形式安裝和運(yùn)行。通過(guò)接入引擎將需要進(jìn)行安全檢查的流量指向VGate,由Vgate實(shí)現(xiàn)對(duì)所有虛擬機(jī)之間以及虛擬化平臺(tái)本身的網(wǎng)絡(luò)通信進(jìn)行掃描、防護(hù)和控制。從而做到安全檢查和流量監(jiān)控審計(jì)等,虛擬安全網(wǎng)關(guān)不僅能提供高效的安全處理,還能通過(guò)集中管理平臺(tái)實(shí)現(xiàn)虛擬機(jī)策略的集中管理,并提供靈活的策略和網(wǎng)絡(luò)配置。

    4.方案效果

    1.實(shí)現(xiàn)全面的安全防護(hù):基于安全高效的虛擬化安全網(wǎng)關(guān)實(shí)現(xiàn)了對(duì)管理層、系統(tǒng)層、網(wǎng)絡(luò)層的安全防護(hù),徹底解決了主機(jī)虛擬化和網(wǎng)絡(luò)虛擬化產(chǎn)生的安全問(wèn)題,同時(shí)加強(qiáng)了對(duì)hypervisor層的監(jiān)控。

    2.實(shí)現(xiàn)全景安全監(jiān)控:采用集中管理平臺(tái)對(duì)全網(wǎng)安全事件以及虛擬機(jī)運(yùn)行狀態(tài)集中監(jiān)控和報(bào)警。

    3.實(shí)現(xiàn)高效虛擬機(jī)安全管理: 通過(guò)TP實(shí)現(xiàn)對(duì)單個(gè)虛擬機(jī)的安全策略配置,并自動(dòng)實(shí)現(xiàn)相應(yīng)的策略部署、動(dòng)態(tài)遷移等。提升管理和維護(hù)效率,降低用戶管理成本。

    4.實(shí)現(xiàn)安全服務(wù)虛擬化:虛擬安全網(wǎng)關(guān)系統(tǒng)支持虛擬化功能,在邏輯上分為多個(gè)虛擬網(wǎng)關(guān)系統(tǒng),具備獨(dú)立的管理員和策略配置系統(tǒng),可以為多租戶的應(yīng)用提供獨(dú)立的安全服務(wù)。

    猜你喜歡
    租戶網(wǎng)關(guān)管理員
    我是小小午餐管理員
    我是圖書管理員
    我是圖書管理員
    基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
    可疑的管理員
    基于MVC模式的多租戶portlet應(yīng)用研究*
    LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
    應(yīng)對(duì)氣候變化需要打通“網(wǎng)關(guān)”
    租戶是大爺
    特別文摘(2014年17期)2014-09-18 01:31:21
    一種實(shí)時(shí)高效的伺服控制網(wǎng)關(guān)設(shè)計(jì)
    汾西县| 高雄县| 东方市| 宁波市| 娱乐| 保靖县| 合山市| 莆田市| 富裕县| 虹口区| 普陀区| 保山市| 万山特区| 利川市| 桂阳县| 天门市| 亳州市| 文安县| 姚安县| 汤阴县| 肃北| 宜良县| 墨竹工卡县| 碌曲县| 陆丰市| 京山县| 苗栗市| 麻江县| 东宁县| 宜春市| 南皮县| 西乌| 都江堰市| 浪卡子县| 平原县| 祁东县| 赣州市| 马山县| 麻江县| 德清县| 丰城市|