返回
山石网科虚拟云安全解决方案

山石网科虚拟云安全解决方案

ID:44178632

大小:622.02 KB

页数:6页

时间:2019-10-19

山石网科虚拟云安全解决方案_第1页
山石网科虚拟云安全解决方案_第2页
山石网科虚拟云安全解决方案_第3页
山石网科虚拟云安全解决方案_第4页
山石网科虚拟云安全解决方案_第5页
资源描述:

《山石网科虚拟云安全解决方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、山石网科虚拟云安全解决方案——山石云·格面向虚拟化数据中心的软件定义安全数据中心已经从物理架构演进到大规模虚拟和云的架构。服务器和存储被虚拟化成为很多数据中心的标准,新兴的网络功能虚拟化(NFV)和软件定义网络(SDN)技术有望通过虚拟化的网络和安全功能完成物理到虚拟的演进。虚拟数据中心在效率、业务敏捷性,以及快速的产品上市时间上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的。从南北到东西在传统数据中心里,防火

2、墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。在今天的虚拟化数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。不幸的是,传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的

3、方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。负载移动性和可扩展性静态安全解决方案在物理静态负载环境中是有效的。在虚拟化数据中心里,负载移动性和迁移是常态,那就意味着安全解决方案不仅也要具有移动性,还要能够感知负载的移动。而且它还得保持状态并对安全策略做出实时响应。要做到这一点,最好的办法就是通过与云管理平台(例如vCenter和OpenStack)紧密集成。在虚拟化环境里,负载增大、减小和移动,以满足业务和应用的需求,安全解决方案的可扩展性和弹性显得尤为重要。固定静态的网关或服务器安全解决方案可以有

4、效的工作在传统数据中心里,因为那里每台物理服务器的负载都是固定的。然而,移动弹性虚拟化数据中心需要能够跟被保护的环境一样弹性、可扩展,以及虚拟化的安全解决方案。这样能够确保它不会在一个地方成为瓶颈,过度的影响其它地方,而没有办法共享资源。理想情况下,安全服务应该一直工作在靠近负载的地方。软件定义网络和网络功能虚拟化任何虚拟化安全解决方案也必须融入以NFV和SDN为特点的新兴数据中心网络架构中。通过NFV,交换和路由功能由跑在X86服务器上的虚拟机来提供,而不再使用物理的路由器和交换机。SDN通过使网络平面和数据平面分离来提高网络的灵活性。今天的大多数NFV实现的特点

5、是分布式虚拟路由,这使每个租户拥有自己的虚拟路由器用于子网之间的通信。它将路由软件分布在网络中所有的虚拟交换机上,为高度移动负载环境提供可扩展的性能和策略执行。用户急需解决的安全问题在云环境中,某虚机由于某种原因中了病毒,从内部向其它虚机和外部网络发起端口扫描和DoS等攻击,缺少识控方案的情况下,只能将有问题的虚机从网络中移除,让问题虚机的管理员线下解决问题后,才允许连接回网络,这样的处理方案简单粗暴,虽然隔离了攻击,但也同时断掉了问题虚机的对外服务。对于云环境,虽然外部可能部署入侵防御设施,但可能存在这样的情况,某虚机由于弱口令之类的漏洞被远程控制,然后黑客以此虚

6、机为跳板,再对其它虚机进行漏洞扫描和利用入侵,DoS攻击会产生大量的会话,可能通过云管理平台发现,然而从内部发起的漏洞入侵的过程在网络层面上与正常访问无异,无法被发现,因此需要识控的方案。当前虚拟化安全解决方案架构的局限显然,传统的物理安全解决方案无法满足新兴虚拟化数据中心对安全性、性能、流量和移动性的需求。任何安全解决方案必须像它所要保护的数据中心一样,是虚拟、敏捷、弹性、移动和可扩展的。理想情况下,安全就应该作为另一个虚拟资源池深度插入到数据中心的虚拟化环境中,随着计算、存储和网络资源池的增大、减小和迁移。就像虚拟路由器演进成分布式虚拟路由器一样,任何虚拟化网络

7、服务必须能够以分布式的方式部署来满足虚拟化数据中心的需求。今天的大多数虚拟数据中心安全解决方案使用以下两种架构之一:第一个是给每个租户分配一个单防火墙虚机,同时解决南北向和东西向流量问题,允许每个租户有一套自己独立的防火墙策略应用。要无瓶颈或无计算资源浪费的满足平均和突发负载的需要,扩展单防火墙虚机的性能是一个挑战。管理大量有自己独立策略的不同租户的防火墙虚机也是一个很大的困难。第二个是把防火墙功能插入到虚拟机管理程序层中。由于它是虚拟机管理程序的一部分,它就能更有效地处理负载在虚拟化环境中的移动和弹性。然而,重要的是要记住,虚拟机管理程序是整个虚拟计算资源的基

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。