返回
华为FusionSphere安全技术.ppt

华为FusionSphere安全技术.ppt

ID:59503084

大小:858.61 KB

页数:13页

时间:2020-09-11

华为FusionSphere安全技术.ppt_第1页
华为FusionSphere安全技术.ppt_第2页
华为FusionSphere安全技术.ppt_第3页
华为FusionSphere安全技术.ppt_第4页
华为FusionSphere安全技术.ppt_第5页
资源描述:

《华为FusionSphere安全技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全技术华为FusionSphere5.01虚拟化平台安全威胁分析传统的安全问题云计算特有的安全问题1.1云计算带来的新的安全威胁管理员角度虚拟管理层成为新的高危区域恶意用户难以被追踪和隔离云计算的开放性使云计算系统更容易受到外部攻击(API)最终用户角度数据存放在云端无法控制的风险资源多租户共享带来的数据泄漏与攻击风险网络接口开放性的安全风险2FusionSphere总体安全框架DataStoragedevice:从隔离用户数据、控制数据访问、保护剩余信息、加密虚拟机磁盘、备份数据等方面保证用户数据的安全和完整性。VMisolation:实现同一物理机上不同虚拟机之间的资源隔离,避免虚拟机

2、之间的数据窃取或恶意攻击Networktransmissionsecurity:通过网络平面隔离、引入防火墙、传输加密等手段O&MManagementSecurity:从帐号密码、用户权限、日志、传输安全等方面增强日常运维管理方面的安全措施。其他:修复Web应用漏洞、对操作系统和数据库进行加固、安装安全补丁和防病毒软件等手段保证各物理主机的安全。2.1网络安全-----网络平面隔离网络通信平面划分管理网络、租户网络、存储网络,网络之间采用VLAN隔离;各个租户的网络采用VXLAN隔离。这样,保证了管理平台操作不影响业务运行,最终用户不能破坏基础平台。2.2网络安全-----VLAN隔离同一台

3、服务器上的同一个虚拟局域网中的虚拟机通过虚拟交换机进行通信;不同服务器上的同一个虚拟局域网中的虚拟机通过交换机进行通信。通过虚拟网桥实现虚拟交换功能,虚拟网桥支持VLANtagging功能。分布在多个物理机上的同一个虚拟机安全组的虚拟机实例,可以通过VLANtagging对数据帧进行标识,网络中的交换机和路由器可以根据VLANtagging决定对数据帧路由和转发,提供虚拟网络的隔离功能。2.3网络安全-----安全组用户根据虚拟机安全需求创建安全组,每个安全组可以设定一组访问规则。当虚拟机加入安全组后,即受到该访问规则组的保护。用户通过在创建虚拟机时选定要加入的安全组来对自身的虚拟机进行安全

4、隔离和访问控制。2.4网络安全-----防IP及MAC仿冒、DHCP隔离IP和MAC绑定防止虚拟机用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击。DHCP隔离禁止用户虚拟机启动DHCPServer服务,防止用户无意识或恶意启动DHCPServer服务,从而影响正常的虚拟机IP地址分配过程。3虚拟化安全vCPU调度隔离安全---由Hypervisor负责调度vCPU,使得虚拟机操作系统运行在Ring1上,应用程序运行在Ring3上,有效地防止了虚拟机GuestOS直接执行所有特权指令,保证了操作系统与应用程序之间的隔离。内存隔离——(内存地址-物理地址-机器地址)映射内部网络隔

5、离--由Domain0来实现数据过滤和完整性检查,并插入和删除规则;从一个虚拟机上发出的数据包,先到达Domain0,经过认证后携带许可证,由Domain0转发给目的虚拟机;目的虚拟机检查许可证,以决定是否接收数据包。磁盘I/O隔离-----虚拟机所有的I/O操作都会由Hypervisor截获处理;Hypervisor保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机存储空间的安全隔离。(设备驱动划分为前端驱动程序、后端驱动程序和原生驱动三个部分,其中前端驱动在GuestOS中运行,而后端驱动和原生驱动则在HostOS中运行。前端驱动负责将GuestOS的I/O请求传递到HostO

6、S中的后端驱动,后端驱动解析I/O请求并映射到物理设备,提交给相应的设备驱动程序控制硬件完成I/O操作)4数据安全数据访问控制----对每个卷定义不同的访问策略。剩余信息保护---对高安全要求的场景,支持在卷回收时默认对逻辑卷的所有bit位进行清零。在非高安全场景,系统可配置为将逻辑卷的前10M空间进行清零。数据中心的物理硬盘更换后,需要数据中心的系统管理员采用消磁或物理粉碎等措施保证数据彻底清除。数据备份----多重备份机制,支持校验控制台登录虚拟机支持密码认证--用户通过控制台访问虚拟机时,支持密码认证。通过控制台,用户只能访问自己创建的虚拟机。5运维管理安全主要的安全威胁包括:管理员权

7、限不支持精细化控制;采用弱密码,且长期不进行修改,导致密码泄露;管理员恶意行为无法监控、回溯;主要可采取的措施:管理员分权分域管理账号密码管理-----满足一定规则,定期修改,不明文存储日志管理----操作日志(审计,防抵赖),运行日志(记录各节点的运行情况),黑匣子日志(记严重故障时的定位信息)传输加密-—管理员访问管理系统,均采用HTTPS方式,传输通道采用SSL加密。数据库备份-—本地备份和异地备份6基

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。