“云朵”方案化解“私有云”安全過(guò)渡期難題(4)
責(zé)編:admin |2014-06-17 15:06:29虛擬化平臺(tái)上的安全與廠家產(chǎn)品的開(kāi)放性有直接的關(guān)系,可以分為兩種情況:
第一種情況是開(kāi)源的平臺(tái),或者是得到了廠家的底層安全API 接口,如VMware 的VMSafe 接口,你可以利用接口插入自己的安全代碼,對(duì)虛擬機(jī)上的流量進(jìn)行安全檢查與控制。
這種方式直接在虛擬化平臺(tái)的底層hypervisor上控制用戶數(shù)據(jù)流,有些像我們所理解的操作系統(tǒng)分為內(nèi)核態(tài)與用戶態(tài),黑客要突破hypervisor 到內(nèi)核層是比較困難的,想繞過(guò)這種安全監(jiān)控也是十分困難的。
第二種情況是得不到虛擬化平臺(tái)的底層接口,或者是希望通過(guò)第三方的安全控制措施,用戶才放心( 虛擬化平臺(tái)自己管理、自己控制的安全,總讓人有些疑惑)。這種方式是目前安全廠家流行的流量牽引的安全控制措施。
實(shí)現(xiàn)的思路是利用SDN 技術(shù)中的流量牽引控制協(xié)議openflow,引導(dǎo)用戶業(yè)務(wù)流量按照規(guī)定的安全策略流向,結(jié)合安全產(chǎn)品的虛擬化技術(shù),建立防火墻、入侵檢測(cè)、用戶行為審計(jì)、病毒過(guò)濾等資源池,在用戶申請(qǐng)?zhí)摂M機(jī)資源時(shí),隨著計(jì)算資源、存儲(chǔ)資源一起下發(fā)給用戶,保證用戶業(yè)務(wù)的安全。
實(shí)現(xiàn)的步驟大致如下:
對(duì)安全資源虛擬池化:先對(duì)安全設(shè)備進(jìn)行“多到一”的虛擬化,形成一個(gè)虛擬的、邏輯的、高處理能力的安全設(shè)備,如虛擬防火墻、虛擬入侵檢測(cè)等;再對(duì)虛擬的安全設(shè)備進(jìn)行“一到多”的虛擬,生成用戶定制的、處理能力匹配的虛擬安全設(shè)備;
部署流量控制服務(wù)器:它是流量控制管理的中心,接受并部署用戶流量的安全策略,當(dāng)用戶業(yè)務(wù)虛擬機(jī)遷移時(shí),負(fù)責(zé)流量牽引策略的遷移落地;該服務(wù)器可以是雙機(jī)熱備,提高系統(tǒng)安全性,也可以采用虛擬機(jī)模式。同時(shí),在虛擬計(jì)算資源池內(nèi)安裝流量控制引擎:具體方法是在每個(gè)物理服務(wù)器內(nèi)開(kāi)一個(gè)虛擬機(jī)運(yùn)行流量控制引擎,負(fù)責(zé)引導(dǎo)該物理服務(wù)器上所有虛擬機(jī),按照安全策略進(jìn)行流量的牽引;
用戶業(yè)務(wù)流量的牽引分為兩種模式:
a) 鏡像模式:針對(duì)入侵檢測(cè)、行為審計(jì)等旁路接入的安全設(shè)備,把用戶流量復(fù)制出來(lái)即可,不影響原先的用戶業(yè)務(wù)流量;
b) 控制模式:針對(duì)防火墻等安全網(wǎng)關(guān)類安全設(shè)備,需要把用戶的流量先引導(dǎo)到安全設(shè)備虛擬化池中,“清洗”流量以后,再把流量引導(dǎo)到正常的業(yè)務(wù)處理虛擬機(jī)。
因?yàn)樾枰淖冇脩袅髁康牧飨颍枰獙?duì)目的MAC、目的IP 進(jìn)行修改。具體的方案很多,這里我們采用的是MAC in MAC 技術(shù),對(duì)數(shù)據(jù)包二次封裝,經(jīng)過(guò)安全設(shè)備處理以后的“安全流量”恢復(fù)到“正常”狀態(tài);在云朵中的物理交換機(jī)與虛擬交換機(jī)支持SDN 模式時(shí),也可以采用openflow 協(xié)議進(jìn)行導(dǎo)引時(shí)的封裝;
l當(dāng)用戶業(yè)務(wù)服務(wù)的虛擬機(jī)在不同的物理服務(wù)中遷移時(shí),該用戶業(yè)務(wù)的安全策略也隨著遷移到目的物理服務(wù)內(nèi)的流量控制虛擬機(jī),繼續(xù)執(zhí)行對(duì)該用戶的業(yè)務(wù)流量進(jìn)行引導(dǎo)。
小結(jié)
“云朵”方案通過(guò)把不同安全需求的業(yè)務(wù)系統(tǒng)部署在不同的云朵內(nèi),降低了對(duì)云內(nèi)業(yè)務(wù)流隔離的需求,而在云朵內(nèi)部,通過(guò)流量牽引與虛擬機(jī)加固等辦法,實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全過(guò)濾,同時(shí)加強(qiáng)業(yè)務(wù)系統(tǒng)自身的安全管理,如用戶權(quán)限管理、業(yè)務(wù)行為審計(jì)等,實(shí)現(xiàn)應(yīng)用層面的訪問(wèn)控制,對(duì)敏感數(shù)據(jù)的存儲(chǔ)與傳輸都建議采用加密方式。
“云朵”方案是個(gè)過(guò)渡性質(zhì)的方案,等到云朵內(nèi)的安全隔離與控制技術(shù)成熟,多個(gè)云朵就可以合成一個(gè)云了。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧