當前位置:首頁 > 通信技術(shù) > 通信網(wǎng)絡(luò)
[導(dǎo)讀] 每隔一段時間,云計算領(lǐng)域就會出現(xiàn)泄露或者安全相關(guān)的新聞,似乎只要是云服務(wù)商,都有安全相關(guān)的問題,于是乎,公有云的安全問題在這個時候總會被拿出來點評一番。聯(lián)系客服小表妹(VX:pingaoyunz

每隔一段時間,云計算領(lǐng)域就會出現(xiàn)泄露或者安全相關(guān)的新聞,似乎只要是云服務(wù)商,都有安全相關(guān)的問題,于是乎,公有云的安全問題在這個時候總會被拿出來點評一番。聯(lián)系客服小表妹(VX:pingaoyunzzm)了解更多。

注:上述消息引自云頭條公眾號

雖說云計算依托大型數(shù)據(jù)中心、規(guī)模化應(yīng)用和強大的運維體系等優(yōu)勢環(huán)節(jié),讓云主機的可靠性遠超傳統(tǒng)小型數(shù)據(jù)中心。但是云計算并不是世外桃源,原本存在的安全問題在云上依然存在,甚至問題的維度更多了——除了用戶主機端的安全問題,支撐云計算底層的服務(wù)器硬件、網(wǎng)絡(luò)和存儲等環(huán)節(jié),在資源池化的模式下,帶來了更多安全上的問題。

在云計算領(lǐng)域中有這樣的一個觀點:目前的云計算環(huán)境,有兩個典型的安全問題需要用戶重視。

第一個就是開源軟件漏洞。和商業(yè)軟件不同,開放源碼的軟件是由世界各地的程序員維護開發(fā)的,雖然具有開放的平臺,但是動輒數(shù)十萬行的開放源代碼在用戶端部署應(yīng)用時容易被第三方利用。相比傳統(tǒng)的商業(yè)軟件,開源系統(tǒng)存在不可控的安全隱患。

第二個是傳統(tǒng)的木馬、黑客程序。雖然云主機提供了系統(tǒng)安裝鏡像,但是用戶在安裝和部署應(yīng)用環(huán)境時,有可能安裝帶有后門的程序,前一陣爆出的基于某平臺開發(fā)環(huán)境的漏洞就是一個典型的案例。

安全對于用戶而言是頭等大事,甚至在某種情況下是決定企業(yè)生死的命門。傳統(tǒng)數(shù)據(jù)中心雖然也會出現(xiàn)宕機、崩潰、甚至丟失數(shù)據(jù)的問題,但是相比企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄露,運維能搞定的都不算大事。

一、云上安全的思考

單純的從技術(shù)分析——云主機本身是安全的,云存儲本身也是安全的,因為它們設(shè)計之初就是給用戶提供高性能、高可用的計算/存儲環(huán)境,只要在這兩個框架下滿足了用戶的需求,那么就可以認為它是稱職的角色。但是網(wǎng)絡(luò)做為連接資源池的重要通道,面對的環(huán)境卻大不一樣了。物理網(wǎng)絡(luò)時代用戶可以通過防火墻等設(shè)備來防護網(wǎng)絡(luò)安全問題,可是在大規(guī)模的虛擬網(wǎng)絡(luò)時代,用戶數(shù)據(jù)像洪水般奔騰在虛擬的環(huán)境中,傳統(tǒng)的網(wǎng)絡(luò)保護手段難以保護大規(guī)模虛擬網(wǎng)絡(luò)下的安全。

虛擬網(wǎng)絡(luò)同樣有兩個關(guān)鍵的安全問題。

第一,云網(wǎng)絡(luò)環(huán)境大都缺乏東西向的安全防護。在大數(shù)據(jù)、大規(guī)模的分布式SDN虛擬環(huán)境下,此時依托物理核心交換機的傳統(tǒng)方案無法滿足安全控制的需要。在分布式SDN網(wǎng)絡(luò)中,物理網(wǎng)關(guān)不在核心交換機上,而是虛擬分散在各個SDN控制器中。此時虛擬主機的東西向流量并不經(jīng)過核心交換機,傳統(tǒng)的IDS/IPS方案就難以發(fā)揮作用。

第二,對接容器網(wǎng)絡(luò)缺乏標準。數(shù)據(jù)中心的網(wǎng)絡(luò)邊界下沉到虛擬化網(wǎng)絡(luò)中,傳統(tǒng)的安全產(chǎn)品無法探測云內(nèi)部的網(wǎng)絡(luò)流量。邊界安全產(chǎn)品,旁路安全產(chǎn)品,甚至是插件式的軟件安全產(chǎn)品都需要深度改造。

與軟件定義網(wǎng)絡(luò)的安全體系同樣也分為兩部分,一是云平臺自帶的,二是NFV方式。

二、品高云平臺安全攻略

在品高SDN的體系中,引入了VPC安全域的概念,虛擬網(wǎng)絡(luò)可以使用VPC實現(xiàn)多租戶間的網(wǎng)絡(luò)隔離,并且多VPC(私有網(wǎng)絡(luò))環(huán)境下都能提供獨立的網(wǎng)絡(luò)功能,支持各種網(wǎng)絡(luò)場景的落地需求。

品高云在VPC環(huán)境下,為用戶提供了多樣化的安全功能:

IP與MAC綁定:虛擬機IP與MAC綁定,私自修改則引起網(wǎng)絡(luò)中斷,防止IP盜用、私接設(shè)備的等安全隱患;

安全組:針對虛擬機的類似于虛擬防火墻的安全規(guī)則集合,可以自定義虛擬機的訪問端口,實現(xiàn)虛擬機之間的安全訪問控制;

子網(wǎng)ACL:SDN針對子網(wǎng)的安全控制手段,可以自定義出入的允許和拒絕規(guī)則及優(yōu)先級,實現(xiàn)子網(wǎng)級別的安全訪問控制;

子網(wǎng)分化:通過子網(wǎng)微分段的手段實現(xiàn)子網(wǎng)內(nèi)IP之間的APR隔離,避免ARP嗅探引起的ARP攻擊、ARP欺騙的行為;

隱藏式虛擬化網(wǎng)關(guān):SDN構(gòu)建的虛擬化隱藏網(wǎng)關(guān),避免因黑客攻破網(wǎng)關(guān)而引起的大范圍安全事件;

自定義路由:SDN支持自定義路由,可將流量路由至防火墻接受檢測,實現(xiàn)流量過濾;

彈性IP地址池:防止傳統(tǒng)NAT一對多方式引起的范圍式入侵行為,采用一對一的方式保證NAT轉(zhuǎn)換的安全性;

物理網(wǎng)關(guān)對接:SDN對接物理網(wǎng)關(guān),可在物理網(wǎng)關(guān)和機房疊加安全防護策略;

VPC隱藏隔離:實現(xiàn)VPC內(nèi)不同安全組間的網(wǎng)絡(luò)數(shù)據(jù)隔離,解決APR欺騙和攻擊的行為;

VPC對等連接:實現(xiàn)跨VPC網(wǎng)絡(luò)內(nèi)網(wǎng)數(shù)據(jù)通信的互聯(lián)服務(wù),避免跨VPC互通需求下需要外網(wǎng)或其他設(shè)備接入帶來的安全隱患;

三、云平臺NFV安全策略

安全是沒有上限的,除了品高云自帶的安全架構(gòu)外,品高云采用了目前云計算領(lǐng)域中處理安全問題公認的有效手段-----NFV。支持耦合第三方安全廠商,通過將不同安全的網(wǎng)絡(luò)能力采取編排的手段,變?yōu)樵浦械囊粋€網(wǎng)元,實現(xiàn)安全功能,如此可以充分發(fā)揮不同安全廠商在邊界安全、殺毒、網(wǎng)絡(luò)分析、加密等領(lǐng)域的優(yōu)勢,提供給云主機用戶更好的安全使用體驗。

品高云NFV策略有以下四個安全優(yōu)勢:

01 | 可擴展的軟件定義網(wǎng)絡(luò)安全體系

軟件定義安全通過支持各種標準的網(wǎng)絡(luò)引流技術(shù),讓第三方可以在安全體系上接入自己的網(wǎng)絡(luò)安全技術(shù),實現(xiàn)網(wǎng)絡(luò)安全功能與服務(wù)的疊加,形成網(wǎng)絡(luò)安全生態(tài)體系。

02 | 東西南北向分離管控機制

東西流量通常是數(shù)據(jù)流量,南北流量通常是業(yè)務(wù)流量,用戶對它們的管理控制要求是不同的,因此需要區(qū)別對待,實現(xiàn)分開監(jiān)控并使用不同的網(wǎng)絡(luò)策略進行管理和控制。

03 | 非插件式的全網(wǎng)漏洞掃描技術(shù)

通過對網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員能了解容器網(wǎng)絡(luò)的安全設(shè)置和運行的應(yīng)用服務(wù),及時發(fā)現(xiàn)系統(tǒng)及應(yīng)用的安全漏 洞,能有效避免黑客攻擊行為,做到防患于未然。

04 | 網(wǎng)絡(luò)入侵蔓延回溯和控制技術(shù)

通過SDN網(wǎng)絡(luò)感知回溯技術(shù),可以記錄從入侵開始,到入侵被發(fā)現(xiàn)的全過程網(wǎng)絡(luò)行為,跟蹤與定位入侵的蔓延范圍。通過網(wǎng)絡(luò)策略阻斷蔓延的受控制的容器節(jié)點,防止入侵潛伏與二次攻擊。

可以使用中這樣的比喻來說明云計算的安全目前需要的是什么:“云計算的安全需要大量的“朝陽群眾”,群防群治,不能單純依靠負責(zé)安全的“警察”,那樣的安全會出現(xiàn)各種意想不到的漏洞?!?/p>

目前品高云已經(jīng)支持對接的邊界防護(包括WAF/IDS/IPS/數(shù)據(jù)庫審計等):山石網(wǎng)科、啟明星辰、有云、昂楷;網(wǎng)絡(luò)分析:科來;加密:安全狗;殺毒:360虛擬化安全、趨勢。未來還將逐步對接更多的安全廠商的產(chǎn)品,提供給用戶更好更安全的云計算環(huán)境。

品高云支持的安全廠商產(chǎn)品(朝陽群眾)矩陣:

四、總結(jié)

品高云SDN的獨特架構(gòu)為用戶提供了從硬件到虛擬層的全面安全防護,相比開源環(huán)境和純商業(yè)化的云平臺,依托品高SDN的云計算平臺可以提供用戶更好更安全的云計算生態(tài)。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉