当前位置:首页 > 通信技术 > 通信网络
[导读] 每隔一段时间,云计算领域就会出现泄露或者安全相关的新闻,似乎只要是云服务商,都有安全相关的问题,于是乎,公有云的安全问题在这个时候总会被拿出来点评一番。联系客服小表妹(VX:pingaoyunz

每隔一段时间,云计算领域就会出现泄露或者安全相关的新闻,似乎只要是云服务商,都有安全相关的问题,于是乎,公有云的安全问题在这个时候总会被拿出来点评一番。联系客服小表妹(VX:pingaoyunzzm)了解更多。

注:上述消息引自云头条公众号

虽说云计算依托大型数据中心、规模化应用和强大的运维体系等优势环节,让云主机的可靠性远超传统小型数据中心。但是云计算并不是世外桃源,原本存在的安全问题在云上依然存在,甚至问题的维度更多了——除了用户主机端的安全问题,支撑云计算底层的服务器硬件、网络和存储等环节,在资源池化的模式下,带来了更多安全上的问题。

在云计算领域中有这样的一个观点:目前的云计算环境,有两个典型的安全问题需要用户重视。

第一个就是开源软件漏洞。和商业软件不同,开放源码的软件是由世界各地的程序员维护开发的,虽然具有开放的平台,但是动辄数十万行的开放源代码在用户端部署应用时容易被第三方利用。相比传统的商业软件,开源系统存在不可控的安全隐患。

第二个是传统的木马、黑客程序。虽然云主机提供了系统安装镜像,但是用户在安装和部署应用环境时,有可能安装带有后门的程序,前一阵爆出的基于某平台开发环境的漏洞就是一个典型的案例。

安全对于用户而言是头等大事,甚至在某种情况下是决定企业生死的命门。传统数据中心虽然也会出现宕机、崩溃、甚至丢失数据的问题,但是相比企业关键业务数据的泄露,运维能搞定的都不算大事。

一、云上安全的思考

单纯的从技术分析——云主机本身是安全的,云存储本身也是安全的,因为它们设计之初就是给用户提供高性能、高可用的计算/存储环境,只要在这两个框架下满足了用户的需求,那么就可以认为它是称职的角色。但是网络做为连接资源池的重要通道,面对的环境却大不一样了。物理网络时代用户可以通过防火墙等设备来防护网络安全问题,可是在大规模的虚拟网络时代,用户数据像洪水般奔腾在虚拟的环境中,传统的网络保护手段难以保护大规模虚拟网络下的安全。

虚拟网络同样有两个关键的安全问题。

第一,云网络环境大都缺乏东西向的安全防护。在大数据、大规模的分布式SDN虚拟环境下,此时依托物理核心交换机的传统方案无法满足安全控制的需要。在分布式SDN网络中,物理网关不在核心交换机上,而是虚拟分散在各个SDN控制器中。此时虚拟主机的东西向流量并不经过核心交换机,传统的IDS/IPS方案就难以发挥作用。

第二,对接容器网络缺乏标准。数据中心的网络边界下沉到虚拟化网络中,传统的安全产品无法探测云内部的网络流量。边界安全产品,旁路安全产品,甚至是插件式的软件安全产品都需要深度改造。

与软件定义网络的安全体系同样也分为两部分,一是云平台自带的,二是NFV方式。

二、品高云平台安全攻略

在品高SDN的体系中,引入了VPC安全域的概念,虚拟网络可以使用VPC实现多租户间的网络隔离,并且多VPC(私有网络)环境下都能提供独立的网络功能,支持各种网络场景的落地需求。

品高云在VPC环境下,为用户提供了多样化的安全功能:

IP与MAC绑定:虚拟机IP与MAC绑定,私自修改则引起网络中断,防止IP盗用、私接设备的等安全隐患;

安全组:针对虚拟机的类似于虚拟防火墙的安全规则集合,可以自定义虚拟机的访问端口,实现虚拟机之间的安全访问控制;

子网ACL:SDN针对子网的安全控制手段,可以自定义出入的允许和拒绝规则及优先级,实现子网级别的安全访问控制;

子网分化:通过子网微分段的手段实现子网内IP之间的APR隔离,避免ARP嗅探引起的ARP攻击、ARP欺骗的行为;

隐藏式虚拟化网关:SDN构建的虚拟化隐藏网关,避免因黑客攻破网关而引起的大范围安全事件;

自定义路由:SDN支持自定义路由,可将流量路由至防火墙接受检测,实现流量过滤;

弹性IP地址池:防止传统NAT一对多方式引起的范围式入侵行为,采用一对一的方式保证NAT转换的安全性;

物理网关对接:SDN对接物理网关,可在物理网关和机房叠加安全防护策略;

VPC隐藏隔离:实现VPC内不同安全组间的网络数据隔离,解决APR欺骗和攻击的行为;

VPC对等连接:实现跨VPC网络内网数据通信的互联服务,避免跨VPC互通需求下需要外网或其他设备接入带来的安全隐患;

三、云平台NFV安全策略

安全是没有上限的,除了品高云自带的安全架构外,品高云采用了目前云计算领域中处理安全问题公认的有效手段-----NFV。支持耦合第三方安全厂商,通过将不同安全的网络能力采取编排的手段,变为云中的一个网元,实现安全功能,如此可以充分发挥不同安全厂商在边界安全、杀毒、网络分析、加密等领域的优势,提供给云主机用户更好的安全使用体验。

品高云NFV策略有以下四个安全优势:

01 | 可扩展的软件定义网络安全体系

软件定义安全通过支持各种标准的网络引流技术,让第三方可以在安全体系上接入自己的网络安全技术,实现网络安全功能与服务的叠加,形成网络安全生态体系。

02 | 东西南北向分离管控机制

东西流量通常是数据流量,南北流量通常是业务流量,用户对它们的管理控制要求是不同的,因此需要区别对待,实现分开监控并使用不同的网络策略进行管理和控制。

03 | 非插件式的全网漏洞扫描技术

通过对网络的扫描,网络管理员能了解容器网络的安全设置和运行的应用服务,及时发现系统及应用的安全漏 洞,能有效避免黑客攻击行为,做到防患于未然。

04 | 网络入侵蔓延回溯和控制技术

通过SDN网络感知回溯技术,可以记录从入侵开始,到入侵被发现的全过程网络行为,跟踪与定位入侵的蔓延范围。通过网络策略阻断蔓延的受控制的容器节点,防止入侵潜伏与二次攻击。

可以使用中这样的比喻来说明云计算的安全目前需要的是什么:“云计算的安全需要大量的“朝阳群众”,群防群治,不能单纯依靠负责安全的“警察”,那样的安全会出现各种意想不到的漏洞。”

目前品高云已经支持对接的边界防护(包括WAF/IDS/IPS/数据库审计等):山石网科、启明星辰、有云、昂楷;网络分析:科来;加密:安全狗;杀毒:360虚拟化安全、趋势。未来还将逐步对接更多的安全厂商的产品,提供给用户更好更安全的云计算环境。

品高云支持的安全厂商产品(朝阳群众)矩阵:

四、总结

品高云SDN的独特架构为用户提供了从硬件到虚拟层的全面安全防护,相比开源环境和纯商业化的云平台,依托品高SDN的云计算平台可以提供用户更好更安全的云计算生态。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭