自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

談“軟件定義安全”的云計算安全實現(xiàn)方式

作者:佚名
安全 云安全
隨著云計算、軟件定義網(wǎng)絡(luò)SDN等新技術(shù)的廣泛應(yīng)用,以及伴隨新型攻擊方式的出現(xiàn),傳統(tǒng)網(wǎng)絡(luò)安全模式面臨著巨大挑戰(zhàn)。在云計算環(huán)境中,物理安全設(shè)備不能監(jiān)控和理解虛擬化數(shù)據(jù)流,難以對其進行有效防護;傳統(tǒng)安全架構(gòu)不能提供按需彈性的網(wǎng)絡(luò)安全功能,無法適應(yīng)云計算環(huán)境靈活的業(yè)務(wù)發(fā)展需求。

應(yīng)用背景

隨著云計算、軟件定義網(wǎng)絡(luò)SDN等新技術(shù)的廣泛應(yīng)用,以及伴隨新型攻擊方式的出現(xiàn),傳統(tǒng)網(wǎng)絡(luò)安全模式面臨著巨大挑戰(zhàn)。在云計算環(huán)境中,物理安全設(shè)備不能監(jiān)控和理解虛擬化數(shù)據(jù)流,難以對其進行有效防護;傳統(tǒng)安全架構(gòu)不能提供按需彈性的網(wǎng)絡(luò)安全功能,無法適應(yīng)云計算環(huán)境靈活的業(yè)務(wù)發(fā)展需求。

在軟件定義網(wǎng)絡(luò)SDN的基礎(chǔ)上提出“軟件定義安全SDS”的安全防護思路,實現(xiàn)云計算環(huán)境的安全由業(yè)務(wù)和應(yīng)用驅(qū)動,從而實現(xiàn)復(fù)雜網(wǎng)絡(luò)的安全防護,提升安全防護能力和用戶安全體驗。

基于“軟件定義安全”的防護思路

軟件定義安全SDS是從軟件定義網(wǎng)絡(luò)SDN引申而來,原理是將通過安全數(shù)據(jù)平面與控制平面分離,對物理及虛擬的安全設(shè)備與其接入模式、部署方式、實現(xiàn)功能進行了解耦,底層抽象為安全資源池里的資源,頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的業(yè)務(wù)編排和管理,以完成相應(yīng)的安全功能,從而實現(xiàn)一種靈活的安全防護。

 


圖1 軟件定義安全的防護架構(gòu)

如圖1:作為安全操作系統(tǒng)的安全控制平臺,向上為安全應(yīng)用提供編程接口,向下提供安全設(shè)備資源池化管理,東西向可適配不同的業(yè)務(wù)管理平臺(如云管理平臺、SDN控制平臺和定制的管理平臺等)。在內(nèi)部,從這些不同的接口獲得信息轉(zhuǎn)化成標(biāo)準(zhǔn)的安全策略、資產(chǎn)庫信息、日志告警,并利用這些信息完成任務(wù)調(diào)度、智能決策和命令推送,將以往需要人工完成或半自動完成的管理流程轉(zhuǎn)換成了接近全自動化控制。

在云計算環(huán)境中利用虛擬化技術(shù)實現(xiàn)安全設(shè)備的資源池化,并通過安全控制平臺與SDN控制器的協(xié)同,使云計算環(huán)境中的流量經(jīng)過特定安全設(shè)備,實現(xiàn)安全檢測、過濾等安全防護功能。此外根據(jù)應(yīng)用所需的安全需求就可以從資源池中找到相應(yīng)安全資源,而不用關(guān)心物理上安全設(shè)備部署在哪里,也不需要考慮安全設(shè)備如何布線劃區(qū)。

 


圖 2 網(wǎng)絡(luò)安全設(shè)備部署方式

如圖2:虛擬安全設(shè)備可以部署在計算節(jié)點或安全節(jié)點上,工作在二/三層網(wǎng)絡(luò)。計算節(jié)點和安全節(jié)點內(nèi)Hypervisor的虛擬交換機連接到SDN控制器,安全控制平臺通過SDN控制器開放的北向接口與之連接。

 


圖 3 使用SDN技術(shù)實現(xiàn)流量牽引的原理

如圖3:當(dāng)接收并解析安全策略后,安全控制平臺通過SDN控制器向虛擬交換機下發(fā)流表,依次在源節(jié)點的虛擬交換機、源目節(jié)點間的隧道(GRE/VXLAN等)和目的節(jié)點的虛擬交換機之間建立一條路徑,這樣原來虛擬機VM1通過源節(jié)點虛擬交換機直接到 VM2的流量,就沿著上述指定路徑先到了目的節(jié)點的虛擬安全設(shè)備,當(dāng)處理完畢之后,數(shù)據(jù)流從安全設(shè)備的輸出網(wǎng)卡返回到最終的目的虛擬機VM2。

 


圖 4 使用SDN技術(shù)實現(xiàn)服務(wù)鏈

如圖4:當(dāng)需要多種類型的安全防護時,數(shù)據(jù)流就會依次經(jīng)過多個安全設(shè)備,形成一條服務(wù)鏈。

實現(xiàn)價值

1.縱深防御的安全體系

基于安全域部署相應(yīng)的防護措施,實現(xiàn)縱深防御,滿足云計算平臺的安全保障要求。

2.模塊化架構(gòu)可靈活擴展

根據(jù)應(yīng)用場景和需求的不同,選擇和部署相應(yīng)的安全資源、系統(tǒng)功能模塊、安全應(yīng)用。

3.橫向(東西)流量的防護

通過部署虛擬化的安全資源池和流量引導(dǎo)技術(shù),可以實現(xiàn)牽引東西向流量到安全資源池內(nèi)做檢測和防護。

4.滿足等保合規(guī)要求

通過構(gòu)建安全監(jiān)測、識別、防護、審計和響應(yīng)的綜合安全能力,保障云計算資源和服務(wù)的安全,確保符合等級保護的要求。

責(zé)任編輯:未麗燕 來源: 綠盟科技企業(yè)事業(yè)部公眾號
云計算軟件定義安全
相關(guān)推薦

2011-08-09 09:42:17

蘋果云云計算iCloud

2019-04-24 11:41:32

云計算開發(fā)數(shù)據(jù)中心

2011-09-25 10:54:24

2012-07-16 14:58:40

2012-11-07 15:47:58

云計算云安全

2015-12-15 10:46:57

云計算風(fēng)險行業(yè)安全

2016-06-29 17:11:17

2020-07-02 10:23:59

云計算云安全數(shù)據(jù)

2019-10-29 19:49:48

Java線程安全

2023-03-02 12:35:31

2023-09-16 18:26:02

云安全網(wǎng)絡(luò)安全

2009-10-16 10:38:41

2022-01-05 22:38:09

云計算云安全技術(shù)

2013-07-12 10:27:33

2024-02-20 17:28:06

2012-07-17 12:05:56

思科云計算Virtuata

2017-10-12 09:10:33

2018-06-28 13:38:59

云計算云服務(wù)云安全

2012-10-15 09:59:01

數(shù)據(jù)安全云安全

2009-01-07 18:00:24

服務(wù)器IBM云計算
點贊
收藏

51CTO技術(shù)棧公眾號