发文章
发文工具
撰写
网文摘手
文档
视频
思维导图
随笔
相册
原创同步助手
其他工具
图片转文字
文件清理
AI助手
留言交流
上期为大家介绍了混合云中的企业级IT服务。本期从网络安全入手,介绍云杉混合云技术中的安全。
混合云是在保留企业已有IT的基础上,通过公有云,将自有IT延伸至云端。这一步的延伸,使得企业IT部署产生了三点主要变化:
首先是IT资源变得多样:有本地和远程资源,物理和虚拟资源,专属和共享资源。那么企业必须对众多资源进行监督管理;
其次是IT从本地扩展至多地:在逻辑和物理边界上,资源运维的边界,安全防护的边界都在扩大;
另外是入口点增多:有从互联网接入本地或者公有云,从本地接入公有云,以及多个公有云间的接入等。入口点增多意味着出现安全漏洞、被攻击的风险增大。
针对混合云中多样化的IT资源:
首先,实现众多资源的统一规划。
在网络虚拟化架构篇中,已经介绍了虚拟化网络的构成。统一规划的方式是,根据企业私有云的网络规划,在公有云也可延伸网络规划策略。比如,按照研发、测试和 生产系统,将资源划分在不同的虚拟网络中,虚拟网络统一配置地址和访问规则。由此,通过网络地址的合理规划,实现本地和云端的资源统一规划。
其次,实现网络监控和管理。
数据中心的流量,不仅包含外部用户和内部服务器之间通信的南北流量,同时,也包含跨机架、跨数据中心的服务器之间通信的东西流量。在网络虚拟化架构下,打通了整个网络的数据平面和控制平台,能够对网络流量实现更加细粒度的检测;同时,对于这些监控数据,还可以分析流量,比如分析出访问最频繁的应用实例、资源利用分布等等。另外,全局的监控和管理,还能够预警和排查故障、降低故障修复时间。
因此,对于混合云中众多资源,基于网络虚拟化架构做到了网络的统一规划,并让每个资源和每次流量都在监控和管理之下。
针对混合云中企业IT边界扩大的问题,做法是将传统IT的安全防御策略同样扩展至云端,实现混合云的统一安全防御。
如图,是国内一家领先的企业级网络安全公司给出的网站安全解决方案。在网站应用中,常遭受到CC攻击、网页篡改、DDoS攻击等等,传统安全解决方案有两个 特点:一是安全产品种类多样,对于一种业务系统,就需要组合不同的安全产品;二是需要防护与检测的组合,防护来抵御攻击,检测来检查内部漏洞。
在混合云中,我们做到:
第一,让企业已有的安全规范延伸至云端,在云端提供同样种类的安全产品。对于企业来说,可按照传统习惯和所熟悉的安全服务,按需选择并组合;只有这样,混合云的安全管理才能衔接并统一。
针对混合云中入口点增多的问题,做法是对多样化的接入需求进行控制。
对于访问者,有企业的内部员工,有企业的客户,或者企业合作伙伴的员工;对于资源的访问,有访问私有云中的资源,访问公有云的资源;
对于资源之间,存在私有云与公有云的连接,以及公有云之间的连接。
在混合云中,我们需要给予用户灵活的安全策略和强大的防火墙功能,来实现多样化的接入和访问控制。
通过深度流检测技术(DFI)技术,实现混合云网络流量的全局监控。
由此,通过轻量级和高性能的网络流量监控和管理,全局管理网络数据,使得网络问题可追溯、可审查。
什么是即插即用的安全服务,这与网络虚拟化架构密不可分。
首先,虚拟网络是连接资源的载体。网络虚拟化架构提供了创建网络隧道的功能,使得网络流量能够灵活引导和监控。那下一步就是将安全产品放在隧道中,实现灵活调度。这些安全产品,包括各类虚拟版本的安全服务,以及物理的安全设备。
其次,对于每个用户的不同业务系统需求,可自由组合安全服务,包含防火墙、入侵检测、WEB应用防火墙、漏洞扫描等服务,同时也可接入安全设备。而所有服务 和设备的接入使用,无需改变其物理位置,虚拟网络是能够自动感知他们的位置,并由虚拟网络来实现统一调度,形成逻辑上满足用户业务的拓扑结构。
另外,如何实现混合云中高性能的安全接入?
对于多样化的接入点,首先要实现这样的基础功能:
第一,具备虚拟子网的隔离和访问配置。WEB层、应用层、数据库层各自的虚拟网络分别具有独立的地址空间,相互间二层网络隔离。通过网络访问规则的设置,使得Web层能够访问应用层,来传输Web层的数据和用户访问信息;同时,应用层能够访问数据库层,进行数据的存取。
第二,具备防火墙服务,配置端口访问策略。例如,在Web层开放80和443端口,在应用层开放22端口,在数据库层过滤所有外部访问流量。
第三,对于企业内部系统或核心应用,通过SSL VPN接入,实现远程用户的安全访问;而通过IPSec VPN接入,实现企业私有云和公有云之间的安全接入,或者是多云之间的安全接入。IPSec VPN的一个典型应用场景就是异地容灾备份,通过安全隧道进行远程数据复制和传输。
实现了基础的接入控制功能之外,如何保证安全接入的性能?
首先,一定要通过负载均衡保障性能。在专业的虚拟防火墙及VPN网关中,通过多核并行处理和集群技术,能够将每一个数据流动态地分配到不同的处理核心上,实 现多核并行处理。同时,基于网络虚拟化架构,可灵活调度防火墙设备或VPN服务,将其配置为多个设备或服务间的负载均衡,以此保障处理性能。
其次,安全服务一定要保证服务品质。优秀的安全产品一定不是开源产品,而专业厂商的安全设备和专家支持,是确保服务品质必不可少的环节。
来自: yi321yi > 《网络》
0条评论
发表
请遵守用户 评论公约
当网络攻击手段日新月异,企业云安全如何保障?
当网络攻击手段日新月异,企业云安全如何保障?云安全管理平台2.0实现了云安全服务和产品的统一运维与运营,不仅可以满足各类云场景个性...
网络安全知识:什么是网络可见性?
对于企业来说幸运的是,基于云的 SD-WAN 通过在全球范围内、本地和云中实现安全、受监控和策略执行的 WAN 连接来解决这个问题,而不会牺...
公有云与私有云优劣对比分析的分析报告
实用性: 虽然公有云的运行中断在一定程度上影响了其实用性,但这也是事出有因的,因为公有云要考虑其大量的用户——一般来说,公有云要...
专属云和私有云的区别
专属云和私有云的区别。一分钟秒懂公有云私有云与混合云 三种云有什么区别?公有云从 “公有”两个字就可以看出这类云服务并非用户私人...
虚拟化 云计算 私有云 混合云 全解
公有云通常指第三?提供商为?户提供的能够使?的云,公有云?般可通过Internet 使?,可能是免费或成本低廉的,公有云的核?属性是共享资源服...
云计算模式:公有云、私有云、混合云简析
云计算模式:公有云、私有云、混合云简析。按照商业模式的不同,云计算被分为了三大类:公有云、私有云和混合云。我们已经知道私企业主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云...
协同云计算
协同云计算协同云计算是来源于云计算的多样性,也是云计算发展的必然产物,代表性的协同云计算方式有三类:多云协同、异构混合云、边云协同。在异构混合云协同方式中,上云企业出于安全方面的考虑,将...
用CMP(云管理平台)统一管理各类云平台环境
用CMP(云管理平台)统一管理各类云平台环境。CMP是用于对各类型的云环境(包括OpenStack)进行管理控制的专用性极强的平台,这意味着CM...
云计算的下一个战场,即将全面开启?
看到混合云受到大型企业的热捧,云厂商们也开始按捺不住。9月11日,在腾讯2020全球数字生态大会数据库专场上,腾讯云正式发布面向混合云的云数据库新品TDSQL一体机柜,可让企业在本地IDC环境下获得与公...
微信扫码,在手机上查看选中内容