偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

【博文推薦】云計(jì)算安全解決方案白皮書(一)

安全 云安全
云計(jì)算的安全問題之所以突出,是因?yàn)樘摂M機(jī)的動(dòng)態(tài)遷移,以及多業(yè)務(wù)系統(tǒng)交織在一起,這讓傳統(tǒng)的網(wǎng)卡邊界就是安全部署點(diǎn)的方法不在適用。流安全不再關(guān)注被保護(hù)服務(wù)器的物理位置,轉(zhuǎn)而關(guān)注訪問該服務(wù)器的數(shù)據(jù)流。通過對數(shù)據(jù)流的重新“路由”,保證對數(shù)據(jù)流的安全清洗,從而實(shí)現(xiàn)對服務(wù)器的網(wǎng)絡(luò)保護(hù)。在訪問控制模型中,有一類流模型,就是針對數(shù)據(jù)流進(jìn)行保護(hù)的。
本博文出自51CTO博客之星Jack zhai的博客,有任何問題請進(jìn)入博主頁面互動(dòng)討論!

博文地址:http://maomaostyle.blog.51cto.com/2220531/1654994

研究云的安全有兩三年了,但形成完整的安全思路,還是去年的事,這也是“流安全”思路形成的主要階段。

云計(jì)算的安全問題之所以突出,是因?yàn)樘摂M機(jī)的動(dòng)態(tài)遷移,以及多業(yè)務(wù)系統(tǒng)交織在一起,這讓傳統(tǒng)的網(wǎng)卡邊界就是安全部署點(diǎn)的方法不在適用。流安全不再關(guān)注被保護(hù)服務(wù)器的物理位置,轉(zhuǎn)而關(guān)注訪問該服務(wù)器的數(shù)據(jù)流。通過對數(shù)據(jù)流的重新“路由”,保證對數(shù)據(jù)流的安全清洗,從而實(shí)現(xiàn)對服務(wù)器的網(wǎng)絡(luò)保護(hù)。在訪問控制模型中,有一類流模型,就是針對數(shù)據(jù)流進(jìn)行保護(hù)的。

為了讓大家容易理解基于流安全的云計(jì)算安全方案,我編寫了這個(gè)白皮書,與大家交流。文檔挺長,特分成四個(gè)部分。

本方案適用范圍:

云計(jì)算建設(shè)一般分為公有云與私有云,其安全需求是不同,安全防護(hù)思路也不相同。

公有云以阿里云、騰訊云等互聯(lián)網(wǎng)運(yùn)營商為代表,獨(dú)立建設(shè)云服務(wù)為企業(yè)、個(gè)人提供云服務(wù)。選用這種云服務(wù)的用戶,多數(shù)是對敏感性要求不高的,主要的便宜、快捷。同時(shí),云服務(wù)提供商為了降低運(yùn)營成本,大多采用在開源虛擬化平臺(tái)上進(jìn)行二次開發(fā),不僅整個(gè)架構(gòu)平臺(tái)可以自己重新架構(gòu),而且可以增加自己對虛擬機(jī)的安全管理,如流量限制,內(nèi)置安全軟件進(jìn)行安全監(jiān)控,或者直接進(jìn)行病毒查殺等等??傊性频陌踩旧鲜怯稍品?wù)商來管理,用戶可以根據(jù)自己的需要選擇,若是有些敏感的信息,可以選擇桌面的加密軟件。

私有云的情況則不同,因?yàn)樗接性频慕ㄔO(shè)者,大多數(shù)技術(shù)力量不是很強(qiáng),沒有自行開發(fā)、運(yùn)維虛擬化平臺(tái)的能力,選擇采用第三方的、較為成熟的云計(jì)算管理平臺(tái)是常見的,用戶則更關(guān)心自己的新業(yè)務(wù)開發(fā)。采用私有云方式的用戶,一般其IT設(shè)施較多,業(yè)務(wù)對網(wǎng)絡(luò)要求較高,多數(shù)有自己的城域網(wǎng),有些還有專用的廣域網(wǎng),在安全上一般應(yīng)該滿足等級保護(hù)的國家要求。為了提高IT設(shè)備的利用率,加強(qiáng)對業(yè)務(wù)支持的靈活性,選用資源虛擬化管理,或者之間遷移到云服務(wù)平臺(tái)。如政府、軍隊(duì)、央企、科研機(jī)構(gòu)等,

本文主要是針對私有云,并且是在一個(gè)虛擬化池中不只是運(yùn)行一種業(yè)務(wù)的場景,提出的云計(jì)算安全解決方案設(shè)計(jì)思路,不僅適合針對每個(gè)業(yè)務(wù)系統(tǒng)提供單獨(dú)安全保障的需求,而且適合不同虛擬化管理平臺(tái)的統(tǒng)一安全管理。

一、云計(jì)算其實(shí)是所有軟件人的“夢”

1、云計(jì)算是一種新的IT服務(wù)模式體驗(yàn)

能夠不受計(jì)算機(jī)處理能力的限制,能夠有取之不盡的內(nèi)存與外存空間,這對于每一個(gè)軟件編程人員來說,無疑具有巨大的誘惑力。為了提高處理速度而絞盡腦汁設(shè)計(jì)的精巧算法,為了節(jié)省內(nèi)存而反復(fù)優(yōu)化的代碼…而真正實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的邏輯、管理往往淪為“不重要的”。以至于很多人認(rèn)為:計(jì)算機(jī)編程高手就意味著精于編程技巧,而應(yīng)用系統(tǒng)開發(fā)只是軟件工程,我們常說的“碼農(nóng)”。

云計(jì)算技術(shù)的出現(xiàn)讓這個(gè)問題成為歷史,增加處理能力,就是增加幾個(gè)CPU,動(dòng)態(tài)添加內(nèi)存都不再是障礙,甚至已經(jīng)出現(xiàn)了內(nèi)存數(shù)據(jù)庫,空間還是問題嗎?因?yàn)樵朴?jì)算的特點(diǎn)之一是具有彈性的處理能力。

對于計(jì)算機(jī)的用戶,能夠隨時(shí)隨地接入主機(jī)系統(tǒng),忙碌的辦公室、溫馨安逸的家、旅途中的賓館、休假時(shí)的海濱,甚至行駛的汽車上、飛機(jī)上、輪船上…隨時(shí)交流通信、隨時(shí)編寫方案、隨時(shí)設(shè)計(jì)藍(lán)圖、隨時(shí)項(xiàng)目審批、隨時(shí)網(wǎng)上沖浪……云計(jì)算讓這些夢想變成了可能,因?yàn)樵朴?jì)算還有一個(gè)顯著特點(diǎn):隨時(shí)隨地接入網(wǎng)絡(luò)。

當(dāng)然,得到如此“夢想”的服務(wù),不只是高端富豪才能享用的,就像“自來水”一樣,價(jià)格便宜,使用多少就付多少錢??啥攘康?、按需的服務(wù)是云計(jì)算的另一大特點(diǎn)。

以上是美國NIST定義云計(jì)算五大特點(diǎn)中的三個(gè),這已經(jīng)足夠吸引所有計(jì)算機(jī)人士的眼球的了。因此,2013年還有很多專家稱云計(jì)算落地還有待時(shí)日,到了2014年,政府與企業(yè)的IT建設(shè)立項(xiàng)不與云沾邊的已經(jīng)很少了,2015年一開始,一窩蜂似的涌出很多的云計(jì)算項(xiàng)目要落地實(shí)施。其實(shí)我們回想一下,這幾年,我們身邊基于云計(jì)算的服務(wù)與新應(yīng)用:即時(shí)通信、社交網(wǎng)絡(luò)、搜索引擎、電子政務(wù)、智慧城市、電商購物、影視媒體、大型游戲、安全態(tài)勢分析、領(lǐng)導(dǎo)決策支持…

2、了解一下云計(jì)算的體系結(jié)構(gòu)

云計(jì)算是一種新技術(shù),也是一種新型的IT服務(wù)模式。你知道嗎?支持云計(jì)算服務(wù)商的后臺(tái)基礎(chǔ)技術(shù)其實(shí)是資源管理的虛擬化技術(shù)。我們先看一下云計(jì)算的系統(tǒng)結(jié)構(gòu):

 

與傳統(tǒng)IT架構(gòu)不同的地方,是在IT基礎(chǔ)設(shè)施與系統(tǒng)軟件(操作系統(tǒng))之間增加個(gè)一個(gè)虛擬化管理層,業(yè)務(wù)系統(tǒng)“看到”到不再是物理服務(wù)器,而是虛擬機(jī)(VM)。

正是因?yàn)閷?shù)據(jù)中心的IT基礎(chǔ)實(shí)施采用了虛擬化管理技術(shù),虛擬計(jì)算機(jī)可以動(dòng)態(tài)調(diào)整CPU的個(gè)數(shù)、內(nèi)存的大小,所以云計(jì)算才能夠提供彈性的服務(wù)能力。按照用戶業(yè)務(wù)運(yùn)行的實(shí)際需求,動(dòng)態(tài)分配處理能力給每個(gè)用戶,這就是服務(wù)器虛擬化管理的核心之一。當(dāng)然你需要的服務(wù)能力不能超過所有硬件服務(wù)器服務(wù)能力的總和。

這種虛擬化管理平臺(tái)軟件不同于傳統(tǒng)的計(jì)算機(jī)操作系統(tǒng),目前比較流行的有:VmWare、KVM、Xen、Hyper-V等,其他管理平臺(tái)多是在KVM、Xen等開源平臺(tái)上繼續(xù)開發(fā)出來的。

服務(wù)器虛擬化技術(shù)的核心是生成與管理虛擬機(jī)(VM),不同平臺(tái)技術(shù)上有差異,但大體思路是一致的。我們看一下VMWare平臺(tái)的虛擬機(jī)架構(gòu):

 

Xen平臺(tái)的虛擬機(jī)架構(gòu)類似,但有個(gè)0號(hào)控制虛擬機(jī):

 

虛擬機(jī)最基本的組成是CPU、內(nèi)存、網(wǎng)卡、磁盤(外存),其他虛擬硬件按需添加,如光驅(qū)、軟件、USB等。多個(gè)虛擬機(jī)共享一個(gè)物理服務(wù)器的硬件資源,對于多用戶、多進(jìn)程的操作系統(tǒng)來說這也不是什么難的事情,但如何將兩個(gè)虛擬機(jī)安全隔離就是管理上關(guān)注的事情了。兩個(gè)應(yīng)用軟件“跑”在一起,還有兼容問題呢,何況是兩個(gè)虛擬機(jī)?用戶使用虛擬機(jī),對他來說,應(yīng)該是一臺(tái)“獨(dú)立的”計(jì)算機(jī),若他知道還有人與他一起“合租”,鄰里關(guān)系不能熟視無睹吧。如何做到讓用戶感覺是跟自己的是一樣的呢?

#p#

3、了解虛擬化技術(shù)

在一個(gè)服務(wù)器內(nèi)實(shí)現(xiàn)多個(gè)虛擬機(jī)共享技術(shù)是第一步,要想真正支持彈性服務(wù)能力,沒有上限的,就一定要突破多臺(tái)服務(wù)器的聯(lián)合技術(shù),整體的服務(wù)能力才有增大。

從早先的雙機(jī)熱備,到服務(wù)器集群,再到網(wǎng)格計(jì)算,人們在把多臺(tái)設(shè)備虛擬到一起的道路上,探索了很長的一段時(shí)間。目前流行的實(shí)現(xiàn)服務(wù)器虛擬化技術(shù)有如下兩種模式:

 

云計(jì)算安全解決方案白皮書

負(fù)載控制+“一虛多”:先建立一個(gè)總服務(wù)臺(tái),進(jìn)行并行管理。把一個(gè)任務(wù)分成多個(gè)子任務(wù),每個(gè)任務(wù)申請一個(gè)VM,最后處理的結(jié)果再返回用戶。保證子任務(wù)對服務(wù)能力的需求不超過單個(gè)物理服務(wù)器。比如Google、百度的搜索服務(wù),把搜索分成不同類別、資源的子搜索,搜索的時(shí)間才會(huì)到人滿意的程度;

“多虛一”+“一虛多”:把多個(gè)物理設(shè)備虛擬成一個(gè)大的設(shè)備,成為一個(gè)很大處理能力的“巨型機(jī)”,再按需分給每個(gè)用戶。這是資源虛擬化的理想方式,真正做到了用戶申請的VM不受物理服務(wù)器的限制,不關(guān)心處理能力的承受問題。

不論是哪種虛擬化技術(shù),目的都是在物理硬件與用戶需求計(jì)算機(jī)之間建立一個(gè)虛擬層,由這個(gè)虛擬管理層負(fù)責(zé)把用戶任務(wù)分配給具體的硬件資源,用戶“看到的”是虛擬CPU、虛擬內(nèi)存…既然硬件都是虛擬的,當(dāng)然其大小就可以由虛擬管理者動(dòng)態(tài)調(diào)整。管理虛擬層一方面要管理下層具體的硬件,驅(qū)動(dòng)它們最大效率地工作,一方面要針對每個(gè)虛擬機(jī)提供出虛擬的硬件接口,讓虛擬機(jī)的操作系統(tǒng)“正常”調(diào)用硬件資源工作。

4、虛擬網(wǎng)絡(luò)的“誕生”

計(jì)算機(jī)是通過網(wǎng)卡連接網(wǎng)絡(luò)與外界互聯(lián)的,所以,傳統(tǒng)的網(wǎng)絡(luò)邊界節(jié)點(diǎn)就是網(wǎng)卡,網(wǎng)卡收發(fā)的是網(wǎng)絡(luò)TCP/IP協(xié)議的數(shù)據(jù)包,支持的網(wǎng)絡(luò)路由交換協(xié)議。網(wǎng)卡是服務(wù)器與網(wǎng)絡(luò)互通的必經(jīng)路徑點(diǎn)。連接網(wǎng)卡的網(wǎng)線就是通過網(wǎng)絡(luò)進(jìn)入服務(wù)器的“唯一”大門(直接到服務(wù)器控制端或串口接入控制端,需要接近物理設(shè)備,屬于物理安全與運(yùn)維管理范疇,這里不討論),傳統(tǒng)的網(wǎng)絡(luò)安全措施,部署在網(wǎng)卡的前面,是最佳的防護(hù)位置。

 

云計(jì)算安全解決方案白皮書

虛擬機(jī)(VM)的產(chǎn)生讓網(wǎng)絡(luò)有了不同,每個(gè)VM也都有自己的虛擬網(wǎng)卡,這些虛擬網(wǎng)卡需要一個(gè)虛擬交換機(jī)將他們“連接”起來,再通過上行鏈路(服務(wù)器的物理網(wǎng)卡)連接到外邊的網(wǎng)絡(luò)上。

這個(gè)虛擬處理來的交換機(jī),并不是把物理網(wǎng)卡與虛擬網(wǎng)卡簡單的分時(shí)鏡像,因?yàn)閮蓚€(gè)VM之間也會(huì)通信,這是的流量就無需到物理網(wǎng)卡去“兜一圈”了,通過虛擬交換機(jī)就可以進(jìn)行“轉(zhuǎn)發(fā)”,實(shí)際上是物理服務(wù)器的內(nèi)存里搬移個(gè)地方,但是虛擬交換機(jī)應(yīng)該與物理交換機(jī)一樣支持TCP/IP各種交換協(xié)議。每個(gè)VM都有自己獨(dú)立的IP地址(可以通過NAT技術(shù)對外界只有一個(gè)IP)。邏輯網(wǎng)卡的功能與物理網(wǎng)卡應(yīng)該一樣,同樣處理TCP/IP的協(xié)議棧。

有了虛擬網(wǎng)卡、虛擬交換機(jī),虛擬網(wǎng)絡(luò)就誕生了。在云計(jì)算架構(gòu)里,網(wǎng)絡(luò)概念發(fā)生了延伸,對網(wǎng)絡(luò)的理解從傳統(tǒng)的網(wǎng)絡(luò)邊界---網(wǎng)卡,延伸到服務(wù)器的內(nèi)部---VM的虛擬網(wǎng)卡。

#p#

5、虛擬機(jī)不僅僅是虛擬的

VM與物理計(jì)算機(jī),用戶使用起來是沒有差別的。但管理這看來,是不同的。物理計(jì)算機(jī)是硬件實(shí)物,一般來說服務(wù)器的物理位置是固定的,要遷移是很麻煩的(涉及到網(wǎng)絡(luò)IP的規(guī)劃與路由設(shè)計(jì),這里說的是服務(wù)器端,不是終端,可以使用動(dòng)態(tài)IP);VM其實(shí)只是一個(gè)“文件”,遷移就是一個(gè)文件拷貝的操作。因此,采用虛擬化技術(shù)最為實(shí)惠的一大好處,就是VM可以動(dòng)態(tài)遷移。

 

虛擬機(jī)動(dòng)態(tài)遷移為IT管理帶來的優(yōu)勢是顯而易見的:

沒有業(yè)務(wù)處理時(shí),VM休眠,釋放全部的物理資源給其他用戶使用;

發(fā)現(xiàn)VM運(yùn)行的服務(wù)器能力不足時(shí),可以動(dòng)態(tài)遷移幾個(gè)VM到其他的物理服務(wù)器上,在不中斷業(yè)務(wù)的情況下,動(dòng)態(tài)調(diào)整服務(wù)能力的供給;

IT系統(tǒng)升級或更新硬件時(shí),先把VM遷移出,升級完后再遷移回來,完全不影響應(yīng)用服務(wù)狀態(tài),無需像從前那樣,要業(yè)務(wù)系統(tǒng)退出、數(shù)據(jù)備份、硬件升級、重裝系統(tǒng)、重啟業(yè)務(wù)服務(wù)、恢復(fù)數(shù)據(jù)、同步操作等等;

系統(tǒng)容災(zāi)變得簡單易行。以往是建設(shè)備份機(jī)房,投資大,平時(shí)也用不上;有了動(dòng)態(tài)遷移技術(shù),可以在兩地機(jī)房建立一體的虛擬化池,在一地出現(xiàn)大災(zāi)難時(shí),業(yè)務(wù)自動(dòng)將業(yè)務(wù)VM遷移到另一地的機(jī)房服務(wù)器中,自動(dòng)實(shí)現(xiàn)系統(tǒng)容災(zāi)。近幾年,傳統(tǒng)設(shè)計(jì)的兩地三中心(同城備份、異地容災(zāi))IT基礎(chǔ)架構(gòu),已經(jīng)被“雙活”、“多活”數(shù)據(jù)中心的架構(gòu)所代替,核心就是采用虛擬化的遷移技術(shù);

快速重啟備份系統(tǒng)。業(yè)務(wù)系統(tǒng)有Bug,系統(tǒng)邏輯宕機(jī),要盡快恢復(fù)業(yè)務(wù)是所有IT管理者都需要的。傳統(tǒng)采用雙機(jī)熱備或冷備機(jī)方式,重啟硬件的時(shí)間是不可缺少的。有了虛擬化技術(shù),可以建立不同時(shí)間段VM的動(dòng)態(tài)文件鏡像,發(fā)現(xiàn)宕機(jī),立即啟動(dòng)備份VM,無論是恢復(fù)時(shí)間,還是最小損失窗口都有大幅度地提升;

VM動(dòng)態(tài)遷移,帶來的直接問題,就是IP管理。用戶訪問服務(wù)器是通過URL,再定位到IP地址,所以VM如何遷移,其IP地址應(yīng)該是不變的。傳統(tǒng)數(shù)據(jù)中心采用三層網(wǎng)絡(luò)結(jié)構(gòu)(接入、匯聚、核心),不同業(yè)務(wù)系統(tǒng)劃分VLAN進(jìn)行隔離,保障業(yè)務(wù)邊界安全,VLAN之間的通信是通過三層路由網(wǎng)關(guān)轉(zhuǎn)發(fā)。現(xiàn)在VM動(dòng)態(tài)遷移,不知道在哪個(gè)物理服務(wù)器中,甚至到了異地?cái)?shù)據(jù)中心的服務(wù)器里,三層路由在哪里做合適呢?若大家都放在一個(gè)二層VLAN里,好像又不安全,廣播包太多也是問題。這就是目前很多數(shù)據(jù)中心采用“大二層”網(wǎng)絡(luò)架構(gòu)的原因所在。簡單地理解大二層,就是大家可以在一個(gè)網(wǎng)段,又可以做一些邏輯域,一個(gè)VLAN的設(shè)備還在一個(gè)廣播域,跨設(shè)備的VLAN之間建立“通道”,保障它們是一個(gè)邏輯的整體。

6、云計(jì)算讓網(wǎng)絡(luò)邁向一個(gè)新的時(shí)代

云計(jì)算采用了資源虛擬化,把物理網(wǎng)絡(luò)從傳統(tǒng)的物理網(wǎng)卡,延伸到物理服務(wù)器的“內(nèi)部”,虛擬機(jī)的虛擬網(wǎng)卡上。VM的動(dòng)態(tài)遷移,讓我們對“設(shè)備”的管理,從物理的改變?yōu)檫壿嫷摹?/p>

一方面,開發(fā)者不再關(guān)心服務(wù)器的處理能力;另一方面,用戶也不再關(guān)心自己業(yè)務(wù)服務(wù)器在什么地方。傳統(tǒng)的網(wǎng)絡(luò)是七層架構(gòu),現(xiàn)在網(wǎng)絡(luò)層上,“生出”一個(gè)“邏輯網(wǎng)絡(luò)層”,虛擬化了服務(wù)器的計(jì)算資源,也虛擬化了網(wǎng)絡(luò)資源。

采用了虛擬化技術(shù),IT管理者已經(jīng)無法像以前一樣把某個(gè)業(yè)務(wù)系統(tǒng)與物理的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備相對應(yīng),他們看到的只是某個(gè)業(yè)務(wù)系統(tǒng)訪問的信息流,業(yè)務(wù)系統(tǒng)的虛擬網(wǎng)絡(luò)拓?fù)洹?/p>

傳統(tǒng)的網(wǎng)絡(luò)管理統(tǒng)治時(shí)代即將過去,面向?qū)I(yè)務(wù)信息流的管理時(shí)代即將開啟。
 

責(zé)任編輯:Ophira 來源: 51CTO
相關(guān)推薦

2015-05-29 09:27:21

2015-06-01 09:44:08

2015-06-01 09:53:34

2018-10-15 23:22:41

互聯(lián)網(wǎng)

2018-10-16 17:23:10

云數(shù)據(jù)

2018-10-15 14:57:14

華為

2017-04-01 14:53:50

華為

2017-04-06 15:07:30

互聯(lián)網(wǎng)華為

2021-07-20 10:09:07

網(wǎng)絡(luò)安全數(shù)據(jù)技術(shù)

2010-06-08 09:17:07

2016-12-26 14:56:33

戴爾

2011-08-02 15:19:28

2020-07-21 10:51:08

阿里云云原生

2013-03-19 14:26:00

2013-09-05 22:14:47

IDC華為存儲(chǔ)華為

2023-05-19 09:48:43

數(shù)據(jù)安全治理安華金和

2010-07-27 17:59:36

CATechnologie云計(jì)算
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)