淺談“軟件定義安全”的云計(jì)算安全實(shí)現(xiàn)方式

應(yīng)用背景

10年的橫山網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。成都營(yíng)銷(xiāo)網(wǎng)站建設(shè)的優(yōu)勢(shì)是能夠根據(jù)用戶(hù)設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整橫山建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“橫山網(wǎng)站設(shè)計(jì)”,“橫山網(wǎng)站推廣”以來(lái)，每個(gè)客戶(hù)項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

隨著云計(jì)算、軟件定義網(wǎng)絡(luò)SDN等新技術(shù)的廣泛應(yīng)用，以及伴隨新型攻擊方式的出現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)安全模式面臨著巨大挑戰(zhàn)。在云計(jì)算環(huán)境中，物理安全設(shè)備不能監(jiān)控和理解虛擬化數(shù)據(jù)流，難以對(duì)其進(jìn)行有效防護(hù);傳統(tǒng)安全架構(gòu)不能提供按需彈性的網(wǎng)絡(luò)安全功能，無(wú)法適應(yīng)云計(jì)算環(huán)境靈活的業(yè)務(wù)發(fā)展需求。

在軟件定義網(wǎng)絡(luò)SDN的基礎(chǔ)上提出“軟件定義安全SDS”的安全防護(hù)思路，實(shí)現(xiàn)云計(jì)算環(huán)境的安全由業(yè)務(wù)和應(yīng)用驅(qū)動(dòng)，從而實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)的安全防護(hù)，提升安全防護(hù)能力和用戶(hù)安全體驗(yàn)。

基于“軟件定義安全”的防護(hù)思路

軟件定義安全SDS是從軟件定義網(wǎng)絡(luò)SDN引申而來(lái)，原理是將通過(guò)安全數(shù)據(jù)平面與控制平面分離，對(duì)物理及虛擬的安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行了解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過(guò)軟件編程的方式進(jìn)行智能化、自動(dòng)化的業(yè)務(wù)編排和管理，以完成相應(yīng)的安全功能，從而實(shí)現(xiàn)一種靈活的安全防護(hù)。

圖1 軟件定義安全的防護(hù)架構(gòu)

如圖1：作為安全操作系統(tǒng)的安全控制平臺(tái)，向上為安全應(yīng)用提供編程接口，向下提供安全設(shè)備資源池化管理，東西向可適配不同的業(yè)務(wù)管理平臺(tái)(如云管理平臺(tái)、SDN控制平臺(tái)和定制的管理平臺(tái)等)。在內(nèi)部，從這些不同的接口獲得信息轉(zhuǎn)化成標(biāo)準(zhǔn)的安全策略、資產(chǎn)庫(kù)信息、日志告警，并利用這些信息完成任務(wù)調(diào)度、智能決策和命令推送，將以往需要人工完成或半自動(dòng)完成的管理流程轉(zhuǎn)換成了接近全自動(dòng)化控制。

在云計(jì)算環(huán)境中利用虛擬化技術(shù)實(shí)現(xiàn)安全設(shè)備的資源池化，并通過(guò)安全控制平臺(tái)與SDN控制器的協(xié)同，使云計(jì)算環(huán)境中的流量經(jīng)過(guò)特定安全設(shè)備，實(shí)現(xiàn)安全檢測(cè)、過(guò)濾等安全防護(hù)功能。此外根據(jù)應(yīng)用所需的安全需求就可以從資源池中找到相應(yīng)安全資源，而不用關(guān)心物理上安全設(shè)備部署在哪里，也不需要考慮安全設(shè)備如何布線劃區(qū)。

圖 2 網(wǎng)絡(luò)安全設(shè)備部署方式

如圖2：虛擬安全設(shè)備可以部署在計(jì)算節(jié)點(diǎn)或安全節(jié)點(diǎn)上，工作在二/三層網(wǎng)絡(luò)。計(jì)算節(jié)點(diǎn)和安全節(jié)點(diǎn)內(nèi)Hypervisor的虛擬交換機(jī)連接到SDN控制器，安全控制平臺(tái)通過(guò)SDN控制器開(kāi)放的北向接口與之連接。

圖 3 使用SDN技術(shù)實(shí)現(xiàn)流量牽引的原理

如圖3：當(dāng)接收并解析安全策略后，安全控制平臺(tái)通過(guò)SDN控制器向虛擬交換機(jī)下發(fā)流表，依次在源節(jié)點(diǎn)的虛擬交換機(jī)、源目節(jié)點(diǎn)間的隧道(GRE/VXLAN等)和目的節(jié)點(diǎn)的虛擬交換機(jī)之間建立一條路徑，這樣原來(lái)虛擬機(jī)VM1通過(guò)源節(jié)點(diǎn)虛擬交換機(jī)直接到 VM2的流量，就沿著上述指定路徑先到了目的節(jié)點(diǎn)的虛擬安全設(shè)備，當(dāng)處理完畢之后，數(shù)據(jù)流從安全設(shè)備的輸出網(wǎng)卡返回到最終的目的虛擬機(jī)VM2。

圖 4 使用SDN技術(shù)實(shí)現(xiàn)服務(wù)鏈

如圖4：當(dāng)需要多種類(lèi)型的安全防護(hù)時(shí)，數(shù)據(jù)流就會(huì)依次經(jīng)過(guò)多個(gè)安全設(shè)備，形成一條服務(wù)鏈。

實(shí)現(xiàn)價(jià)值

1.縱深防御的安全體系

基于安全域部署相應(yīng)的防護(hù)措施，實(shí)現(xiàn)縱深防御，滿(mǎn)足云計(jì)算平臺(tái)的安全保障要求。

2.模塊化架構(gòu)可靈活擴(kuò)展

根據(jù)應(yīng)用場(chǎng)景和需求的不同，選擇和部署相應(yīng)的安全資源、系統(tǒng)功能模塊、安全應(yīng)用。

3.橫向(東西)流量的防護(hù)

通過(guò)部署虛擬化的安全資源池和流量引導(dǎo)技術(shù)，可以實(shí)現(xiàn)牽引東西向流量到安全資源池內(nèi)做檢測(cè)和防護(hù)。

4.滿(mǎn)足等保合規(guī)要求

通過(guò)構(gòu)建安全監(jiān)測(cè)、識(shí)別、防護(hù)、審計(jì)和響應(yīng)的綜合安全能力，保障云計(jì)算資源和服務(wù)的安全，確保符合等級(jí)保護(hù)的要求。

網(wǎng)站標(biāo)題：淺談“軟件定義安全”的云計(jì)算安全實(shí)現(xiàn)方式
分享網(wǎng)址：http://muchs.cn/article34/gcse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)公司、外貿(mào)網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作、定制網(wǎng)站、微信公眾號(hào)、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)