[云数据中心] 《云数据中心网络架构与技术》读书笔记 第八章 构建云数据中心端到端安全
发布日期:2021-05-28 16:50:39
浏览次数:28
分类:技术文章
本文共 2088 字,大约阅读时间需要 6 分钟。
8.1 云数据中心面临的安全挑战
因为云化和SDN化的网络特点(网元出现的位置随意性更大,出现和消失的时间不定):
首先会导致安全业务开通周期长; 其次SDN的自动化能力是现在安全业务所不能达到的,很多安全业务需要手动配置; 最后,为了应对突发流量,数据中心部署了大量冗余的安全设备,造成资源浪费。 安全边界变得模糊: 基于边界的安全防护无法有效工作 可能会出现数据中心内部虚拟机被劫持后发动的攻击 无法防范APT(高级持续性威胁) 安全管理和安全运维复杂化 无法感知应用 安全策略数量庞大,且执行分区域,无法宏观防护 日志格式不统一,安全威胁调查响应速度慢8.2 云数据中心的安全架构
8.2.1 安全架构全景
云数据中心对安全的新要求:
- 对安全隔离提出了更高的要求
- 云内外访问资源需要更严格的控制访问
- 更加宏观的安全防护体系
- 以服务形式交付,满足按需部署和弹性扩缩
在架构中我们着重讲解一下红框中的内容,包括:
虚拟化安全中的安全组( Security Group) 网络安全 高级威胁检测防御 安全管理8.2.2 安全组件架构
应用层 安全应用统一编排,按需动态发放安全服务,安全应用再将该服务发送给控制器,最终由控制器下发给网络设备。 安全应用可以利用遥测数据,结合大数据和人工智能进行高级威胁检测,达到了全网防御和主动防御 控制层 即SDN控制器。可能采用网络控制器和安全控制器分开部署的方式。 网络控制器:除了提供网络业务编排和发放之外,还可以提供微分段和业务链的编排和发放,用户可以利用业务链将流量引导到安全设备,协同安全业务发放 安全控制器:提供IPSec,安全策略,Anti-DDoS,安全内容检测,地址转换等安全业务的编排,同时还可以和网络控制器协同全面感知威胁 转发层 网络设备提供诸如ACL,安全组,微分段等网络安全功能,结合安全设备,两者可以实现数据中心边界安全防护,租户边界和租户内的安全防护8.3 云数据中心的安全方案价值
1.安全资源池化,配置全面自动化
创建东西向业务的防火墙资源池
创建南北向业务的防火墙资源池 防火墙资源池可以弹性伸缩,高效可靠部署 租户间的安全业务可以相互隔离,并实现自动化配置2.丰富安全能力,按层次联防
**各类防火墙安全能力:**安全策略,IPSec VPN加密,NAT策略,IPS,AV,URL过滤,DDoS攻防,ASPF(Application Specific Packet Filter,针对应用层的包过滤)
微分段:东西向流量安全管控 业务链:引流到多个安全业务功能节点,并安排引流的先后顺序 虚拟化层面的虚拟机隔离(利用安全组) 网络层面:- 边界部署专业Anti-DDos,针对应用层
- 边界部署IPS/IDS,APT攻击检测
- 多引擎虚拟检测技术,Hypervisor行为捕获。检测位置威胁
- 利用大数据和AI实现安全威胁的自学习检测
安全检测闭环:网络是安全分析的数据采集器,也是安全策略的执行器。
该闭环实现了全网协防,响应并隔离内部威胁,防止威胁扩散3.防御智能化,安全可视化,安全运维精简化
智能化
利用人工智能检测威胁,主动防御 可视化 全网安全态势感知:对各种安全信息进行汇总,然后分析决策 攻击路径可视:大数据分析关联威胁信息,便于攻击回溯和调查 统一化,简单化 多厂商统一,多类安全设备统一 传统精细化管理和基于业务场景的安全策略分层管理,拥有统一的入口 安全控制器可进行安全策略调优,简化安全策略运维8.4 云数据中心的安全方案
具体的技术细节
- 虚拟化安全
- 网络安全
- 高级威胁检测防御
- 边界安全
- 安全管理
8.4.1 虚拟化安全
虚拟机之间通过安全组实现安全控制和隔离
1.安全组
实现虚拟机之间的互访控制和隔离,可进行自定义安全隔离
通过对报文五元组的匹配来进行访问控制和隔离 安全规则支持随虚拟机动态迁移 从上面的模型来看,安全组具有以下几个特点:- 安全组是具有相同安全属性的VM/BM的抽象集合,以及它们的安全策略集合
- 每个安全组都包含出入方向的动作定义,类似于ACL的控制模型
- 同一个安全组内的成员默认互通
- 组内成员主动发起的南北向访问,默认允许互通
- 组外的主动访问需要白名单匹配
2.方案实现
实现分为两种,一种是Network Overlay,另外一种是Hybrid Overlay,
两种组网的含义请参考我的博客: 的6.3章节Network Overlay组网中:
- VM接入场景中,由云平台编排并向OVS发放有状态的IPtable,从而实现安全组
- BareMetal接入场景中,由云平台编排BM的安全组再通过SDN控制器转换为ACL策略下发到接入交换机上
Hybrid Overlay组网中:
由虚拟交换机替代了OVS
- VM接入场景中,由云平台接入安全组,再通过SDN向虚拟交换机发放安全组业务
- BareMetal接入场景中,与Network Overlay相同
8.4.2 网络安全
8.4.3 高级威胁检测防御
8.4.4 边界安全
8.4.5 安全管理
转载地址:https://blog.csdn.net/qq_33868661/article/details/115382574 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
不错!
[***.144.177.141]2024年11月13日 18时19分01秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
我的Linux系统开始学习的过程
2019-06-16
神经网络,机器学习公开课
2019-06-16
原创:WeZRender:微信小程序Canvas增强组件
2019-06-16
洛谷1095:守望者的逃离
2019-06-16
【PHP】Windows环境Hello World
2019-06-16
ThinkPHP32 MODULE_ALLOW_LIST 存在的bug 不生效
2019-06-16
luogu P1231 教辅的组成
2019-06-16
git三剑客笔记
2019-06-16
一个select 列子的思考
2019-06-16
XML和HTML中常用转义字符:
2019-06-16
Spring Cloud Eureka服务注册和获取
2019-06-16
强大的Linux Web面板Vesta
2019-06-16
“中文分词 关键词提取”的资料收集
2019-06-16
Oracle的优化器介绍
2019-06-16
Linux下的压缩解压缩命令详解
2019-06-16
maven官方库中没有oracle jdbc驱动的问题解决
2019-06-16
[Flex] 浅谈flex绘图函数
2019-06-16
四则运算
2019-06-16
pycharm安装模块方法
2019-06-16