张礼立:如何应对网络虚拟化后的安全管理

观察立

观察科技|分享共创

数据威胁,数据安全问题对每位CIO来说都是头等大事。因为泄密带来的最大噩梦就是自己公司敏感的内部数据落入到了竞争对手那里,这让高管们寝食难安,网络虚拟化则为该问题增加了新的挑战。数据丢失对于消费者和企业双方而言,都是非常严重的问题。我们应该在SDX的环境中如何提升安全管理?

下面图片来自互联网

文/张礼立

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

把网络虚拟化中心从用户网络接入、访问应用边界、计算环境和管理平台进行划分,构建起在安全管理中心支持下的可信通信网络、可信应用边界和可信计算环境三重安全防护框架。

网络虚拟化已经深刻地影响到了IT架构、业务系统部署方式,以及服务模式。形成了端(终端)、管(管道)、云(云端)的IT架构。

业务系统和数据集中部署在云端,即云数据中心的资源池内。这有利于统一的数据安全保护和业务系统的统一部署、管理,可提升IT资源利用率,降低成本和资源消耗。同时,移动互联网络、4/5G技术的发展极大地拓宽了管道的宽度,为更加丰富的终端的接入提供了良好条件。

在终端侧,对终端设备的性能、规格要求更加宽泛,终端类型也在不断丰富,尤其各类移动终端使得终端用户可更灵活地、随时随地地享用云端各类服务。

“端、管、云”的新型模式,可以让用户快速、弹性、按需、随时随地地获取到IT资源和服务,实现IT即服务的转变,是重要的一次信息化变革。但这种新型的IT架构,也带来了新的安全问题和安全上的需求。

安全需求,网络虚拟化中心(云端),针对网络虚拟化中心区域边界、计算环境、虚拟化环境,网络虚拟化中心综合采用身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施,能够实现业务应用的可用性、完整性和保密性保护。

云数据安全建设,依据客户实际需求和相关安全合规标准,能够进行数据创建、传输、存储、使用、共享和销毁在内的全生命周期的云环境下的数据安全设计,以及数据安全体系建设。为保障用户数据在云环境下的安全使用,有必要保护云环境中的数据的机密性、可用性、完整性。

云计算环境下的等保安全防护,网络虚拟化从安全域的角度,可分为安全计算域、安全网络域和安全管理域。安全计算域是相同安全保护等级的物理主机/服务器的集合,安全网络域是由通信网络和接入网络构成。安全管理域是对整体网络虚拟化中安全事件收集和管控报警的系统平台。

网络虚拟化计算环境安全,网络虚拟化计算环境包含私有云安全计算域、公共云安全计算域。其中私有云安全计算域是进行安全设备部署的重点,可采取的安全措施主要包括:4A系统、虚拟安全网关、主机加固和加密机等设备和手段。公共云安全计算域,应采取基础平台安全审查、评定,托管镜像加密和租用应用加固的安全措施,以保障扩散到公共云平台上的资源、数据的安全可靠。

网络虚拟化边界安全,网络虚拟化边界环境由物理的接入网络边界和虚拟化网络边界组成,物理网络接入边界的防护,采取传统安全网关即可。针对虚拟化平台中,必须在虚拟平台中部署虚拟安全网关以进行虚拟安全边界防护。

网络虚拟化通信网络安全,在网络虚拟化环境下,通信网络包括传统网络和虚拟网络两部分。对于从外部网络接入网络虚拟化中心的通信网络,应借助于网络接入边界处部署的VPN设备来实现SSL、IPSEC的安全隧道通信;在网络虚拟化平台节点内部的虚拟网络,可通过部署在虚拟化平台内部的VPN组件来实现其安全隧道功能。

网络虚拟化安全管理中心,网络虚拟化环境安全管理中心对私有云和公共云中的所属资产、资源的运行状况,以及相关行为、安全事件、安全预警等必须进行集中监管。通过SNMP、Syslog、ODBC、API等协议接口和数据文件,进行综合分析以形成安全报表和整体安全态势报告。使得安全风险可视化、风险告警全面化和风险处置专业化,以便实现安全风险集中化管控。

网络虚拟化的高速发展,需要有等级保护措施来提供基本保障。现有的许多等级保护建议和方案主要针对的是独立的云环境。此处阐述了网络虚拟化环境下等级保护所面临的挑战,指出了当前云环境的等级保护现状和不足,提出了面向等级保护要求的网络虚拟化安全方案,并从可行性、适用性、合规性等方面进行了方案分析,为网络虚拟化安全建设提供了很好的参考意见。随着网络虚拟化技术和市场的发展,面向网络虚拟化环境下的等级保护工作需要进一步深入研究,相应的等级保护规范也需要进行动态调整。

欢迎关注张礼立博士个人公共号【观察立】微信号 : lzview

张礼立简介

博士、上海市海外经济技术促进会秘书长,浦江学术委员会学术委员兼秘书长、中国青年企业家协会理事、中国人民大学CIO研究中心研究员、上海市侨联青年委员会常务理事、上海信息化中心专家成员、上海市浦东新区智慧城市研究院研究员、盘古智库学术委员,智慧城市研究中心副主任兼秘书长、中国人工智能学会智慧能源专委会委员。著有《IT服务管理新论-中国式智慧和西方文化整合的研究》、《大数据时代的云计算敏捷红利》、《软件定义世界》、《智能制造创新转型之路》等。2016年中国信息产业年度经济人物、上海市侨联十大侨青创新之星。

本文来自企鹅号 - 观察立媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏鹅厂网事

腾讯服务器平台发展与创新简介

前言: 服务器是业务应用的载体,也是资源运营和系统运维的最小单位。服务器平台规划直接影响业务应用的效率和资源运营维护的效率以及IDC建设规划。因此服...

2055
来自专栏DevOps时代的专栏

从作坊到工厂 — 传统企业 DevOps 改造历程

? 作者介绍: 洪烨 资深DBA、数据中心架构师,培训讲师,Oracle YEP成员,拥有DB2 V9 Advanced Administrator、Orac...

36610
来自专栏云计算D1net

风起云涌的OpenStack离云计算还远

OpenStack有极高的人气,并且获得了传统厂商的支持。一时间风起云涌,部署了OpenStack就拥有了云平台,果真如此吗?OpenStack的“成功”是众多...

3266
来自专栏Linux Python 加油站

面试 Linux 运维工作至少需要知道哪些知识?

作者:defcon来源:马哥教育链接:https://mp.weixin.qq.com/s/ZocozTkCNViMAtZIr7C7ww前言我们已经发过不少 L...

1092
来自专栏北京马哥教育

运维工程师的职责和前景

运维中关键技术点解剖:1 大量高并发网站的设计方案 ;2 高可靠、高可伸缩性网络架构设计;3 网站安全问题,如何避免被黑?4 南北互联问题,动态CDN解决方案;...

2705
来自专栏云计算D1net

公有云?混合云?千亿市场的未来之路

根据研究公司 Gartner 发布的最新公有云研究报告。预计2015年全球公有云市场收入将达到1129 亿美元,复合年增长率为 18.5%。被纳入公有云市场空间...

3147
来自专栏EAWorld

面向微服务的企业云计算架构转型

? ? 大家好,我是焦烈焱,今天主要介绍普元利用云计算模式,帮助企业实施数字化转型过程中,在技术上遇到的挑战,以及我们解决问题的方法。 首先解释一下什么是数字...

3287
来自专栏SDNLAB

保护多云网络的挑战

当今的组织不仅积极地将他们的很多工作负载迁移到云端,而且很多组织正在向多云模式过渡。他们利用一个云服务提供商的特定功能,利用另一个服务提供商的位置或成本优势。与...

3329
来自专栏Cloud Native - 产品级敏捷

企业云存储团队在微服务生态系统下的敏捷分析,设计的工程实践

企业云存储团队,迈向微服务生态系统 在产品级敏捷的基础下,跨入微服务生态系统的第一步... 1. 以可视化,轻量级的工程实践,使架构师,开发骨干,测试人员可共同...

1789
来自专栏张善友的专栏

DevOps是云计算时代的开发与运营

DevOps(英文Development和Operations的组合)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA...

1885

扫码关注云+社区