首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >张礼立:如何应对网络虚拟化后的安全管理

张礼立:如何应对网络虚拟化后的安全管理

作者头像
企鹅号小编
发布2018-01-03 12:48:29
8050
发布2018-01-03 12:48:29
举报
文章被收录于专栏:企鹅号快讯企鹅号快讯

观察立

观察科技|分享共创

数据威胁,数据安全问题对每位CIO来说都是头等大事。因为泄密带来的最大噩梦就是自己公司敏感的内部数据落入到了竞争对手那里,这让高管们寝食难安,网络虚拟化则为该问题增加了新的挑战。数据丢失对于消费者和企业双方而言,都是非常严重的问题。我们应该在SDX的环境中如何提升安全管理?

下面图片来自互联网

文/张礼立

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

把网络虚拟化中心从用户网络接入、访问应用边界、计算环境和管理平台进行划分,构建起在安全管理中心支持下的可信通信网络、可信应用边界和可信计算环境三重安全防护框架。

网络虚拟化已经深刻地影响到了IT架构、业务系统部署方式,以及服务模式。形成了端(终端)、管(管道)、云(云端)的IT架构。

业务系统和数据集中部署在云端,即云数据中心的资源池内。这有利于统一的数据安全保护和业务系统的统一部署、管理,可提升IT资源利用率,降低成本和资源消耗。同时,移动互联网络、4/5G技术的发展极大地拓宽了管道的宽度,为更加丰富的终端的接入提供了良好条件。

在终端侧,对终端设备的性能、规格要求更加宽泛,终端类型也在不断丰富,尤其各类移动终端使得终端用户可更灵活地、随时随地地享用云端各类服务。

“端、管、云”的新型模式,可以让用户快速、弹性、按需、随时随地地获取到IT资源和服务,实现IT即服务的转变,是重要的一次信息化变革。但这种新型的IT架构,也带来了新的安全问题和安全上的需求。

安全需求,网络虚拟化中心(云端),针对网络虚拟化中心区域边界、计算环境、虚拟化环境,网络虚拟化中心综合采用身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施,能够实现业务应用的可用性、完整性和保密性保护。

云数据安全建设,依据客户实际需求和相关安全合规标准,能够进行数据创建、传输、存储、使用、共享和销毁在内的全生命周期的云环境下的数据安全设计,以及数据安全体系建设。为保障用户数据在云环境下的安全使用,有必要保护云环境中的数据的机密性、可用性、完整性。

云计算环境下的等保安全防护,网络虚拟化从安全域的角度,可分为安全计算域、安全网络域和安全管理域。安全计算域是相同安全保护等级的物理主机/服务器的集合,安全网络域是由通信网络和接入网络构成。安全管理域是对整体网络虚拟化中安全事件收集和管控报警的系统平台。

网络虚拟化计算环境安全,网络虚拟化计算环境包含私有云安全计算域、公共云安全计算域。其中私有云安全计算域是进行安全设备部署的重点,可采取的安全措施主要包括:4A系统、虚拟安全网关、主机加固和加密机等设备和手段。公共云安全计算域,应采取基础平台安全审查、评定,托管镜像加密和租用应用加固的安全措施,以保障扩散到公共云平台上的资源、数据的安全可靠。

网络虚拟化边界安全,网络虚拟化边界环境由物理的接入网络边界和虚拟化网络边界组成,物理网络接入边界的防护,采取传统安全网关即可。针对虚拟化平台中,必须在虚拟平台中部署虚拟安全网关以进行虚拟安全边界防护。

网络虚拟化通信网络安全,在网络虚拟化环境下,通信网络包括传统网络和虚拟网络两部分。对于从外部网络接入网络虚拟化中心的通信网络,应借助于网络接入边界处部署的V**设备来实现SSL、IPSEC的安全隧道通信;在网络虚拟化平台节点内部的虚拟网络,可通过部署在虚拟化平台内部的V**组件来实现其安全隧道功能。

网络虚拟化安全管理中心,网络虚拟化环境安全管理中心对私有云和公共云中的所属资产、资源的运行状况,以及相关行为、安全事件、安全预警等必须进行集中监管。通过SNMP、Syslog、ODBC、API等协议接口和数据文件,进行综合分析以形成安全报表和整体安全态势报告。使得安全风险可视化、风险告警全面化和风险处置专业化,以便实现安全风险集中化管控。

网络虚拟化的高速发展,需要有等级保护措施来提供基本保障。现有的许多等级保护建议和方案主要针对的是独立的云环境。此处阐述了网络虚拟化环境下等级保护所面临的挑战,指出了当前云环境的等级保护现状和不足,提出了面向等级保护要求的网络虚拟化安全方案,并从可行性、适用性、合规性等方面进行了方案分析,为网络虚拟化安全建设提供了很好的参考意见。随着网络虚拟化技术和市场的发展,面向网络虚拟化环境下的等级保护工作需要进一步深入研究,相应的等级保护规范也需要进行动态调整。

欢迎关注张礼立博士个人公共号【观察立】微信号 : lzview

张礼立简介

博士、上海市海外经济技术促进会秘书长,浦江学术委员会学术委员兼秘书长、中国青年企业家协会理事、中国人民大学CIO研究中心研究员、上海市侨联青年委员会常务理事、上海信息化中心专家成员、上海市浦东新区智慧城市研究院研究员、盘古智库学术委员,智慧城市研究中心副主任兼秘书长、中国人工智能学会智慧能源专委会委员。著有《IT服务管理新论-中国式智慧和西方文化整合的研究》、《大数据时代的云计算敏捷红利》、《软件定义世界》、《智能制造创新转型之路》等。2016年中国信息产业年度经济人物、上海市侨联十大侨青创新之星。

本文来自企鹅号 - 观察立媒体

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文来自企鹅号 - 观察立媒体

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
腾讯云 BI
腾讯云 BI(Business Intelligence,BI)提供从数据源接入、数据建模到数据可视化分析全流程的BI能力,帮助经营者快速获取决策数据依据。系统采用敏捷自助式设计,使用者仅需通过简单拖拽即可完成原本复杂的报表开发过程,并支持报表的分享、推送等企业协作场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档