张礼立:如何应对网络虚拟化后的安全管理

观察立

观察科技|分享共创

数据威胁,数据安全问题对每位CIO来说都是头等大事。因为泄密带来的最大噩梦就是自己公司敏感的内部数据落入到了竞争对手那里,这让高管们寝食难安,网络虚拟化则为该问题增加了新的挑战。数据丢失对于消费者和企业双方而言,都是非常严重的问题。我们应该在SDX的环境中如何提升安全管理?

下面图片来自互联网

文/张礼立

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

把网络虚拟化中心从用户网络接入、访问应用边界、计算环境和管理平台进行划分,构建起在安全管理中心支持下的可信通信网络、可信应用边界和可信计算环境三重安全防护框架。

网络虚拟化已经深刻地影响到了IT架构、业务系统部署方式,以及服务模式。形成了端(终端)、管(管道)、云(云端)的IT架构。

业务系统和数据集中部署在云端,即云数据中心的资源池内。这有利于统一的数据安全保护和业务系统的统一部署、管理,可提升IT资源利用率,降低成本和资源消耗。同时,移动互联网络、4/5G技术的发展极大地拓宽了管道的宽度,为更加丰富的终端的接入提供了良好条件。

在终端侧,对终端设备的性能、规格要求更加宽泛,终端类型也在不断丰富,尤其各类移动终端使得终端用户可更灵活地、随时随地地享用云端各类服务。

“端、管、云”的新型模式,可以让用户快速、弹性、按需、随时随地地获取到IT资源和服务,实现IT即服务的转变,是重要的一次信息化变革。但这种新型的IT架构,也带来了新的安全问题和安全上的需求。

安全需求,网络虚拟化中心(云端),针对网络虚拟化中心区域边界、计算环境、虚拟化环境,网络虚拟化中心综合采用身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施,能够实现业务应用的可用性、完整性和保密性保护。

云数据安全建设,依据客户实际需求和相关安全合规标准,能够进行数据创建、传输、存储、使用、共享和销毁在内的全生命周期的云环境下的数据安全设计,以及数据安全体系建设。为保障用户数据在云环境下的安全使用,有必要保护云环境中的数据的机密性、可用性、完整性。

云计算环境下的等保安全防护,网络虚拟化从安全域的角度,可分为安全计算域、安全网络域和安全管理域。安全计算域是相同安全保护等级的物理主机/服务器的集合,安全网络域是由通信网络和接入网络构成。安全管理域是对整体网络虚拟化中安全事件收集和管控报警的系统平台。

网络虚拟化计算环境安全,网络虚拟化计算环境包含私有云安全计算域、公共云安全计算域。其中私有云安全计算域是进行安全设备部署的重点,可采取的安全措施主要包括:4A系统、虚拟安全网关、主机加固和加密机等设备和手段。公共云安全计算域,应采取基础平台安全审查、评定,托管镜像加密和租用应用加固的安全措施,以保障扩散到公共云平台上的资源、数据的安全可靠。

网络虚拟化边界安全,网络虚拟化边界环境由物理的接入网络边界和虚拟化网络边界组成,物理网络接入边界的防护,采取传统安全网关即可。针对虚拟化平台中,必须在虚拟平台中部署虚拟安全网关以进行虚拟安全边界防护。

网络虚拟化通信网络安全,在网络虚拟化环境下,通信网络包括传统网络和虚拟网络两部分。对于从外部网络接入网络虚拟化中心的通信网络,应借助于网络接入边界处部署的VPN设备来实现SSL、IPSEC的安全隧道通信;在网络虚拟化平台节点内部的虚拟网络,可通过部署在虚拟化平台内部的VPN组件来实现其安全隧道功能。

网络虚拟化安全管理中心,网络虚拟化环境安全管理中心对私有云和公共云中的所属资产、资源的运行状况,以及相关行为、安全事件、安全预警等必须进行集中监管。通过SNMP、Syslog、ODBC、API等协议接口和数据文件,进行综合分析以形成安全报表和整体安全态势报告。使得安全风险可视化、风险告警全面化和风险处置专业化,以便实现安全风险集中化管控。

网络虚拟化的高速发展,需要有等级保护措施来提供基本保障。现有的许多等级保护建议和方案主要针对的是独立的云环境。此处阐述了网络虚拟化环境下等级保护所面临的挑战,指出了当前云环境的等级保护现状和不足,提出了面向等级保护要求的网络虚拟化安全方案,并从可行性、适用性、合规性等方面进行了方案分析,为网络虚拟化安全建设提供了很好的参考意见。随着网络虚拟化技术和市场的发展,面向网络虚拟化环境下的等级保护工作需要进一步深入研究,相应的等级保护规范也需要进行动态调整。

欢迎关注张礼立博士个人公共号【观察立】微信号 : lzview

张礼立简介

博士、上海市海外经济技术促进会秘书长,浦江学术委员会学术委员兼秘书长、中国青年企业家协会理事、中国人民大学CIO研究中心研究员、上海市侨联青年委员会常务理事、上海信息化中心专家成员、上海市浦东新区智慧城市研究院研究员、盘古智库学术委员,智慧城市研究中心副主任兼秘书长、中国人工智能学会智慧能源专委会委员。著有《IT服务管理新论-中国式智慧和西方文化整合的研究》、《大数据时代的云计算敏捷红利》、《软件定义世界》、《智能制造创新转型之路》等。2016年中国信息产业年度经济人物、上海市侨联十大侨青创新之星。

本文来自企鹅号 - 观察立媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏罗超频道

格局已定 360搜索难有新搞头

流量分析公司Hitwise 7月31日发布了国内搜索引擎的最新报告。报告透露了几个关键点:1. 百度与360搜索进一步蚕食其他搜索引擎份额,点击份额分别为73....

3705
来自专栏SDNLAB

SDN产业联盟与ONOS战略合作

4月22日,“2015中国SDN/NFV大会”在京举行。大会上SDN产业联盟与开源组织ONOS(Open Networking Operating System...

2566
来自专栏北京马哥教育

运维工程师的职责和前景

运维中关键技术点解剖:1 大量高并发网站的设计方案 ;2 高可靠、高可伸缩性网络架构设计;3 网站安全问题,如何避免被黑?4 南北互联问题,动态CDN解决方案;...

2905
来自专栏人称T客

2014我们不得不知的IT趋势:操作系统云端化将助推云业务普及

近几年来,云端运算的需求大增,多数企业开始自行打造云端服务,用公众云满足使用者移动存取的需要,或是用私有云提升内部操作效率,有的甚至透过混合云来移转所有的资源。...

3414
来自专栏程序员互动联盟

一名阿里测试架构师的八年从业经验分享

这两天和朋友谈到软件测试的发展,其实软件测试已经在不知不觉中发生了非常大的改变,前几年的软件测试行业还是一个风口,随着不断地转行人员以及毕业的大学生疯狂地涌入软...

1031
来自专栏云计算D1net

抢占云先机 Nutanix将网络规模带向企业

目前,数据中心正在发生一股颠覆性的力量,磁盘向闪存的演进,虚拟化服务器向虚拟化数据中心扩展,私有数据中心走向混合云,企业的大规模服务器采购转向部分消费。 传统存...

3428
来自专栏服务端技术杂谈

规划驱动架构和故障驱动架构

前者更能体现出架构师在业务角度和技术角度的前瞻性能力,后者多是出现在业务高速发展阶段,大部分时间只能疲于应付吧。

722
来自专栏BestSDK

2016,APP开发者必须关注的新技术

编辑导语 元宵过完,2015年就彻底结束啦。对于永远需要孜孜不倦学习的开发者来说,必须随时关注业内最新推出的新开发技术,否则落后一步,就得步步落后,本文就来数一...

26710
来自专栏Rainbond开源「容器云平台」

好雨与SpeedyCloud迅达云促成战略合作,深耕云服务领域,驱动云时代变革

1104
来自专栏程序员互动联盟

【专业技术】啥叫云计算?

云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的...

36510

扫码关注云+社区