张礼立:如何应对网络虚拟化后的安全管理

观察立

观察科技|分享共创

数据威胁,数据安全问题对每位CIO来说都是头等大事。因为泄密带来的最大噩梦就是自己公司敏感的内部数据落入到了竞争对手那里,这让高管们寝食难安,网络虚拟化则为该问题增加了新的挑战。数据丢失对于消费者和企业双方而言,都是非常严重的问题。我们应该在SDX的环境中如何提升安全管理?

下面图片来自互联网

文/张礼立

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

在网络虚拟化安全保障中,仅仅采用传统的安全技术是不够的,虚拟化带来了新的安全风险。当前,因网络虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

把网络虚拟化中心从用户网络接入、访问应用边界、计算环境和管理平台进行划分,构建起在安全管理中心支持下的可信通信网络、可信应用边界和可信计算环境三重安全防护框架。

网络虚拟化已经深刻地影响到了IT架构、业务系统部署方式,以及服务模式。形成了端(终端)、管(管道)、云(云端)的IT架构。

业务系统和数据集中部署在云端,即云数据中心的资源池内。这有利于统一的数据安全保护和业务系统的统一部署、管理,可提升IT资源利用率,降低成本和资源消耗。同时,移动互联网络、4/5G技术的发展极大地拓宽了管道的宽度,为更加丰富的终端的接入提供了良好条件。

在终端侧,对终端设备的性能、规格要求更加宽泛,终端类型也在不断丰富,尤其各类移动终端使得终端用户可更灵活地、随时随地地享用云端各类服务。

“端、管、云”的新型模式,可以让用户快速、弹性、按需、随时随地地获取到IT资源和服务,实现IT即服务的转变,是重要的一次信息化变革。但这种新型的IT架构,也带来了新的安全问题和安全上的需求。

安全需求,网络虚拟化中心(云端),针对网络虚拟化中心区域边界、计算环境、虚拟化环境,网络虚拟化中心综合采用身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施,能够实现业务应用的可用性、完整性和保密性保护。

云数据安全建设,依据客户实际需求和相关安全合规标准,能够进行数据创建、传输、存储、使用、共享和销毁在内的全生命周期的云环境下的数据安全设计,以及数据安全体系建设。为保障用户数据在云环境下的安全使用,有必要保护云环境中的数据的机密性、可用性、完整性。

云计算环境下的等保安全防护,网络虚拟化从安全域的角度,可分为安全计算域、安全网络域和安全管理域。安全计算域是相同安全保护等级的物理主机/服务器的集合,安全网络域是由通信网络和接入网络构成。安全管理域是对整体网络虚拟化中安全事件收集和管控报警的系统平台。

网络虚拟化计算环境安全,网络虚拟化计算环境包含私有云安全计算域、公共云安全计算域。其中私有云安全计算域是进行安全设备部署的重点,可采取的安全措施主要包括:4A系统、虚拟安全网关、主机加固和加密机等设备和手段。公共云安全计算域,应采取基础平台安全审查、评定,托管镜像加密和租用应用加固的安全措施,以保障扩散到公共云平台上的资源、数据的安全可靠。

网络虚拟化边界安全,网络虚拟化边界环境由物理的接入网络边界和虚拟化网络边界组成,物理网络接入边界的防护,采取传统安全网关即可。针对虚拟化平台中,必须在虚拟平台中部署虚拟安全网关以进行虚拟安全边界防护。

网络虚拟化通信网络安全,在网络虚拟化环境下,通信网络包括传统网络和虚拟网络两部分。对于从外部网络接入网络虚拟化中心的通信网络,应借助于网络接入边界处部署的VPN设备来实现SSL、IPSEC的安全隧道通信;在网络虚拟化平台节点内部的虚拟网络,可通过部署在虚拟化平台内部的VPN组件来实现其安全隧道功能。

网络虚拟化安全管理中心,网络虚拟化环境安全管理中心对私有云和公共云中的所属资产、资源的运行状况,以及相关行为、安全事件、安全预警等必须进行集中监管。通过SNMP、Syslog、ODBC、API等协议接口和数据文件,进行综合分析以形成安全报表和整体安全态势报告。使得安全风险可视化、风险告警全面化和风险处置专业化,以便实现安全风险集中化管控。

网络虚拟化的高速发展,需要有等级保护措施来提供基本保障。现有的许多等级保护建议和方案主要针对的是独立的云环境。此处阐述了网络虚拟化环境下等级保护所面临的挑战,指出了当前云环境的等级保护现状和不足,提出了面向等级保护要求的网络虚拟化安全方案,并从可行性、适用性、合规性等方面进行了方案分析,为网络虚拟化安全建设提供了很好的参考意见。随着网络虚拟化技术和市场的发展,面向网络虚拟化环境下的等级保护工作需要进一步深入研究,相应的等级保护规范也需要进行动态调整。

欢迎关注张礼立博士个人公共号【观察立】微信号 : lzview

张礼立简介

博士、上海市海外经济技术促进会秘书长,浦江学术委员会学术委员兼秘书长、中国青年企业家协会理事、中国人民大学CIO研究中心研究员、上海市侨联青年委员会常务理事、上海信息化中心专家成员、上海市浦东新区智慧城市研究院研究员、盘古智库学术委员,智慧城市研究中心副主任兼秘书长、中国人工智能学会智慧能源专委会委员。著有《IT服务管理新论-中国式智慧和西方文化整合的研究》、《大数据时代的云计算敏捷红利》、《软件定义世界》、《智能制造创新转型之路》等。2016年中国信息产业年度经济人物、上海市侨联十大侨青创新之星。

本文来自企鹅号 - 观察立媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏JAVA高级架构开发

范冰冰欠了8.8亿的罚款,而你欠了88天的技术债

本文将比较IT人欠的技术债和范冰冰欠的巨额罚款的相同点和不同点,和对如何避免技术债提出三点建议。

1790
来自专栏测试开发架构之路

软件测试小白必读

软件测试作为一个行业繁荣发展,也只是近四五年的事情,相关培训也是雨后春笋,自2011年入行,看过太多人转行,看过一些人带着未知想入行,真真是围城里的人想出去,围...

4077
来自专栏人称T客

Gartner:十大安全发展趋势预测

关键词:安全,漏洞管理,数据,IDaaS,CASB,物联网 薄弱的内部代码、云环境下数据以及物联网将成为下一阶段攻击活动的主要对象。 IT 安全人员需要更好地...

4692
来自专栏云计算D1net

云的世界不只装得下中小企业,大企业需要的云服务是什么样的?

2013年前,国内零星出现的云计算大会让“云”这个陌生概念出现在科技媒体编辑们的笔下;2013年,云概念迎来小规模爆发,IaaS、PaaS和SaaS三层结构被更...

2897
来自专栏VRPinea

“双剑合璧”:微软欲将小娜和Alexa分别打造成生活和工作助手

1333
来自专栏人称T客

你知道全球50家SaaS领导企业是哪些吗?

T客汇 卿云 SaaS在最近几年风生水起 SaaS大潮还在继续。Gartner预计,2017年SaaS市场将比上年增长20%,2018年增长19%。初创公司...

3183
来自专栏知晓程序

王者荣耀上分不求人!有了这 4 款小程序,朋友都想找我开黑

然而,许多人虽然沉迷王者荣耀,左手行进右手大招忙着打野守塔,但却空有着王者的意识,日渐消瘦也不见段位改变,实在是令人扼腕痛惜!

932
来自专栏量子位

AI能为智能手机带来哪些惊喜?Gartner列了这十大应用

李杉 编译自 Gartner 量子位 出品 | 公众号 QbitAI ? 这两年的智能手机市场,已经被千篇一律的大触摸屏占据,但是美国市场研究公司Gartner...

3454
来自专栏企鹅号快讯

微信发布重磅更新!上线小游戏,小程序间可快速切换

12月28日,微信官方通过给用户推送的“小程序功能升级”的内容中提到:“为了帮助用户更便捷地使用小程序,微信在主界面新增了小程序任务栏的功能。小程序菜单进行了升...

2579
来自专栏BestSDK

一个极简SDK,即可让APP拥有直播功能

社交直播行业。声网Agora.io为陌陌、小米、脸萌等提供多人互动直播的服务,提升用户的粘性和社交活跃度,近期即将上线的大型群组直播,也能推动社交平台流量聚合。...

4639

扫码关注云+社区

领取腾讯云代金券