您现在的位置:融合网首页 > 云计算 >

云计算虚拟化环境下的安全防护(2)

来源:比特网 作者:佚名 责任编辑:admin 发表时间:2012-01-14 20:45 
核心提示:VM之间产生新安全访问风险 和传统的安全防护不同,虚拟机环境下同一个服务器上不同的VM可能属于同一个物理VLAN内,如果相邻VM之间的流量交换不通过外部交换机,而是基于服务器内部的虚拟交换网络解决,此时在不可控

VM之间产生新安全访问风险

和传统的安全防护不同,虚拟机环境下同一个服务器上不同的VM可能属于同一个物理VLAN内,如果相邻VM之间的流量交换不通过外部交换机,而是基于服务器内部的虚拟交换网络解决,此时在不可控的情况下,网络管理员将面临两个新的安全问题:

1) 如何判断VM之间的二层流量交换是规则允许范围内的合法访问还是非法访问?

2) 更进一步,即使不同VM之间的流量允许交换,如何判断这些流量是否存在诸如针对应用层安全漏洞的网络攻击行为?

二、 虚拟化环境下安全防护的方法

在利用现有的经验模型解决好当前存在的普遍性安全威胁后,现阶段虚拟化环境下的安全防护还需要重点考虑VM之间的流量安全。分析流量的转发路径,我们可以将用户流量划分成纵向流量和横向流量两个维度,并基于每个维度的安全需求提供有针对性的解决方案。

1. 纵向流量的安全防护

这部分纵向流量包括从客户端到服务器侧的正常流量访问请求,以及不同VM之间的三层转发的流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层,我们也称之为纵向流量控制层。

一方面,这些流量的防护方式,和传统的数据中心的安全防护相比没有本质区别,用户可以直接借鉴原有经验进行。如防护的设备类型仍然是以防火墙和入侵防御系统等产品为主,在部署的方式上要求防火墙或入侵防御设备具备INLINE阻断安全攻击的能力,部署的位置可以旁挂在汇聚层或者是串接在核心层和汇聚层之间,同时对于设备的性能可扩展和稳定性等常规指标也完全适用。

另一方面,在虚拟化环境下的云安全部署,因为可能存在多租户*的服务模型,因此对于设备的虚拟化实现程度又有了更高的要求,除了常规的虚拟化实例进行转发隔离和安全策略独立配置外,还要求实现对于不同租户的独立的资源管理配置和策略管理.每个虚拟实例的管理员可以随时监控、调整本租户的策略的配置实现情况等。这些新的技术要求,对于虚拟化环境下的纵向流量防护有着重要的影响。

2. 横向流量安全防护

VM之间的横向流量安全是在虚拟化环境下产生的特有问题,在这种情况下,同一个服务器的不同VM之间的流量将直接在服务器内部实现交换,导致外层网络安全管理员无法对这些流量进行监控或者实施各种高级安全策略如防火墙规则或者入侵防御规则。

在服务器的虚拟化过程中,以VMware为代表的虚拟化厂商,通过在服务器Hypervisor层集成vSwitch虚拟交换机特性,也可以实现一些基本的访问允许或拒绝规则,但是并没有也很难集成更高级的安全检测防护引擎,以实现VM之间的流量漏洞攻击的行为检测。要做到更深度的安全检测,目前主要有两种技术方式:基于虚拟机的安全服务模型,以及利用EVB技术实现流量重定向的安全检测。(责任编辑:admin)

  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

今日头条

更多>>

热门关键字

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号