“私有云”安全“过渡”时期-“云朵”
平台,或者是得到了厂家的底层安全API接口,如VMware的VMSafe接口,你可以利用接口插入自己的安全代码,对虚拟机上的流量进行安全检查与控制。
这种方式直接在虚拟化平台的底层hypervisor上控制用户数据流,有些象我们所理解的操作系统分为内核态与用户态,黑客要突破hypervisor到内核层是比较困难的,想绕过这种安全监控也是十分困难的。
第二种情况是得不到虚拟化平台的底层接口,或者是希望通过第三方的安全控制措施,用户才放心(虚拟化平台自己管理、自己控制的安全,总让人有些疑惑)。这种方式是目前安全厂家流行的流量牵引的安全控制措施。
实现的思路是利用SDN技术中的流量牵引控制协议openflow,引导用户业务流量按照规定的安全策略流向,结合安全产品的虚拟化技术,建立防火墙、入侵检测、用户行为审计、病毒过滤等资源池,在用户申请虚拟机资源时,随着计算资源、存储资源一起下发给用户,保证用户业务的安全。
实现的步骤大致如下:
1.对安全资源虚拟池化:先对安全设备进行“多到一”的虚拟化,形成一个虚拟的、逻辑的、高处理能力的安全设备,如虚拟防火墙、虚拟入侵检测等;再对虚拟的安全设备进行“一到多”的虚拟,生成用户定制的、处理能力匹配的虚拟安全设备;
2.部署流量控制服务器:为流量控制管理的中心,接受并部署用户流量的安全策略,当用户业务虚拟机迁移时,负责流量牵引策略的迁移落地;该服务器可以是双机热备,提高系统安全性,也可以采用虚拟机模式。同时,在虚拟计算资源池内安装流量控制引擎:具体方法是在每个物理服务器内开一个虚拟机运行流量控制引擎,负责引导该物理服务器上所有虚拟机,按照安全策略进行流量的牵引;
3.用户业务流量的牵引分为两种模式:
a)镜像模式:针对入侵检测、行为审计等旁路接入的安全设备,需要把用户流量复制出来即可,不影响原先的用户业务流量;
b)控制模式:针对防火墙等安全网关类安全设备,需要把用户的流量先引导到安全设备虚拟化池中,“清洗”流量以后,再把流量引导到正常的业务处理虚拟机;
4.因为需要改变用户流量的流向,需要对目的MAC、目的IP进行修改。具体的方案很多,这里我们采用的是MAC in MAC技术,对数据包二次封装,经过安全设备处理以后的“安全流量”恢复到“正常”状态;在云朵中的物理交换机与虚拟交换机支持SDN模式时,也可以采用openflow协议进行导引时的封装;
5.当用户业务服务的虚拟机在不同的物理服务中迁移时,该用户业务的安全策略也随着迁移到目的物理服务内的流量控制虚拟机,继续执行对该用户的业务流量进行引导。
责任编辑:何健
-
曹志刚:我们期待风电成为中国的主力能源
2020-11-17风电,能源,主力能源 -
张钧:未来配电网内涵特征与发展框架研究
2020-11-03配电网,智能配电网,智能配电网建设研讨会 -
习近平:持续增强电力装备、新能源等领域的全产业链优势
2020-11-02电力装备,新能源,通信设备
-
曹志刚:我们期待风电成为中国的主力能源
2020-11-17风电,能源,主力能源 -
张钧:未来配电网内涵特征与发展框架研究
2020-11-03配电网,智能配电网,智能配电网建设研讨会 -
杜祥琬:创新观念,推动能源高质量发展
2020-09-28能源,创新,观点
-
PPT丨王继业:电力系统储能发展与挑战
2020-10-14储能,电力储能,储能应用 -
奋斗姿态书写人生底色 银隆储能“小哥哥”的职场进击姿势
2020-10-12银隆新能源,储能,新能源汽车 -
邹骥:通过发展清洁能源 提高中国公信力
2020-06-28邹骥,清洁能源,绿色低碳能源
-
习近平:持续增强电力装备、新能源等领域的全产业链优势
2020-11-02电力装备,新能源,通信设备 -
重磅 | 发改委发文7月起电价降5%
2020-06-29国家发改委,企业,用电成本,电费 -
李克强:放宽配售电业务市场准入 推动建立市场决定能源价格机制
2019-10-12配售电业务市场准入