日前,汉柏科技公布了全球首款基于混合云信息安全防水的整体解决方案--云眼,它不仅是我国首款专心于云网络无死角安全性防水的解决方案,同时也是汉柏具备几乎自律知识产权的云计算安全性产品。 云眼,这样一个基于云计算安全性市场需求而问世的全新云网络安全防水解决方案,不具备什么样的特点?首先,让我们从风险与防水两个层面,对云眼做到一个深入浅出的理解。 云网络不存在的安全性风险隐患 对云网络安全防水供应商和网络平台来说,在安全性防水方面都会牵涉到到租户Project之间的网络安全、租户Project内部的网络安全及租户Project与云外会晤的网络安全问题,从而必要面临传统的网络风险、同一节点的虚机东西向采访流量不出有节点带给的安全隐患、有所不同租户的内部网络有可能是重合的,多租户没安全性隔绝等安全性风险隐患。 云眼打造出全方位云网络防水解决方案 多租户安全性隔绝 多租户技术是一种软件架构技术,它是在探究与构建如何在多用户的环境下共用完全相同的系统或程序组件,并且仍可保证各用户间数据的隔绝性。
整体来说它包括在局域网基于Vlan辨识和隔绝租户、在广域网基于MPLS辨识和隔绝租户的传统网络辨识与隔绝;利用TRILL技术建构大二层网络,TRILLID标识租户的隔绝;利用VXLAN或NVGRE建构一个横跨三层的大二层网络,VXLAN或NVGRE网络标识符VNI标识租户与隔绝的三个多租户辨识技术。 同一节点内部东西向流量安全性防水 方案1:软件竖井与回注 在Hypervisor层嵌入重定向软件模块,凡是在同一个物理节点内部的虚机之间二层采访流量,再行引进到虚拟机vFW、vIPS、vDPI、vAV中展开检查。
此时可以根据市场需求将有所不同的VM区分到有所不同的安全性域,并配备各种安全性域间隔绝和会晤的策略。 方案2:硬件竖井与回注▲硬件竖井与回注 通过VEPA等技术构建将这些流量引进到外部的交换机。在终端交换机发送这些流量之前,可以通过镜像或者重定向等技术,将流量再行引进到专业的安全设备展开深度报文检查、安全策略配备或是容许/拒绝接受其采访。
租户内部的网络安全防水 租户内部的网络多数情况下是横跨节点的,同时大多是二层网络结构(不回避也有三层网络结构,但是考虑到横跨数据中心的虚机迁入等问题,大多数情况下还是使用大二层网络结构)。 汉柏云安全系统根据自身获取的解决方案特点,建构了如下右图的租户Project内部的网络部署逻辑结构:▲租户内部网络安全防水 每个计算出来节点上运营一个vRouter(即securityagent),计算出来节点之间创建VXLAN或MPLSoverUDP隧道,服务节点通过服务链机制重新加入到有所不同安全性区域VN之间获取安全性防水。同时,虚拟世界网络VN内部和虚拟世界网络VN之间的网络安全问题,均可通过服务链来解决问题。
▲服务链运行机制 云网络南北向流量安全性防水 横向流量的防水,与传统的防水没过于大差异。但横向流量不存在多租户的概念,则对安全性也明确提出了市场需求,需要构建基于租户的安全性防水。▲云网络边界安全性防水 云眼安全性云服务底层技术依然是使用基于租户实行安全性防水,只不过将安全性防水特性作为服务以云方式对租户获取,可以构建云网络南北向流量安全性防水。
本文来源:南方双彩-www.jiawanghui.com
Copyright © 2001-2024 www.jiawanghui.com. 南方双彩科技 版权所有备案号:ICP备69637241号-7网站地图