• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      IDC虛擬化安全防護(hù)技術(shù)應(yīng)用研究

      2019-03-30 03:30:00唐建軍劉帥辰
      中國新通信 2019年24期

      唐建軍 劉帥辰

      【摘要】? ? 近年來,虛擬化技術(shù)已普遍應(yīng)用于各運(yùn)營商,尤其是IDC資源應(yīng)用較廣多,但目前虛擬化資源池安全防護(hù)主要靠傳統(tǒng)監(jiān)控與防護(hù)手段,難以發(fā)現(xiàn)云資源池中惡意網(wǎng)絡(luò)行為,缺乏發(fā)現(xiàn)與監(jiān)控可疑行為的能力,同時工信部及國家對運(yùn)營商互聯(lián)網(wǎng)接入業(yè)務(wù)的各種考核要求越來越多。為了有效落實(shí)各項(xiàng)考核要求,有效解決虛擬化安全防護(hù),本文結(jié)合虛擬化系統(tǒng)特點(diǎn),提出了相關(guān)虛擬化導(dǎo)流、虛擬安全產(chǎn)品部署技術(shù)及實(shí)際案例,旨在提升運(yùn)營商安全監(jiān)管能力,進(jìn)一步鞏固和提升用戶占有率。

      【關(guān)鍵詞】? ? Hypervisor? ? 云安全? ? 虛擬化導(dǎo)流

      引言:隨著云計(jì)算的廣泛應(yīng)用,作為其核心技術(shù)的虛擬化技術(shù)的安全性也成為了業(yè)界關(guān)注的焦點(diǎn)問題。在云環(huán)境下,流量的南北向和東西向較為明顯,傳統(tǒng)的安全設(shè)備可對南北向流量進(jìn)行防護(hù),卻難以對東西向流量起作用。IDC虛擬資源池通常借助于防火墻等傳統(tǒng)安全設(shè)備做出口接入控制和邊界防護(hù),缺乏深入到云內(nèi)的應(yīng)用層安全措施,租戶缺乏安全接入管控和接入業(yè)務(wù)審計(jì),無法有效應(yīng)對來自互聯(lián)網(wǎng)側(cè)和云平臺上不同租戶之間的惡意掃描、DDOS攻擊、SQL注入、病毒木馬、及基于各種漏洞的入侵等行為。

      一、防護(hù)方法與技術(shù)

      1.1? 虛擬化導(dǎo)流技術(shù)

      虛擬化導(dǎo)流技術(shù)包括策略控制中心和導(dǎo)流虛擬機(jī)。策略控制中心是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的管理控制中心,也是系統(tǒng)和用戶的交互界面。用戶通過策略控制中提供的交互界面可以從vCenter、ESXi中獲取信息,可以向系統(tǒng)添加和管理網(wǎng)絡(luò)安全設(shè)備;通過策略控制中心還可以劃分和管理虛擬安全域,制定和下方安全域?qū)Я鞑呗?,查看?dǎo)流虛擬機(jī)的統(tǒng)計(jì)信息等。

      導(dǎo)流虛擬機(jī)是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的數(shù)據(jù)報(bào)文處理組件。導(dǎo)流虛擬機(jī)接收來自策略控制中心下發(fā)的虛擬安全域策略;從虛擬交換機(jī)中抓取網(wǎng)絡(luò)報(bào)文,依據(jù)策略對報(bào)文進(jìn)行過濾,并將報(bào)文轉(zhuǎn)發(fā)到指定的目標(biāo)位置;導(dǎo)流虛擬機(jī)接收策略中心的控制,并向策略中心反饋統(tǒng)計(jì)信息。

      (1)通過端口組配置VLAN隔離方式導(dǎo)流

      由于虛擬交換機(jī)的VLAN端口組有獨(dú)立的VLAN域,因此不同VLAN端口組在交換機(jī)的二層上是隔離的,即在不同VLAN端口組之間是不能互聯(lián)互通。

      (2)通過VDS端口鏡像抓取東西向流量

      配置VDS端口鏡像抓取流量時,只需要在配置時選擇要鏡像流量的源虛機(jī)(VM1、VM2…)和目的虛機(jī)端口(VTAP),不需要開啟虛擬交換機(jī)端口組的混雜模式,因此VTAP導(dǎo)流虛機(jī)發(fā)送出去的隧道報(bào)文不會再被抓取回來,不會形成流量環(huán)。

      (3)使用VEPA鏡像導(dǎo)流

      采用刀框交換板將特定網(wǎng)口流量進(jìn)行鏡像配置,發(fā)送到交換面板另外一個網(wǎng)口,該網(wǎng)口與VEPA控制中心直連,或者該網(wǎng)口直接連接到SDN交換機(jī),通過虛擬化威脅檢測系統(tǒng)進(jìn)行流量獲取并匯總分析。

      1.2? 虛擬化安全產(chǎn)品技術(shù)

      虛擬化安全產(chǎn)品將傳統(tǒng)安全產(chǎn)品的眾多產(chǎn)品的功能,例如:入侵防御IPS系統(tǒng), WEB應(yīng)用安全網(wǎng)關(guān),數(shù)據(jù)庫審計(jì)系統(tǒng)等,通過虛擬化部署的方式,實(shí)現(xiàn)對虛擬化中數(shù)據(jù)流的安全監(jiān)測、檢測與防護(hù)。在虛擬化安全管理平臺中,可實(shí)現(xiàn)多種類型的檢測產(chǎn)品、審計(jì)產(chǎn)品、網(wǎng)關(guān)產(chǎn)品集中部署與管理。

      二、實(shí)施方案

      3.1? 建設(shè)思路

      (1)建設(shè)獨(dú)立的虛擬化安全平臺

      構(gòu)建獨(dú)立的虛擬化安全平臺,將安全能力軟件化,將虛擬化安全構(gòu)建為平臺化。虛擬化安全獨(dú)立于云資源池部署,實(shí)現(xiàn)虛擬化安全與業(yè)務(wù)資源池的弱耦合,保證云平臺升級切換時,安全不受影響。

      (2)實(shí)現(xiàn)流量分布式采集

      根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和平臺軟件部署的應(yīng)用特點(diǎn),應(yīng)采用“流量分布式采集、安全虛擬化自主分流”的方式。

      (3)實(shí)現(xiàn)虛擬環(huán)境的安全域流量可視化

      展現(xiàn)虛擬安全域的網(wǎng)絡(luò)流連接情況,使得網(wǎng)絡(luò)安全管理人員可以從不同層次查看虛擬安全域的IP資產(chǎn)情況,資產(chǎn)之間的實(shí)際流量連接關(guān)系拓?fù)涞取?/p>

      (4)實(shí)現(xiàn)虛擬化環(huán)境流量的入侵檢測

      對虛擬流量中的病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等威脅進(jìn)行檢測能力,防止利用虛擬機(jī)被作為攻擊跳板的行為。

      (5)實(shí)現(xiàn)虛擬化環(huán)境流量的數(shù)據(jù)庫行為審計(jì)

      對虛擬化環(huán)境下的網(wǎng)絡(luò)操作行為和數(shù)據(jù)庫操作行為進(jìn)行解析、分析、記錄、匯報(bào),用來幫助用戶事前規(guī)劃預(yù)防,事中實(shí)時監(jiān)視、違規(guī)行為響應(yīng),事后合規(guī)報(bào)告、事故追蹤溯源,促進(jìn)核心資產(chǎn)數(shù)據(jù)庫、服務(wù)器等的正常運(yùn)營。

      3.2? 網(wǎng)絡(luò)實(shí)施

      IDC虛擬化安全平臺與云平臺之間采用虛擬導(dǎo)流技術(shù)將流量導(dǎo)出。流量經(jīng)流轉(zhuǎn)發(fā)平臺編排后,以租戶為區(qū)分交付給虛擬化安全里的各類安全單元,由各安全單元對流量進(jìn)行分析處理,實(shí)現(xiàn)東西向流量安全防護(hù)與可視化。部署結(jié)構(gòu)簡化如下圖1。

      流轉(zhuǎn)發(fā)平臺的流量交付有兩種模型:流量的負(fù)載分擔(dān)和流量的復(fù)制。流量的負(fù)載分擔(dān),是可將流量基于IP進(jìn)行分流,分配至不同的網(wǎng)絡(luò)接口,通??捎糜趯⒋罅髁糠纸鉃樾×髁浚啥鄠€低性能安全組件共同處理大流量的場景;流量的復(fù)制,是流調(diào)度平臺可將流量復(fù)制多份到多個網(wǎng)絡(luò)接口,通??捎糜趯⒘髁繌?fù)制給多個安全組件,同時進(jìn)行對流量的多維度分析的場景。

      3.3? 云資源池流量牽引

      通過云導(dǎo)流系統(tǒng)將需要監(jiān)控的流量從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到物理安全設(shè)備中,具體的安全業(yè)務(wù)邏輯由物理安全設(shè)備來處理。這種方式對用戶業(yè)務(wù)和網(wǎng)絡(luò)影響小;用物理安全設(shè)備處理安全業(yè)務(wù)可以獲取極高的性能,只需要占用少量的虛擬化資源即可。

      云導(dǎo)流系統(tǒng)是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的數(shù)據(jù)報(bào)文處理組件。云導(dǎo)流系統(tǒng)本質(zhì)是一臺具有特殊功能的虛擬機(jī)。云導(dǎo)流系統(tǒng)接收來自策略控制中心下發(fā)的虛擬安全域策略,從虛擬交換機(jī)中抓取網(wǎng)絡(luò)報(bào)文,依據(jù)策略對報(bào)文進(jìn)行過濾,并將報(bào)文轉(zhuǎn)發(fā)到指定的目標(biāo)位置;云導(dǎo)流系統(tǒng)接收策略中心的控制,并向策略中心反饋統(tǒng)計(jì)信息。當(dāng)有虛擬機(jī)遷移時,與虛機(jī)配套的安全策略將先于虛機(jī)復(fù)制到目的導(dǎo)流虛機(jī)中,保障虛機(jī)遷移前后的策略一致。

      通過虛擬導(dǎo)流器,將需要監(jiān)控的流量分流到虛擬化安全平臺中,安全平臺系統(tǒng)部署快捷簡單,需要占用少量的虛擬化資源即可??梢栽诎踩脚_上根據(jù)需求以軟件形態(tài)實(shí)現(xiàn)Floweye、IDS及審計(jì)類等產(chǎn)品。

      四、結(jié)束語

      目前所有已建的IDC虛擬化資源池,基本上采用物理常規(guī)安全產(chǎn)品,沒有專業(yè)的虛擬化安全檢測、審計(jì)產(chǎn)品,缺乏云資源池實(shí)時監(jiān)控與防護(hù)技術(shù)手段,不能發(fā)現(xiàn)云資源池中惡意網(wǎng)絡(luò)行為,缺乏實(shí)現(xiàn)發(fā)現(xiàn)與監(jiān)控可疑行為的能力。本系統(tǒng)建設(shè)后,有效補(bǔ)充云資源池安全防護(hù)手段,提高發(fā)現(xiàn)和處理能力,對滿足國家三級等保要求,做好網(wǎng)絡(luò)信息安全保障工作有重要意義。

      參? 考? 文? 獻(xiàn)

      [1] 王笑帝,張?jiān)朴? 劉鏑等. 云計(jì)算虛擬化安全技術(shù)研究[J].電信科學(xué),2015154

      [2] 宮月,李超,吳薇. 虛擬化安全技術(shù)研究[J]. 信息網(wǎng)絡(luò)安全,2016(9):73-78.

      唐建軍(1980.04.24—),男,漢族,新疆人,研究生(碩士),通信工程師? 現(xiàn)任職務(wù):通信咨詢設(shè)計(jì)師,研究方向:網(wǎng)絡(luò)與信息安全

      劉帥辰(1984.03.02—),男,漢族,新疆人,本科,助理工程師? 現(xiàn)任職務(wù):通信咨詢設(shè)計(jì)師,研究方向:IT支撐網(wǎng)、核心網(wǎng)

      耿马| 和林格尔县| 南郑县| 华亭县| 波密县| 涞源县| 方正县| 含山县| 吉安市| 汽车| 张北县| 法库县| 盘山县| 故城县| 法库县| 拉萨市| 塔城市| 惠安县| 枞阳县| 祁东县| 阜平县| 朝阳市| 连云港市| 汽车| 纳雍县| 太仓市| 肃宁县| 江城| 南部县| 曲周县| 博白县| 南宫市| 田林县| 柯坪县| 仁怀市| 静安区| 韶山市| 汕头市| 秦安县| 京山县| 临澧县|