欧美极品jizzhd欧美,91精品久久一区二区三区,欧美乱妇无乱码大黄a片,欧美日韩国产一区在线看

  對于企業(yè)來說，從現(xiàn)有的IT管理體系過渡到私有云平臺，大致經(jīng)歷了以下幾個過程：數(shù)據(jù)大集中、業(yè)務(wù)系統(tǒng)整合、IT資源的虛擬化、管理平臺的云化、應(yīng)用和服務(wù)的集成提供。私有云為企業(yè)各個業(yè)務(wù)部門提供統(tǒng)一服務(wù)，不僅僅包括計算資源、存儲資源、網(wǎng)絡(luò)資源，還應(yīng)該包括安全資源，如身份認(rèn)證、病毒查殺、入侵檢測、行為審計等，只分配了計算資源與存儲資源的系統(tǒng)，對用戶來講，無異于“裸奔”。在企業(yè)私有云環(huán)境里，不同業(yè)務(wù)系統(tǒng)的安全需求差異很大，那么在一個“云”內(nèi)，為不同業(yè)務(wù)系統(tǒng)提供不同的安全策略，安全策略如何部署?部署在哪里?差異化的需求如何滿足?

  和云計算的定義一樣，關(guān)于云安全也沒有統(tǒng)一的定義，但對于企業(yè)私有云來說，云安全就是確保用戶在穩(wěn)定和安全合規(guī)的情況下在云計算中心上運行應(yīng)用，并保證存儲于云中的數(shù)據(jù)的完整性和機(jī)密性。以下從三個方面談一下私有云的安全挑戰(zhàn)和具體實踐。

  一、云環(huán)境中對虛擬云桌面的管理

  首先從每個員工使用的桌面終端來說。隨著虛擬化技術(shù)的發(fā)展，在企業(yè)里虛擬云桌面終端也迅速部署應(yīng)用起來，虛擬化桌面終端安全問題也逐漸凸顯。虛擬化云桌面終端安全所面臨的主要問題可劃分為兩大類，一類是傳統(tǒng)的終端安全問題的延續(xù);另一類是在虛擬化環(huán)境下所面臨的新問題。虛擬化環(huán)境下所面臨的新問題主要包括虛擬化環(huán)境所面臨的安全威脅、無邊界訪問帶來的安全威脅、虛擬機(jī)防護(hù)間隙帶來的威脅和安全防護(hù)引發(fā)的資源爭用等多項安全問題。

  云桌面通過虛擬化技術(shù)來實現(xiàn)了桌面的統(tǒng)一、資源的共享，讓員工通過瘦客戶端來實現(xiàn)任何時間、任何地點訪問跨平臺的桌面系統(tǒng)，能夠解決傳統(tǒng)桌面管理模式的弊端，而且通過統(tǒng)一規(guī)劃所有云桌面用戶的IP地址，在防火墻和交換機(jī)上設(shè)置策略、建立訪問控制列表，限制該網(wǎng)段互聯(lián)網(wǎng)訪問權(quán)限，也可以方便實現(xiàn)云桌面用戶與互聯(lián)網(wǎng)的隔離。

  云桌面使用方便也易于實現(xiàn)統(tǒng)一管理，然而在資源高度聚合、數(shù)據(jù)遠(yuǎn)程化、彈性大規(guī)模的云桌面應(yīng)用模式下，安全問題仍然不可避免。

  從虛擬云桌面的整體系統(tǒng)角度來看，客戶端、傳輸網(wǎng)絡(luò)、服務(wù)器端、存儲端等各個方面，都會產(chǎn)生安全風(fēng)險。忽略任何一個細(xì)節(jié)都會導(dǎo)致整個系統(tǒng)的信息漏洞。

  客戶端：在虛擬云桌面的應(yīng)用環(huán)境中，只要有訪問權(quán)限，任何智能終端都可以訪問云端的桌面環(huán)境，如果使用單純的用戶名密碼作為身份認(rèn)證，那么其泄露就意味著對方可以在任何位置訪問你的桌面系統(tǒng)，并獲取相關(guān)數(shù)據(jù)。傳統(tǒng)的桌面可以采用物理隔離的方式，其他人無法進(jìn)安全控制區(qū)域竊取資料;而在虛擬桌面環(huán)境下，這種安全保障就不復(fù)存在了。這就要求有更加嚴(yán)格的終端身份認(rèn)證機(jī)制。目前比較好的方案有Ukey準(zhǔn)入認(rèn)證，利用Ukey 認(rèn)證作為云平臺的安全接入認(rèn)證不僅能夠提高云平臺的安全性，也能夠使Ukey 發(fā)揮最大效能，充分利用Ukey高可靠性的特點實現(xiàn)對云計算資源的保護(hù)，防止無授權(quán)用戶的非法操作。相對于遠(yuǎn)程用戶，則可以采用Ukey 認(rèn)證與SSL VPN 技術(shù)相結(jié)合，為遠(yuǎn)程用戶提供一種安全通信服務(wù)。還有就是通過MAC地址對于允許訪問云端的客戶端進(jìn)行一個范圍限定也是不錯的辦法。雖然犧牲了一定靈活性，但這種方式可以大幅提升客戶端的可控性。

  (注：國內(nèi)的USBKEY品牌型號繁多，企業(yè)在選擇USBKEY時一般也沒有太多的考慮，因此導(dǎo)致了多種型號及品牌的KEY共存的現(xiàn)象比較普遍。建議測試幾種使用，另外還有無驅(qū)的Ukey, 會模擬成HID，有的不能自動映射，還需要手動連接)

  傳輸網(wǎng)絡(luò)：絕大部分企業(yè)級用戶都會為遠(yuǎn)程接入設(shè)備提供安全連接點，供在防火墻保護(hù)以外的設(shè)備遠(yuǎn)程接入，但是并非所有的智能終端都支持相應(yīng)的VPN技術(shù)。智能手機(jī)等設(shè)備一般可采用專業(yè)安全廠商提供的定制化VPN方案。企業(yè)內(nèi)部的終端和云端的通訊可以通過SSL VPN協(xié)議進(jìn)行傳輸加密，確保整體傳輸過程中的安全性。

  服務(wù)器端：在虛擬桌面的整體方案架構(gòu)中，后臺服務(wù)器端架構(gòu)通常會采用橫向擴(kuò)展的方式。這樣一方面通過增強(qiáng)冗余提升了系統(tǒng)的高可用性;另一方面可以根據(jù)用戶數(shù)量逐步增加計算能力。在大并發(fā)的使用環(huán)境下，系統(tǒng)前端會使用負(fù)載均衡器，將用戶的連接請求發(fā)送給當(dāng)前仍有剩余計算能力的服務(wù)器處理。這種架構(gòu)很容易遭到分布式拒絕攻擊，因此需要在前端的負(fù)載均衡器上需要配置安全控制組件，或者在防火墻的后端設(shè)置安全網(wǎng)關(guān)進(jìn)行身份鑒定授權(quán)。

  存儲端：采用虛擬桌面方案之后，所有的信息都會存儲在后臺的磁盤陣列中，為了滿足文件系統(tǒng)的訪問需要，一般會采用NAS架構(gòu)的存儲系統(tǒng)。這種方式的優(yōu)勢在于企業(yè)只需要考慮保護(hù)后端磁盤陣列的信息防泄漏，原本前端客戶端可能引起的主動式的信息泄密幾率大為減少。但是，如果系統(tǒng)管理員，或者是具有管理員權(quán)限的非法用戶想要獲取信息的話，這種集中式的信息存儲方式還是存在隱患的。如果使用普通的文件系統(tǒng)機(jī)制，系統(tǒng)管理員作為超級用戶具有打開所有用戶目錄，獲取數(shù)據(jù)的權(quán)限。 一般可以采用專業(yè)的加密設(shè)備進(jìn)行加密存儲并且為了滿足合規(guī)規(guī)范的要求，加密算法應(yīng)當(dāng)可以有前端用戶指定。同時，在數(shù)據(jù)管理上需要考慮三權(quán)分立的措施，及需要系統(tǒng)管理員、數(shù)據(jù)外發(fā)審核員和數(shù)據(jù)所有人同時確認(rèn)也能夠允許信息的發(fā)送。這樣可以實現(xiàn)主動防泄密。此外，還需要通過審計方式確保所有操作的可追溯性。

  二、網(wǎng)絡(luò)層如何進(jìn)行動態(tài)安全防護(hù)

  云計算的大規(guī)模運營給傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和應(yīng)用部署帶來挑戰(zhàn)，不論是技術(shù)革新還是架構(gòu)變化，都需要服務(wù)于云計算的核心要求，即動態(tài)、彈性、靈活，并實現(xiàn)網(wǎng)絡(luò)部署的簡捷化。具體來說傳統(tǒng)網(wǎng)絡(luò)面臨的挑戰(zhàn)主要4點。

  1)服務(wù)器的利用率從20%提高到80%，服務(wù)器端口流量大幅提升，對數(shù)據(jù)中心網(wǎng)絡(luò)承載性能提出巨大挑戰(zhàn)，對網(wǎng)絡(luò)可靠性要求也更高;

  2)多種應(yīng)用部署在同一臺物理服務(wù)器上運行，使網(wǎng)絡(luò)流量在同一臺物理服務(wù)器上產(chǎn)生疊加，流量模型更加不可控

  ;3)服務(wù)器虛擬化技術(shù)的應(yīng)用必然伴隨著虛擬機(jī)的遷移，這種遷移需要一個高效的網(wǎng)絡(luò)環(huán)境來保障;

  4)虛擬機(jī)的部署和遷移， 使得安全策略的部署變得復(fù)雜和無助，需要一個動態(tài)的機(jī)制來對數(shù)據(jù)中心進(jìn)行防護(hù)。

  從兩個方面來說下這個問題：

  1、東西向安全：

  在企業(yè)私有云環(huán)境下，融合了多業(yè)務(wù)和多租戶資源池環(huán)境，業(yè)務(wù)之間和租戶之間的安全隔離成為云平臺建設(shè)必須要解決的問題。與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)相比，私有云數(shù)據(jù)中心網(wǎng)絡(luò)流量模型逐步由東西向流量取代南北向流量成為主要流量，多業(yè)務(wù)和多租戶隔離一方面需要考慮隔離方案的可維護(hù)性，另一方面需要考慮網(wǎng)絡(luò)能力的橫向可擴(kuò)展性。

  目前大部分資源池的安全隔離仍采用物理防火墻作為東西向和南北向隔離方案，但物理防火墻在扁平化數(shù)據(jù)中心網(wǎng)絡(luò)中存在結(jié)構(gòu)性瓶頸，限制了網(wǎng)絡(luò)的橫向擴(kuò)展能力。這里可以考慮采用分布式虛擬防火墻對業(yè)務(wù)和租戶之間的橫向流量進(jìn)行隔離，南北向流量隔離利用NFV防火墻實現(xiàn)，通過SDN Controller向DFW(分布式虛擬防火墻)自動下發(fā)定制的策略，實現(xiàn)業(yè)務(wù)和租戶之間安全隔離。分布式虛擬防火墻的性能是我們目前主要關(guān)注的問題，隨著流量規(guī)模的增長，我們會根據(jù)情況考慮虛擬防火墻和物理防火墻相結(jié)合部署的架構(gòu)。

  2、南北向安全：

  NFV(網(wǎng)絡(luò)功能虛擬化)，通過軟硬件解耦及功能抽象，使網(wǎng)絡(luò)設(shè)備功能不再依賴于專用硬件，資源可以充分靈活共享，實現(xiàn)新業(yè)務(wù)的快速開發(fā)和部署，并基于實際業(yè)務(wù)需求進(jìn)行自動部署、彈性伸縮、故障隔離和自愈等。常用的NFV組件有vFW、vLB、vSwitch等，下面以vFW、vLB為例，對IT云平臺NFV的部署運用進(jìn)行簡單介紹。

  1)利用vFW(虛擬防火墻)實現(xiàn)南北向安全防護(hù)

  南北向流量主要是客戶端到服務(wù)器之間的業(yè)務(wù)流量，這類流量需要進(jìn)出資源池，安全隔離的邊界在資源池出口處，在此位置可以部署物理防火墻，也可以部署NFV防火墻集群，用于對整個資源池與外部網(wǎng)絡(luò)的安全隔離。

  2) 利用vLB(虛擬負(fù)載均衡)實現(xiàn)業(yè)務(wù)負(fù)載按需開通

  通過部署虛擬負(fù)載均衡器，統(tǒng)一為多個租戶提供負(fù)載均衡服務(wù)。虛擬負(fù)載均衡目前可支持各類TCP應(yīng)用，如FTP、HTTP、HTTPS等，支持豐富的負(fù)載分發(fā)算法和會話保持方式。隨著業(yè)務(wù)量的增長，還可以為每個業(yè)務(wù)或租戶單獨部署一套虛擬負(fù)載均衡設(shè)備，提高負(fù)載均衡的可管理能力和擴(kuò)展能力。

  三、 私有云安全規(guī)劃–如何保證每層的安全

  從不同角度能看到安全的不同層面。如果從私有云安全規(guī)劃角度看，有四個層面需要注意：

  邊界防護(hù)：私有云安全防護(hù)的底線;

  基礎(chǔ)防護(hù)：與私有云建設(shè)過程中同步開展的階段，云安全管理系統(tǒng);

  增強(qiáng)防護(hù)：隨著云安全技術(shù)逐漸成熟，增強(qiáng)完善云安全服務(wù)，加密認(rèn)證等;

  云化防護(hù)：面向SaaS等更復(fù)雜的云計算模式，引入云安全訪問代理等新技術(shù)，結(jié)合業(yè)務(wù)實現(xiàn)防護(hù)。

  未來，邊界防護(hù)上基于SDN技術(shù)構(gòu)建“流網(wǎng)絡(luò)層”，提升“東西向”的隔離顆粒度與強(qiáng)度，以及加強(qiáng)云內(nèi)流量監(jiān)控;基礎(chǔ)防護(hù)上，構(gòu)建云安全管理系統(tǒng)，各種安全加固技術(shù)在私有云底層平臺的應(yīng)用，特別是通過安全手段固化底層行為;增強(qiáng)防護(hù)則提供比如加密認(rèn)證、安全掃描服務(wù)，定期對所有云主機(jī)進(jìn)行安全掃描，及時發(fā)現(xiàn)安全漏洞，還有防護(hù)DNS型的攻擊，防DDoS攻擊，自動化抵御SYNFLOOD、UDPFLOOD等常見攻擊，有效保障用戶業(yè)務(wù)的正常運作。云化防護(hù)則面向業(yè)務(wù)操作與業(yè)務(wù)數(shù)據(jù)的云安全代理機(jī)制等，引入云安全相關(guān)的新技術(shù)，結(jié)合業(yè)務(wù)實現(xiàn)防護(hù)。這些都將是重點考慮的方向和手段。

  三三在線http://www.33ol.com/，專注于高防服務(wù)器租用和托管，西安佛山陜西東莞國外一手資源，提供7*24小時全年無休的售后服務(wù)。企點Q：4000900901電話：4000900901