|
本博文出自博客之星Jack zhai的博客,有任何问题请进入博主页面互动讨论!
博文地址: |
四、云朵内的安全设计思路—云导流方案
云朵内不同于传统的安全设计思路就是云导流方案。它实现了云朵内以流为核心,重塑信息系统逻辑网络拓扑的过程,同时,定义了该信息系统的安全属性,即部署的网络安全措施。
云导流方案包括三个核心的组成部分:策略管理平台、安全资源池、导流网络。
1、流量引导与控制模块(CFC:云导流模块)
流引导的范围就是导流控制的网络。该网络与虚拟机紧挨着,保证进出VM的流能得到正确的引导;该网络与安全资源池相邻,保证引导的数据包进入相应的资源池,并把处理完的流量再从新引导到正确的目的地。该网络与策略管理平台路由可达,保证执行的是正确的策略。
CFC模块包括如下几个组成部分:
流引导的实现是策略服务器与交换机的协议互通,对流进行重新路由。根据安全设备对流处理的要求,流引导需要两种方式:流监控与流过滤。
流监控:不需要改变流原来的路由,需要将全部的流量复制一份交给安全设备处理即可。我们处理的方式是在虚拟交换机上进行端口镜像,将虚拟网卡的流量复制到安全虚拟机,经过处理后,再经过另外的物理网卡直接送到安全资源池。
流监控主要是满足并行接入的安全设备,如IDS、网络审计、异常流量监控等。
流过滤:需要对流的路由进行修改,让流“绕弯”进入安全设备,处理后再返回目标。实现流过滤引导的分两部分流量:
在流过滤时,需要支持流引导协议。选择什么协议呢?
流引导协议的核心就是在导流网路(流引导控制区域)内,将原来的网络层参数封装起来,按照安全策略服务器重新定义路由的标签,并让交换机按照标签进行包转发,而不是根据目的IP转发。能够实现这种“重新路由”的协议很多,最为直接的是SDN,因为SDN协议设计时,已经将转发控制器与转发交换机分离,SDN控制器可以根据多个参数去定义新的路由转发策略,而不仅仅是访问控制列表ACL的五元组。下图是Openflow3.1协议支持路由组合的控制要素。
能实现导流网络内重新路由的还有很多成熟的路由协议,如BGP、MPLS、GRE、vxLAN(虚拟扩展LAN)、EVB(一种Vlan嵌套技术)等,其核心都是设立引导控制区域,在域内重新封装域内路由的通道技术。
CFC模块把流引导控制协议设计为接口模块,不同协议作为一个互通接口模块可选择。可以根据用户具体的网络情况,选择一个该网络统一支持的协议作为流引导控制协议。由于SDN交换机需要硬件升级,需要网络改造,因此,对现有网络中建议采用MPLS\EVB等成熟型协议,对于新建网络建议SDN协议。无论采用哪种协议,都要注意网络内物理交换机与虚拟交换机要支持同一种协议,否则标记不通用,就会影响通道路由的落地。
2、安全资源池管理模块 (VSP:虚拟安全池管理平台)
流量引导到安全资源池,需要进一步送到相应的安全措施上去处理,具体送到那个地址的设备上处理,以及处理结果的正确输出,就需要安全资源池管理模块了。
安全资源池管理平台是管理该类安全资源的服务平台,如同该安全资源的负载均衡管理模块,具体完成功能如下:
安全资源池化管理,不仅兼容各个厂家的设备,而且可以同时采用物理设备与虚拟设备,让用户真正实现“自来水”一样地安全使用安全资源,完成了继计算资源、存储资源、网络资源虚拟化之后的新突破,安全资源的虚拟化,让云计算服务为用户提供的是更加完整的IT服务方案。
3、业务系统安全策略管理平台 (BSM:业务安全管理平台)
有了安全资源处理,有了云导流控制,我们就可以把用户的安全策略落实到位了。业务安全策略管理平台是与导流方案的控制核心,它主要提供如下几方面的服务:
BSM是云朵内安全运维管理的总平台,除了与其他管理模块互联,落实业务安全策略之外,更为主要的就是运维人员的操作接口,从使用者角度,BSM应该实现几个功能模块:
BSM为用户建立统一的安全管理平台SOC提供支持,BSM的安全事件监控模块就成为SOC在云朵内的一个采集引擎。也作为安全服务平台,为某业务系统的安全运维提供远程接入服务。
小结
本方案有如下优点:
1、 全程保障 :实现虚拟机迁移过程中,安全策略不中断,不开安全保障的“天窗”。服务器虚拟化管理,保障VM迁移过程中,业务系统访问不中断是其重要特点。业务不中断,安全保障就不能中断,这是云计算服务安全解决方案设计的最基本要求。本方案在设计时,在每个物理服务器内设立安全虚拟机,保障VM迁移到那个物理服务器上,都立即接手该VM的安全策略部署,无需安全虚拟机跟随迁移;
2、跨平台 :VMWare平台提高很好的服务,但价格昂贵,KVM\XEN等 平台开源,但需要用户自己的技术运维能力较强。随着用户在云上的业务量逐步增大,用户大多会尝试各种虚拟化管理平台,降低云服务的建设与运维成本。跨平台 就成了必然的需求。本方案没有采用专用接口,在各种虚拟化管理平台上移植非常容易,而上层的业务安全策略、安全资源池管理都可以不同改动就直接使用。从用 户的角度看,跨平台迁移时,业务安全策略保持不变,可以大大地降低迁移以及运维的成本;
3、兼 容性 :采用安全资源池管理,不仅兼容各个厂家的硬件安全设备,而且可以兼容未来的安全软件模式,延长了用户现有的安全设备使用寿命,保护了用户原有的投 资。由于安全资源管理池化,可以随着用户业务对安全资源的需求增加,而逐步升级安全资源的处理能力,避免一次性建设的大幅投资;
4、不挤占业务资源 :安全资源单独管理,不与业务VM在同一个服务器资源池,不影响业务系统自己的日常调度与迁移策略,管理简单化,IT资源条块分割化明显,易管理,好好维护;安全与业务分离还有一个明确优点,就是攻击者攻击安全设备的机会降低,若安全措施自身瘫痪,无疑是灾难性的;
5、网络平滑升级 :方案支持SDN、MPLS多种协议,流量引导方式多样化,大大降低了对网络平台的要求,让用户网络规划避免受到安全管理的“绑架”,延长设备寿命周期,降低整体运营成本。
字节跳动是干什么的?
字节跳动是最早将人工智能应用于移动互联网场景的科技企业之一,是中国北京的一家信息科技公司,旗下产品有:今日头条、抖音、悟空问答、西瓜视频、火山小视频、快马、花熊、激萌、图虫、懂车帝、TopBuzz、NewsRepublic、Flipagram、TikTok等。
字节跳动成立于2012年3月,是最早将人工智能应用于移动互联网场景的科技企业之一,是中国北京的一家信息科技公司,地址位于北京市海淀区知春路甲48号。 公司以建设“全球创作与交流平台”为愿景。 字节跳动的全球化布局始于2015年,“技术出海”是字节跳动全球化发展的核心战略。
字节跳动人工智能实验室成立于2016年,旨在针对人工智能相关领域的长期性和开放性问题进行探索,帮助公司实现对未来发展的构想。 其独立研发的“今日头条”客户端,通过海量信息采集、深度数据挖掘和用户行为分析,为用户智能推荐个性化信息,从而开创了一种全新的新闻阅读模式。
字节跳动经营范围包括从事互联网文化活动;出版物零售;广播电视节目制作;人力资源服务;技术开发、技术推广、技术转让、技术咨询、技术服务、技术培训;计算机系统服务;数据处理(数据处理中的银行卡中心、PUE值在1.5以上的云计算数据中心除外);基础软件服务、应用软件服务;设计、制作、代理、发布广告;第二类增值电信业务中的信息服务业务(仅限互联网信息服务)(互联网信息服务增值电信业务经营许可证有效期至2024年03月27日)。
请大家帮忙给宝宝起小名
宝宝八字喜火,大名和小名都应取五行为火的字,如下:
男孩的炜炜、乐乐、晓晓、彤彤、良良、廷廷、昊昊、昆昆、卓卓、亮亮、泰泰、政政、哲哲、朔朔、朗朗、程程、琅琅、畅畅欢儿 卡卡兜兜 泱泱 细仔 乐点 杰仔 悦讯 图图 赢赢仁仁 宝来 小鹏 小旺仔 怡心 灵灵 十美 乐娃 悟灵悦儿浅浅 嘟乐眯眯 敢敢 小易 星星 梓航缤缤 咚咚哆哆子航典典 醉醉 球球 瓜瓜 瀚瀚 小怪 朋朋 萱萱 丢丢 闹闹 撒欢 褔宝 家乐 小瑜儿 小石榴 颠颠 阿康 阿鹏 鹏鹏 友友 神神 宝宝 高路 阿俐 美乐 丢丢
女孩的嘉子 樱柠 依娜 若菡 冰婕 诗雅 雅芙 默菡 斯琦 娴雅 子菡 娅姝 羽佳 佳雪 墨涵 涵杨 惠茜 漫妮 龚静 静香 梦洁 凌薇 雅静 依娜 雅芙 香怡 韵寒 莉姿 沛玲 欣妍NAO打NAONAO 呶呶 念就出来了我用的是智能ABC 茗茗 刺儿 琳霖 大米 再给你几个:嬷嬷 蝉嘶 阑珊 恣意 咿丫 咿呦 琦琦 唧唧 沫么 芡芡 小玩、云姬、漠漠、漫漫、若若、吖俏、诗雨、念念、妖妖以上都是女孩昵称精品哦~推荐给你 很俏皮很惹爱哦~ 没办法了,就这些了,想的头疼啊,哈哈。。。。。口袋西游练宠需要什么材料?
练3满BB,首先是找只好的主宠,主宠不能超过2练!然后练得步骤是先练力、法满,再练满体!比如练热忱木:首先,去抓一只聪慧木得白银战士当主宠,9只一般绵羊当副宠,放绿色的博文符保证成功,随便它变异,这样9练!性格为热忱木的!然后去抓一只高评价的火焰山聪慧木人形BB当主,副的就用这种BB的聪慧就可以,先练出和9练那白银性格一样来,热忱的!当性格一样了就把这只评价高木得BB10练,副宠就用一样BB聪慧的(必须全是聪慧,并且至少有4只是聪慧木得),一般前面几练,木得在最后几练!然后9练BB和这只10练BB都带到90级,9练做主,10练做副,放绿色博闻符!接着,再去抓一只评价高的火焰山聪慧人形BB当主,那只新的10练BB当副,也是带到90级,这样就能得到一只1练力法在9以上的BB!接着,去抓几只中庸水银来直接给这1练BB堆10练,但是,这里一定要用黄色固本符,绝不能变异(这一步是为了让3满BB评价更高)!最后,主宠和这只新得到的力法在9以上的副宠都带高等级,一般要2只都80+去预览主宠力法满了就可以练了,没有满,就继续带!这里要放黄色固本符!这样主宠就2满了!最后一步就是练满体了,去抓勇猛木的绵羊,堆到9练,再去抓火焰山高评价的勇猛木妖兽形的BB(这里推荐火翼狮)堆到10练!再把9练得绵羊突变的BB跟这10练的BB合!9练做主,10练做副,放绿色的博闻符,2只BB都要带到90级,而且性格要一致(霸道+霸道,无畏+无畏)!再把那只热忱木力法2满的跟这新得到的(霸道或无畏)木10练满体BB合,记住,都要带到90级,合的时候放黄色固本符!
发表评论