虚拟云安全解决方案.pdfVIP

2017年1月 月刊 总第297期 虚拟云安全解决方案 文 ／同家 新 闻 出版 ，’电‘总局 广播 电视 卫星直 播 管理 中心 高炜 别 、VPN、入侵防御 、负载均衡等功能 ， 2 向虚拟化数据中心的 具备快速部署能力。既可为公有云租 软件定义安全 摘要 ：在虚拟化环境中，用 户提供安全防护 ，又可为私有云用户 数据中心 目前正在从物理架构一 户 的计算、存储和数据资源都运 提供高性价比的防护方案，能够 降低 步步演进到大规模虚拟化和云的架构 。 行在服务器的虚拟机上，在考虑 客户初始采购和管理维护成本 。同时 服务器和存储被虚拟化成为很多数据 安全防护的设计时，虚拟化防火 用户可 以根据网络搭建需求，弹性调 中心的标准 ，新兴的网络功能虚拟化 墙 可在虚 拟 机上 实现快速 灵活 配和管理网络资源 ，调整网络接 口数 (NFV)和软件定义 网络 (SDN)技术 的部署，支持在虚拟化平 台上运 量等 ，并 且能够按 需进 行灵活迁移 ， 有望通过虚拟化的网络和安全功能完 行。以虚拟化的形式部署的设备， 充分发挥虚拟化优势。 成物理到虚拟的演进 。 能够克服物理 防火墙的限制，在 虚拟数据中心在效率和业务敏捷 虚拟化环境中可部署于更加靠近 l云环境急需解决的安全问题 性上有明显的优势。然而应用、服务和 VM 的位 置 ，对 于VM 主机 内部 在云环境 中，虚拟机 由于某种原 边界都是动态的，并不是固定和预定义 流量进行过滤，实现同时对于南 因中了病毒 ，会从 内部 向其他虚机和 的，因此实现高效的安全十分具有挑战 北向和东西向流量的安全防护。 外部 网络发起端 口扫描和 DoS等攻击 ， 性。传统安全解决方案和策略还没有足 在缺少识控方案的情况下 ，只能将有 够的准备和清晰的定位来为新型虚拟化 关键词 ：分布式架构 安全 问题的虚机从 网络中移除，让问题虚 数据中心提供高效的安全层 。 云防护 虚拟化 微 隔离 机 的管理员线下解决 问题后 ，然后再 一j 0 ! 连接 回网络 ，这样的处理方案简单粗 在传统数据中心里 ，防火墙 、入 暴 ，虽然 隔离 了攻击 ，但也 同时断掉 侵防御以及防病毒等安全解决方案主 了问题虚机的对外服务 。 要聚焦 在 内外 网之间边界上通过的流 随着 云计 算、NFV、虚 拟 化 技 云环境 下 ，虽然外部可能部署入 量 ，一般叫做南北 向流量或客户端服 术的高速发展 ，越来越多的应用与用 侵防御设施 ，但可能存在这样的情况 ： 务器流量。 户业务运行在虚拟化环境和云平 台上 ． 某虚机 由于弱 口令之类的漏洞被远程 在虚拟化数据 中心里 ，像 南北 但随之而来 的安全防护问题却使得传 控制 ，然后黑客以此虚机为跳板 ，再 向流量一样，交互式数据 中心服务和 统 的网络安全架构无法有效应对 。虚 对其他虚机进 行漏洞扫描和利用入侵 。 分布式应用组件之 间产生 的东西向流 拟 化防火墙是专 门为虚拟化环境设计 DoS攻击会产生大量 的会话 。可能通 量也对访 问控制和深度报文检测有 刚 的虚拟化 网络安全产品，以纯软件形 过云管理平 台被发现 ，然而从 内部发 性的需求。多租户云环境也需要租户 态部署 ，适用于虚拟化云平 台，为用 起的漏洞入侵 的过程在网络层面上与 隔离和 向不同的租户应用不 同的安全 户提供不同安全等级应用之间的