虛擬/云計算環(huán)境中的網(wǎng)絡(luò)安全域隔離

服務(wù)和應(yīng)用程序使用物理設(shè)備的時代已經(jīng)成為歷史，虛擬/云計算被廣泛用作數(shù)據(jù)中心的交付模式。

1、然而，虛擬/云計算環(huán)境是否應(yīng)該劃分為網(wǎng)絡(luò)安全領(lǐng)域？

我看過阿里云、百度云等計算公司發(fā)布的白皮書，但在網(wǎng)絡(luò)安全領(lǐng)域的隔離仍然是實現(xiàn)其網(wǎng)絡(luò)安全架構(gòu)的主要手段之一。阿里云的核心平臺是如何隔離網(wǎng)絡(luò)安全領(lǐng)域的。首先，阿里云分為生產(chǎn)網(wǎng)絡(luò)和非生產(chǎn)網(wǎng)絡(luò)。其次，阿里云分為外部云網(wǎng)絡(luò)服務(wù)和支持云服務(wù)的物理網(wǎng)絡(luò)。最后，讓我們看看arilon辦公室的網(wǎng)絡(luò)是如何與生產(chǎn)網(wǎng)絡(luò)分離的。如上所述，根據(jù)筆者的理解，這需要云平臺提供商實現(xiàn)網(wǎng)絡(luò)空間的細分。

2、那么，網(wǎng)絡(luò)安全域隔離是如何在云租戶之間隔離的呢。

目前，云產(chǎn)品提供商通常提供專有網(wǎng)絡(luò)的實現(xiàn)。VPC（虛擬私有云）也稱為虛擬局域網(wǎng)，專有網(wǎng)絡(luò)采用隧道密封技術(shù)，使專有網(wǎng)絡(luò)和專有網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流完全不可見，專有網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)流直接到達目的地。專有網(wǎng)絡(luò)實現(xiàn)了不同租戶之間的網(wǎng)絡(luò)隔離。因此，確保了專有網(wǎng)絡(luò)內(nèi)部和之間的用戶流的安全性。

事實上，根據(jù)it的商業(yè)計劃，云平臺數(shù)據(jù)中心提供自己的內(nèi)部服務(wù)，因此可以提供企業(yè)內(nèi)各個網(wǎng)絡(luò)安全區(qū)域的隔離。例如，您可以將DMZ轉(zhuǎn)換為VPC，將數(shù)據(jù)庫轉(zhuǎn)換為安全域，將服務(wù)器轉(zhuǎn)換為VPC。通常，每個專有網(wǎng)絡(luò)必須指定以下網(wǎng)段：

10.0.0.0/8（10.0.0.0-10.255.255）

172.16.0.0/12（172.16.0-172.31.255）

192.168.0.0/16（192.168.0-192.168.255.255）

專有網(wǎng)絡(luò)可以通過IP或NAT、專有網(wǎng)絡(luò)上的虛擬機或兩個專有網(wǎng)絡(luò)連接到網(wǎng)絡(luò)，也可以通過VPN或?qū)＞€將用戶連接到獨立的數(shù)據(jù)中心，創(chuàng)建混合云。

3、最后，我們應(yīng)該做些什么來隔離云租戶內(nèi)部的網(wǎng)絡(luò)安全區(qū)域？

在這里，您可以靈活考慮可以劃分多少專有網(wǎng)絡(luò)云租戶，VPC還可以使用安全組對安全字段進行分類。

使用的方案包括：

（1） 安全團隊使用網(wǎng)絡(luò)訪問控制來設(shè)置一個或多個云服務(wù)器，這是劃分云中安全區(qū)域的重要網(wǎng)絡(luò)保護手段。

（2） 安全團隊是一個邏輯單元，其成員包括同一地區(qū)的共同安全需求和相互信任實例。在這些安全組中，例如下圖中，也可以根據(jù)云企業(yè)的實現(xiàn)方法將專有網(wǎng)絡(luò)隔離為子網(wǎng)（subnets）。這意味著安全組是相同的。

隨著虛擬化和云計算技術(shù)的發(fā)展，網(wǎng)絡(luò)安全域隔離出現(xiàn)了新的研究方向和實踐研究，如差分端和微隔離。