虛擬/云計算環(huán)境中的網(wǎng)絡(luò)安全域隔離
服務(wù)和應(yīng)用程序使用物理設(shè)備的時代已經(jīng)成為歷史,虛擬/云計算被廣泛用作數(shù)據(jù)中心的交付模式。
1、然而,虛擬/云計算環(huán)境是否應(yīng)該劃分為網(wǎng)絡(luò)安全領(lǐng)域?
我看過阿里云、百度云等計算公司發(fā)布的白皮書,但在網(wǎng)絡(luò)安全領(lǐng)域的隔離仍然是實現(xiàn)其網(wǎng)絡(luò)安全架構(gòu)的主要手段之一。阿里云的核心平臺是如何隔離網(wǎng)絡(luò)安全領(lǐng)域的。首先,阿里云分為生產(chǎn)網(wǎng)絡(luò)和非生產(chǎn)網(wǎng)絡(luò)。其次,阿里云分為外部云網(wǎng)絡(luò)服務(wù)和支持云服務(wù)的物理網(wǎng)絡(luò)。最后,讓我們看看arilon辦公室的網(wǎng)絡(luò)是如何與生產(chǎn)網(wǎng)絡(luò)分離的。如上所述,根據(jù)筆者的理解,這需要云平臺提供商實現(xiàn)網(wǎng)絡(luò)空間的細分。
2、那么,網(wǎng)絡(luò)安全域隔離是如何在云租戶之間隔離的呢。
目前,云產(chǎn)品提供商通常提供專有網(wǎng)絡(luò)的實現(xiàn)。VPC(虛擬私有云)也稱為虛擬局域網(wǎng),專有網(wǎng)絡(luò)采用隧道密封技術(shù),使專有網(wǎng)絡(luò)和專有網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流完全不可見,專有網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)流直接到達目的地。專有網(wǎng)絡(luò)實現(xiàn)了不同租戶之間的網(wǎng)絡(luò)隔離。因此,確保了專有網(wǎng)絡(luò)內(nèi)部和之間的用戶流的安全性。
事實上,根據(jù)it的商業(yè)計劃,云平臺數(shù)據(jù)中心提供自己的內(nèi)部服務(wù),因此可以提供企業(yè)內(nèi)各個網(wǎng)絡(luò)安全區(qū)域的隔離。例如,您可以將DMZ轉(zhuǎn)換為VPC,將數(shù)據(jù)庫轉(zhuǎn)換為安全域,將服務(wù)器轉(zhuǎn)換為VPC。通常,每個專有網(wǎng)絡(luò)必須指定以下網(wǎng)段:
10.0.0.0/8(10.0.0.0-10.255.255)
172.16.0.0/12(172.16.0-172.31.255)
192.168.0.0/16(192.168.0-192.168.255.255)
專有網(wǎng)絡(luò)可以通過IP或NAT、專有網(wǎng)絡(luò)上的虛擬機或兩個專有網(wǎng)絡(luò)連接到網(wǎng)絡(luò),也可以通過VPN或?qū)>€將用戶連接到獨立的數(shù)據(jù)中心,創(chuàng)建混合云。
3、最后,我們應(yīng)該做些什么來隔離云租戶內(nèi)部的網(wǎng)絡(luò)安全區(qū)域?
在這里,您可以靈活考慮可以劃分多少專有網(wǎng)絡(luò)云租戶,VPC還可以使用安全組對安全字段進行分類。
使用的方案包括:
(1) 安全團隊使用網(wǎng)絡(luò)訪問控制來設(shè)置一個或多個云服務(wù)器,這是劃分云中安全區(qū)域的重要網(wǎng)絡(luò)保護手段。
(2) 安全團隊是一個邏輯單元,其成員包括同一地區(qū)的共同安全需求和相互信任實例。在這些安全組中,例如下圖中,也可以根據(jù)云企業(yè)的實現(xiàn)方法將專有網(wǎng)絡(luò)隔離為子網(wǎng)(subnets)。這意味著安全組是相同的。
隨著虛擬化和云計算技術(shù)的發(fā)展,網(wǎng)絡(luò)安全域隔離出現(xiàn)了新的研究方向和實踐研究,如差分端和微隔離。