IE-LAB网络实验室:Tempered Networks简化了安全的网络连接和微分段

最新推荐文章于 2024-07-17 16:55:15 发布
最新推荐文章于 2024-07-17 16:55:15 发布
阅读量170 收藏
点赞数
文章标签: IE-LAB网络实验室:Tempered Networks简化了安全的

Tempered Networks的身份定义网络平台使用主机身份协议将网络划分并隔离为可信微片,从而提供一种简单且经济高效的网络安全保护方式。
在这里插入图片描述
TCP / IP协议是互联网的基础,几乎每个网络都是如此。该协议是在45年前设计的,最初只是为连接而创建的。协议中没有任何安全性,移动性或可信身份验证。
TCP / IP的基本问题是协议中的IP地址代表设备位置和网络上的设备身份。地址的这种双重功能缺乏网络上设备的安全性和移动性的基本机制。
这是今天网络如此复杂的原因之一。要连接到网络或Internet上的内容,您需要VPN,防火墙,路由器,单元调制解调器等,并且您拥有ACL,VLAN,证书等附带的所有配置。当您考虑物联网(IoT)设备连接和安全性时,噩梦呈指数级增长。这在规模上都是不可持续的。
显然,我们需要一种更有效,更有效的方式来实现网络连接,移动性和安全性。
互联网工程任务组(IETF)使用主机标识协议(HIP)解决了这个问题。它提供了一种分离端点标识符和IP地址的定位器角色的方法。它引入了一个新的主机标识(HI)名称空间,基于公钥,从中获取端点标识符。HIP使用现有的IP寻址和转发定位器和数据包传送。该协议与IPv4和IPv6应用程序兼容,并利用定制的IPsec隧道模式来保护网络应用程序的机密性,身份验证和完整性。
HIP在2015年由IETF批准,代表OSI堆栈中的新安全网络层。将其视为第3.5层。它是信任模型的翻转,其中TCP / IP本质上是混杂的,并且将回答任何想要与该网络上的设备通信的内容。相反,HIP是一种信任协议,除非已根据其加密身份对该连接进行了身份验证和授权,否则该信任协议将无法应答网络上的任何内容。实际上,它是围绕特定网络资源的软件定义边界的一种形式。这也称为微分段。
在这里插入图片描述
Tempered Networks的IDN平台创建分段的加密网络
Tempered Networks创建了一个利用HIP和各种技术的平台,这些技术将网络划分为可信微片并将其隔离。Tempered Networks的身份定义网络(IDN)平台被部署为覆盖技术,可叠加在任何IP网络之上。HIP旨在向前和向后兼容任何IP网络,而无需对底层网络进行任何更改。覆盖网络在您要连接的两件事之间创建直接隧道。
IDN平台使用三个组件来创建分段和加密的网络:称为Conductor的编排引擎,基于HIPrelay身份的路由器和HIP服务执行点。
Conductor是一个集中式编排和智能引擎,通过单一窗格连接,保护和断开全局资源。Conductor用于定义和实施HIP服务的策略。策略配置以简单的点击方式完成。Conductor可用作物理或虚拟设备,也可用于Amazon Web Services(AWS)云。
HIP服务提供基于软件的策略实施,实现受IDN保护的设备之间的安全连接,以及隐藏真实内容,分段,基于身份的路由和IP移动性。它们可以部署在任何设备或系统上或串联,并采用HIPswitch硬件,HIPserver,HIPclient,Cloud HIPswitch或Virtual HIPswitch的形式。HIP服务还可以嵌入客户硬件或应用程序中。
将HIP开关置于任何连接的设备前面会使设备启用HIP并立即对流量进行微分段,从而隔离来自底层网络的入站和出站流量。部署在网络上的HIP开关使用其加密身份自动向Conductor注册。
HIPrelay与支持HIP服务的端点协同工作,为所有网络和传输选项中的任何设备或系统提供点对点连接。HIPrelay不是使用第3层或第4层规则集或传统路由协议,而是基于遍历现有基础架构的可证明加密身份来路由和连接加密通信。
这听起来很复杂,但事实并非如此。用例示例应证明此解决方案的易用性和强大功能。
使用案例:智能船舶
最近,国际邮轮公司安装了Tempered Networks的IDN解决方案,为其关键的海事系统提供更严格的安全保障。在部署之前,用于燃料,推进,导航,压载,天气和焚烧炉的系统位于平面的第2层网络上,基本上允许网络的授权用户看到所有内容。
鉴于不同海事系统的供应商可以访问他们自己的系统,缺乏微分段使他们也可以看到其他系统。邮轮公司需要一种简单的方法来分割对这些不同系统的访问 - 将它们彼此隔离 - 并且他们希望这样做而无需将船放在干船坞中进行网络重新配置。
原始配置如下所示:
在这里插入图片描述
该公司基于系统的功能实现了网络的微分段。这个孤立且分段的供应商只能访问他们自己的系统 - 其他一切都隐藏在他们身上。实施涉及在云中安装HIPrelay身份路由,在船上安装几个HIPswitch无线设备,以及在供应商和机组成员的设备上安装HIPclient软件。管理整个部署的Conductor设备已安装在AWS中。
所有这些都是在不影响底层网络的情况下完成的,并且部署不需要干坞时间。此外,邮轮公司还能够消除以前用于分段和远程访问的内部防火墙和VPN。生成的配置如下所示:
在这里插入图片描述
上图中的颜色编码表明现在哪些系统能够直接查看并与其相应的控制器和传感器通信。网络上的其他所有内容都隐藏在这些系统的视野之外。
Tempered Networks解决方案的购置成本仅为传统微分段解决方案的十分之一。每艘船的部署时间为2 FTE天,而传统解决方案需要40个FTE天。不需要额外的人员配置来支持解决方案,也没有对底层网络进行任何更改。
经过时间考验的微分段解决方案
这项技术来自波音公司,并在其制造工厂内部署了超过12年,直到2014年波音公司允许该技术实现商业化。Tempered Networks采用HIP并通过简单,集中的管理开发了完整的平台。它专门用于提供与网络的安全连接。该解决方案已成功部署在工业领域,如公用事业部门,石油和天然气,发电和飞机制造,以及企业领域和医疗保健领域。
文章节选自NETWORLDWORK:
https://www.networkworld.com/article/3405853/tempered-networks-simplifies-secure-network-connectivity-and-microsegmentation.html
ielab老师:赵韶磊

ielab悦然
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VMware NSX Micro-segmentation 网络微分技术原理介绍
04-22
注意是英文原版!技术达人必备!VMware NSX 软件定义网络微分核心技术介绍
audio-frequency-tempered:根据对数刻度分配音频数据
05-29
const { createAudioBars , updateAudioBars } = require ( 'audio-frequency-tempered' ) ; // create audio context, analyser, data array // omitted: source, gain, connect, etc. const audioCtx = new ...
Tempered Networks简化安全网络连接微分-iellab
IE-lab网络实验室的博客
07-18 425
Tempered Networks的身份定义网络平台使用主机身份协议将网络划分并隔离为可信微片,从而提供一种简单且经济高效的网络安全保护方式。 TCP / IP协议是互联网的基础,几乎每个网络都是如此。该协议是在45年前设计的,最初只是为连接而创建的。协议中没有任何安全性,移动性或可信身份验证。 TCP / IP的基本问题是协议中的IP地址代表设备位置和网络上的设备身份。地址的这种双重功能缺乏网...
IE-LAB网络实验室:简单了解vxlan技术(2)
aglaia89的博客
07-18 373
VXLAN 通信过程: 对于处于同一个VXLAN的两台虚拟终端,其通信过程可以概括为如下的步骤: 发送方向接收方发送数据帧,帧中包含了发送方和接收方的虚拟MAC地址。 发送方连接的VTEP节点收到了数据帧,通过查找发送方所在的VXLAN以及接收方所连接的VTEP节点,将该报文添加VXLAN首部、外部UDP首部、外部IP首部后,发送给目的VTEP节点。 报文经过物理网络传输到达目的VTEP节点。 ...
华为DCN网络微分和业务链
大龄IT民工
06-09 1111
微分(Microsegmentation),也称为基于精细分组的安全隔离,是指将数据中心网络中的服务器按照一定的原则进行分组,然后基于分组来部署流量控制策略,从而达到简化运维、安全管控的目的。在数据中心网络中,随着数据存储以及应用的增多、网络内部流量的增大,企业面临的安全性风险也在不断增加。通过VLAN、VNI等方式划分业务子网实现的业务隔离,不能实现子网内不同服务器之间的隔离。同时,当不同子网共用同一个网关设备时,由于在网关设备上存在到各子网之间的路由信息,也无法实现不同子网内不同服务器之间的隔离。
微分Microsegmentation简介
最新发布
Tassel_YUE的博客
07-17 885
微分(Microsegmentation)是一种细粒度的安全策略,通过将数据中心网络中的工作负载细分为多个独立的安全区域,从而增强网络安全性。每个区域内部的通信受到严格控制,以防止潜在威胁在网络中的横向移动(东西向流量)。大型船舶的甲板下方通常被分成多个舱室,每个舱室都不透水,并且可以与其他舱室隔离开来。这样,即使一个舱室因漏水而被水填满,其余舱室仍保持干燥,船仍能漂浮。网络的一个部分可能会遭到入侵,但它可以很容易地与网络的其余部分隔离开来。
bi-tempered-loss:基于Bregman散度的稳健的双脾逻辑损失。 https
05-15
“用于训练带有噪声标签的深度神经网络的广义交叉熵损失。” 在NeurIPS 2018中。 当0.0 <= t1 <= 1.0且t2 = 1.0时恢复。 它还包括: 丁&Vishwanathan。 “ t-Logistic回归”。 在NeurIPS 2010中。 当t1 =...
matlab的欧拉方法代码-tempered_diffusion:缓和扩散
05-26
要运行代码,请在simulate_tempered.m中设置所需的参数值并运行。 注意:tempeded_stable.m依赖于功能stblpdf.m,该功能由Mark Veillette编写,并作为的一部分下载。 最后更新时间:2019年11月4日Anna Lischke
bitemperedloss-tf:Tensorflow 2.0 的简单 Bi Tempered Loss 实现
05-29
双调律损失-tf Tensorflow 2.0 的简单 Bi-Tempered Loss 实现这不是官方支持的 Google 产品。 该方法的概述在这里: 原始仓库: : 改编自: : 论文:“基于 Bregman Divergences 的 Robust Bi-Tempered Logistic ...
在无限可分分布中计算 VAR 和 AVAR-研究论文
06-09
《在无限可分分布中计算VAR和AVAR》的研究论文主要关注了金融风险度量中的平均风险值(Average Value at Risk, AVAR)和价值在险值(Value at Risk, VaR)在无限可分分布下的计算方法。无限可分分布是一种概率分布,...
IE-LAB网络实验室:培训机构里面学CCNA和HCIA有区别吗
aglaia89的博客
01-16 956
CCNA和HCIA都作为基础的网络工程师认证,他们两个之间有什么不一样的地方呢? 首先呢,CCNA是由思科公司在1993年推出的认证,全称为思科认证网络助理工程师。HCIA,是由我们所熟悉的华为公司设立的网络工程师认证,全称华为认证ICT工程师。 思科公司作为全球知名的互联网解决方案供应商,CCNA也是具有很长历史的认证,在全球都有着绝对的权威性,全世界都认可这个证书。华为的HCIA证书,推出时间...
揭秘网络隔离和微分
allway2的博客
01-01 1974
揭秘网络隔离和微分 简·德维(Jane Devry)发表 该帖子最初由Alissa Knight在这里发布。 一种设计,实施和实施网络隔离和微分的项目管理方法 网络(通常称为网络隔离)是指将网络连接网络并在其中创建孤岛(称为VLAN(虚拟局域网))的概念,VLAN根据组织或其他组织中资产的功能来分隔网络环境中的资产。您定义的架构,用于将较低的安全级别与较高的更高限...
华为基于evpn的vxlan测试(包含微分)
cloud_engineer的博客
04-16 1101
华为基于evpn的vxlan的数据中心配置,本环境为真实交换机环境配置,如果您采用华为ensp模拟器参照配置,会有一些配置无法实现或者有微小差异。
机器学习笔记 temperature+Softmax
qq_40206371的博客
06-27 2277
temperature的Softmax,用公式描述,可以表示为直观感受一下 不难发现,t越大,各个类之间的差距越小,结果越“平滑”;t越小,各个类之间的差距越大,结果越“尖锐”。个人觉得可以在一定程度上类比成强化学习的ε-greedy,如果temperature设置得比较大,那么各个类之间的差别不大,就有很大概率选到不同的类,获得了一定的exploration空间;如果temperature设置得比较小,那么概率最大的类 得到的结果数值会“鹤立鸡群”,那么基本上选择的就是这个类了。所以我们可以设置 t
006基于小波变换和改进ResNet的噪声环境下滚动轴承故障智能诊断Intelligent fault diagnosis of rolling bearing based on wavelet tr
XZHBUT的博客
09-15 1395
滚动轴承作为一种重要的机械部件,广泛应用于各种工程设备中,其健康状况对工程设备的安全性和稳定性有着相当重要的影响(Jin et al,2022;李等人,2020)。RB一旦失效,很容易引发灾难性后果(钱等,2022;程等,2021)。由于RB的振动传递路径复杂,RB的故障难以准确诊断(Wei et al.,2020)。为了确保工程设备的运行稳定性和系统安全,对先进的滚动轴承故障诊断方法提出了更高的要求(Schwendemann et al.,2021)。(1)总结文献可以发现轴承的故障诊断分为四类。
基于微分的东西向安全防护,如何提升数据中心运维效率?|社区成长营分享回顾
SmartX 超融合
12-02 364
SmartX 社区成长营第三期分享回顾。
Logistic Regression与Logistic Loss
qq_41917697的博客
01-17 867
Logistic Regression与Logistic Loss前言Logistic RegressionLogistic LossLogistic Loss与Cross Entropy Loss 前言 神经网络的输出通常为Z=wTx+b,为了后续分类,需要将编码Z转换为概率。因此需要满足两个条件:一是概率应该为0-1,二是分类的概率总和为1。 Logistic Regression Logistic回归虽然名字里带“回归”,但是它实际上是一种分类方法,主要用于两分类问题,Logistic函数(或称为
浅谈微分
昆仑山论剑的博客
02-21 7852
原文链接:https://mp.weixin.qq.com/s/8F3UbWKoubQQNaeCEjjPQg 1.微分的由来 提升数据中心内部流量的安全性 2.微分的定义 定义:“分”是指将网络按照一定的分组规则划分为若干个子网络, 实现数据报文仅能在约定的节点之间相互发送。 差别:微分提供了基于精细分组的安全隔离,就可以实现服务器与服务器之间的业务隔离。 3.微分的原理 3....
路由环路的生成和解决方法-IELAB
IE-lab网络实验室的博客
08-28 828
1 水平分割 水平分割是一个规则 用来防止路由链路环路的产生 规则:从一个接口上学习到的路由信息 不会从这个接口发出去 默认开启 2 路由毒化 当本地物理直连 一旦出现故障 立马将其路由置为16跳 发送给所有邻居 邻居收到后也会将路由置为16跳 向其他邻居设备发送 但是他是根据触发更新进行发送 30s一次 3 触发更新 路由表发生变化会立即发送个更新信息 水平分割 解决环路隐患 路由毒化和触发更新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值