[云数据中心] 《云数据中心网络架构与技术》读书笔记 第八章 构建云数据中心端到端安全

最新推荐文章于 2024-04-12 20:16:37 发布
最新推荐文章于 2024-04-12 20:16:37 发布
阅读量2.8k 收藏 4
点赞数 6
分类专栏: 云网 文章标签: 网络 运维 可视化 安全 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33868661/article/details/115382574
版权

8.1 云数据中心面临的安全挑战

因为云化和SDN化的网络特点(网元出现的位置随意性更大,出现和消失的时间不定):
首先会导致安全业务开通周期长;
其次SDN的自动化能力是现在安全业务所不能达到的,很多安全业务需要手动配置;
最后,为了应对突发流量,数据中心部署了大量冗余的安全设备,造成资源浪费。
安全边界变得模糊:
基于边界的安全防护无法有效工作
可能会出现数据中心内部虚拟机被劫持后发动的攻击
无法防范APT(高级持续性威胁)
安全管理和安全运维复杂化
无法感知应用
安全策略数量庞大,且执行分区域,无法宏观防护
日志格式不统一,安全威胁调查响应速度慢

8.2 云数据中心的安全架构

8.2.1 安全架构全景

云数据中心对安全的新要求:

  • 对安全隔离提出了更高的要求
  • 云内外访问资源需要更严格的控制访问
  • 更加宏观的安全防护体系
  • 以服务形式交付,满足按需部署和弹性扩缩

在架构中我们着重讲解一下红框中的内容,包括:
虚拟化安全中的安全组( Security Group)
网络安全
高级威胁检测防御
安全管理
在这里插入图片描述

8.2.2 安全组件架构

在这里插入图片描述
应用层
安全应用统一编排,按需动态发放安全服务,安全应用再将该服务发送给控制器,最终由控制器下发给网络设备。
安全应用可以利用遥测数据,结合大数据和人工智能进行高级威胁检测,达到了全网防御和主动防御
控制层
即SDN控制器。可能采用网络控制器和安全控制器分开部署的方式。
网络控制器:除了提供网络业务编排和发放之外,还可以提供微分段和业务链的编排和发放,用户可以利用业务链将流量引导到安全设备,协同安全业务发放
安全控制器:提供IPSec,安全策略,Anti-DDoS,安全内容检测,地址转换等安全业务的编排,同时还可以和网络控制器协同全面感知威胁
转发层
网络设备提供诸如ACL,安全组,微分段等网络安全功能,结合安全设备,两者可以实现数据中心边界安全防护,租户边界和租户内的安全防护

8.3 云数据中心的安全方案价值

1.安全资源池化,配置全面自动化

创建东西向业务的防火墙资源池
创建南北向业务的防火墙资源池
防火墙资源池可以弹性伸缩,高效可靠部署
租户间的安全业务可以相互隔离,并实现自动化配置

2.丰富安全能力,按层次联防

**各类防火墙安全能力:**安全策略,IPSec VPN加密,NAT策略,IPS,AV,URL过滤,DDoS攻防,ASPF(Application Specific Packet Filter,针对应用层的包过滤)
微分段:东西向流量安全管控
业务链:引流到多个安全业务功能节点,并安排引流的先后顺序
虚拟化层面的虚拟机隔离(利用安全组)
网络层面

  • 边界部署专业Anti-DDos,针对应用层
  • 边界部署IPS/IDS,APT攻击检测
  • 多引擎虚拟检测技术,Hypervisor行为捕获。检测位置威胁
  • 利用大数据和AI实现安全威胁的自学习检测

安全检测闭环:网络是安全分析的数据采集器,也是安全策略的执行器。
该闭环实现了全网协防,响应并隔离内部威胁,防止威胁扩散

3.防御智能化,安全可视化,安全运维精简化

智能化
利用人工智能检测威胁,主动防御
可视化
全网安全态势感知:对各种安全信息进行汇总,然后分析决策
攻击路径可视:大数据分析关联威胁信息,便于攻击回溯和调查
统一化,简单化
多厂商统一,多类安全设备统一
传统精细化管理和基于业务场景的安全策略分层管理,拥有统一的入口
安全控制器可进行安全策略调优,简化安全策略运维

8.4 云数据中心的安全方案

具体的技术细节

  • 虚拟化安全
  • 网络安全
  • 高级威胁检测防御
  • 边界安全
  • 安全管理

8.4.1 虚拟化安全

虚拟机之间通过安全组实现安全控制和隔离

1.安全组

实现虚拟机之间的互访控制和隔离,可进行自定义安全隔离
通过对报文五元组的匹配来进行访问控制和隔离
安全规则支持随虚拟机动态迁移
在这里插入图片描述
从上面的模型来看,安全组具有以下几个特点:

  • 安全组是具有相同安全属性的VM/BM的抽象集合,以及它们的安全策略集合
  • 每个安全组都包含出入方向的动作定义,类似于ACL的控制模型
  • 同一个安全组内的成员默认互通
  • 组内成员主动发起的南北向访问,默认允许互通
  • 组外的主动访问需要白名单匹配

2.方案实现

实现分为两种,一种是Network Overlay,另外一种是Hybrid Overlay,
两种组网的含义请参考我的博客:
《云数据中心网络架构与技术》读书笔记第六章构建数据中心的逻辑网络(Overlay网络)
6.3章节

Network Overlay组网中

  • VM接入场景中,由云平台编排并向OVS发放有状态的IPtable,从而实现安全组
  • BareMetal接入场景中,由云平台编排BM的安全组再通过SDN控制器转换为ACL策略下发到接入交换机上
    在这里插入图片描述

Hybrid Overlay组网中

由虚拟交换机替代了OVS

  • VM接入场景中,由云平台接入安全组,再通过SDN向虚拟交换机发放安全组业务
  • BareMetal接入场景中,与Network Overlay相同

在这里插入图片描述

8.4.2 网络安全

8.4.3 高级威胁检测防御

8.4.4 边界安全

8.4.5 安全管理

Greyplayground
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
计算与数据中心建设课程.doc
07-10
计算与数据中心(IDC)建设课程大纲 一、培训目标 1. 通过培训使学员能够了解计算的相关知识 2. 通过培训使学员能够了解IDC建设的相关内容及注意事项 3. 通过培训使学员能够了解物联网的相关知识 4. 通过培训使学员能够了解物联网的产业应用及成功案例 2. 培训时间 2天(6小时/天) 三、课程大纲 "时间 "内容 " "第一天上"当前企业所面临的挑战 " "午 "什么是计算 " "计算模"计算的基石 " "块 "计算的特征 " " "服务的分类 " " "计算的部署模式 " " "计算面临的挑战 " " "为计算选择适当的工作负载 " " "实现计算所必须的基础设施 " "第一天下"IDC概述 "IDC综合管理系统 " "午 "IDC网络建设 "IDC的设计方针 " "数据中心"IDC服务器建设 "管理系统整体设计方案 " "建设模块"IDC存储系统建设 "IDC机房系统设计说明 " " "IDC软件系统建设 "机房装修 " " "IDC自身服务系统建设 "电气系统 " " "IDC机房场地建设 "空调系统 " " "IDC网络功能结构 "门禁系统 " "
数据中心网络架构技术读书笔记 | 第3章 金融数据中心网络的总体架构与方案演进
COCO_gsta的博客
04-18 1565
第3章 数据中心网络的总体架构技术演进 3.1 数据中心网络技术概述 物理网络的特性,如带宽、时延、扩展性等,都会对虚拟网络的性能和功能产生很大影响 3.1.1 数据中心网络的物理架构 从传统的三层网络架构演进至基于Clos架构的两层Spine-Leaf架构 3.1.1.1 传统的三层网络架构 三层:接入层、汇聚层、核心层 1. 无法支撑大二层网络构建 VM需要在任意地点创建、迁移 安全、QoS、网络分析等业务的外移 横向扩展时,只能通过增加PoD的方式扩展,非常依赖于厂家对设备的更新
数据中心网络架构设计,打造高效、安全的数字底座
最新发布
04-12 1189
数据中心网络架构设计,打造高效、安全的数字底座
数据中心基础
热门推荐
曹世宏的博客
05-17 1万+
数据中心概述: DC (Data Center) 企业IT系统的核心 海量数据运算、交换、存储的中心 关键信息业务应用的计算环境 集中管控各种数据、应用程序、物理或虚拟化设备的环境 数据中心四大焦点:可靠、灵活、绿色、资源利用率。 传统数据中心面临的问题: IT复杂: 30%传统数据中心资源分散,利用率低。 平均业务恢复时间长。100分钟。 80%工程师手工分配资源。 5...
计算数据中心系列 【服务器篇】 视频课程(硬件精讲 + 项目实战)-夏杰-专题视频课程...
weilandeyongheng的专栏
05-07 954
平台上去搜索服务器,基本只有两类课程,要么讲系统(Windows/Linux),要么讲虚拟化(VMware/Ctrix/KVM),没有一门课程去深入讲解服务器硬件和产品选型。本课程讲带你揭开服务器的面纱,并结合实战,让你深入理解服务器选型。...
数据中心网络技术
老网工的岁月独白
05-03 6919
博文主要介绍了以EVPN VXLAN体系构建数据中心的关键技术。干货满满。
数据中心网络架构技术
lpx1249115962的博客
02-16 654
数据中心是一种基于计算架构的新型数据中心,其计算、存储及网络资源松耦合,各种IT设备完全虚拟化,模块化程度、自动化程度、绿色节能程度均较高。数据中心网络的特点,首先是高度的虚拟化,包括服务器、存储、应用等虚拟化,用户可以按需调用各种资源;其次是自动化管理程度较高,包括对物理服务器、虚拟服务器的自动化管理,对相关业务的自动化流程管理,以及对客户服务的收费等的自动化管理。
基于阿里搭建实时数据仓库项目学习笔记
01-07
实现思思路: 一、项目需求分析 二、阿里技术构架 三、技术构架 四、系统架构设计 五、业务流程 ... 上面就是阿里技术框架与一些D传统的大数据解决方法技术对比。通过对比可以看出,虽然使用的工具有
IPv6协议学习笔记5——数据中心IPv4-IPv6双栈架构.pdf
06-13
例如,移动IPv6允许设备在更换网络时保持其IPv6地址不变,而IPsec(Internet Protocol Security)在网络层提供端到端安全加密,增强了数据传输的安全性。 总之,数据中心的IPv4-IPv6双栈架构是一个复杂但必要的...
华为数据中心知识笔记分
10-21
华为数据中心知识笔记分 华为数据中心知识笔记分是指...E9000 资源平台架构是华为数据中心知识笔记分中的一个核心组件,能够提供高性能计算能力、高容量存储能力和灵活的网络配置能力,满足各种数据中心应用需求。
呼叫中心0000数据分析笔记共27页.pdf.zip
11-20
9. **数据安全与合规**:在涉及大量敏感客户信息的呼叫中心,数据安全和合规性是必不可少的。笔记可能会强调遵守相关法规,如GDPR,以及数据加密和访问控制的实践。 10. **未来趋势**:笔记可能还会展望呼叫中心...
计算数据中心网络技术.pdf
11-27
计算数据中心网络技术.pdf 计算数据中心网络技术.pdf
计算数据中心网络技术》.rar
07-24
计算数据中心网络技术》.rar
计算数据中心架构技术
11-07
思科培训教程之计算数据中心架构技术,将来会是主流,一定要看。
数据模型与决策-第14章.pdf
05-07
数据模型与决策-第14章.pdf数据模型与决策-第14章.pdf数据模型与决策-第14章.pdf数据模型与决策-第14章.pdf数据模型与决策-第14章.pdf
数据中心网络架构数据中心网络 — 大二层网络技术
烟云的计算
08-22 2679
目录 文章目录目录技术背景数据中心的东西流量成为了主流服务器虚拟化带来的虚拟机迁移问题大二层网络架构大二层网络架构的问题 技术背景 数据中心的东西流量成为了主流 早期数据中心的流量有 80% 为南北向流量(North-South-Traffic),但随着计算的兴起、以及分布式架构的发展,现在已经转变为 70% 为东西向流量(East-West-Traffic)。 随着计算的到来,越来越丰富的业务对数据中心的流量模型产生了巨大的冲击,比如:搜索、并行计算等业务,需要大量的服务器组成集群系统,协同完成工作
[数据中心] 《数据中心网络架构技术读书笔记 第七章 构建数据中心网络(1/3)
Greyplayground
04-07 3179
7.1 多数据中心的业务诉求场景 7.1.1 多数据中心的业务场景分析 7.1.2 多数据中心网络需求分析 7.1.3 Multi-DC Fabric方案整体架构和场景分类示例 7.2 Multi-Site场景和设计 7.2.1 Multi-Site方案的应用场景 7.2.2 Multi-Site方案的具体设计 7.2.3 推荐的部署方案 7.3 Multi-PoD场景和设计 7.3.1 Multi-PoD方案的应用场景 7.3.2 Multi-PoD方案的具体设计 7.3.3 推荐的部署方案 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值