3. 安全的网络通道-网络准入
3.1 为什么安全是云计算的基础
数据安全是IT部门的首要任务。
3.2 云计算安全的发展现状
在云计算安全方面最有影响力的组织CSA(Cloud Security Alliance,云计算安全联盟)。
3.3 网络在云计算安全防护中扮演的角色
数据截取大多发生在数据传输过程中,VPN通道可以用来保证数据的私密性。网络安全策划分到两个维度:准入和加密。
3.4 网络准入的技术分类
常见的认证准入方式:二层准入,三层准入,基于客户端方式的认证。
3.4.1 二层准入
二层准入是用户在获得三层IP地址之前必须通过认证,只有通过认证的计算机才能向DHCP服务器申请IP地址。二层准入的实现方式是802.1X。802.1X认证流程分为以下四步:
(1)端口初始化->(2)EAP初始化->(3)EAP协商->(4)用户身份验证
3.4.2 三层准入
三层准入又被称为Web认证。Web认证分为以下几个步骤:
交换机端口进入有限接入状态->(2)客户端触发认证流程->(3)用户身份认证
Http请求不会直接转发给Web服务器,交换机截获到用户的这个HTTP请求后,会将用户重定向到一个预先设置好的认证页面。
3.4.3 客户端方式
通过客户端对接入的用户进行认证,比如杀毒软件。这类软件主要干两件事:
从操作系统接手802.1X的认证流程。
对操作系统的健康状况做检查,例如是否安装了最新补丁,杀毒软件是否更新到最新病毒库等,若操作系统处于可靠状态则允许接入网络,否则拒绝。
3.5 二层准入Vs三层准入Vs客户端认证
3.5.1 二层准入的特点-成熟、实用
基于802.1X是一个成熟的方案,具备以下三个特点:
完全公开的架构
成熟的技术标准
完善的认证和授权机制
3.5.2 三层准入的特点-轻便、简单
三层准入的特点:
零客户端
使用简单
安全较弱
不支持Single Sign-on
不支持机器认证
3.5.3 客户端方式的特点-功能全面、无统一标准
客户端方式最大的问题是其实现方式的不统一,每个厂家解决方案从原理到界面都不千差万别。
3.6 最终用户需要什么样的方案
对用户来说最好的方案是用户体验最好的方案。
3.7 IT部门需要什么样的方案
IT部门关注的是安全和稳定。
3.8 什么是完美的产品
完美的产品具备以下几个特点:
可延续性
可用性
灵活性
整合性
3.9 虚拟桌面的机会