唯一小编 发布时间:2021-03-01
在网络相关的业务中,高弹性是往往被提及的一个架构设计目的,前两个我就碰到一个用户需求我们帮助设计一个高弹性的架构以承载他们周期性暴增的业务压力,用户90%以上的业务压力都集合在业务高峰期,因此在设计这个架构之初,我和用户就在纠结,到底是采纳更了解的“堆”服务器的想法呢,还是采取更具弹性的容器化的案例呢?其实作为一个技术人员,在问这个难题的时候就已经有确定的答案了,最终我们设计出了这样的一个架构: 容器平台选择阿里云的ACK(阿里云容器服务Kubernetes版)。其中ACK分成专有版和托管版,区分是专有版的管控节点需求用户自行预备,而托管版应用阿里云的资源进行资源管控,在托管版中又分成标准版和Pro版,其中Pro版有确定的SLA保障,生产系统建议选择Pro版。同时为了保障worker节点的内容安全,建议为充当worker节点的ECS配置云安全中心服务进行主机安全防护。 除了ACK,阿里云还提供无服务器架构的ASK,区分是ACK有ECS服务器充当worker节点,创建POD所需的资源经过ECS进行安排,而ASK没有worker节点,ASK直接在阿里云的分享资源池中经过ECI(弹性容器节点)来安排资源创建POD。 在这个项目中为了担保永远有肯定量的稳定资源供给,我们决定应用ACK再融合阿里云的ECI来兑现资源的弹性供给。ECI资源的申请和释放可经过ACK的ack-virtual-node插件出自动达成,动态增加的POD将自动运行在ECI之上。 考虑到业务高峰期和平常存在庞大的应用量落差,选择应用按流量的方法购入手互联网带宽资源,并经过购入手分享流量包将一切的互联网流量进行集合抵扣。这个项目所用到的互联网流量主要有如下三个: 鉴于ECI节点上服务的启动需求肯定的时光,而业务流量也许瞬间到达峰值,因此经过MQ来缓冲瞬时的业务压力,为运行在ECI弹性资源上的服务争取启动时光。 阿里云MQ服务依据访问协议的不同分成RocketMQ、AMQP、Kafka三个系列,对于海量的业务交易场景建议选择通过双十一检验的RocketMQ系列,在RocketMQ系列中又分成一般版和公司铂金版两个版本,公司铂金版采纳独享硬件资源,能够更充分的保障峰值吞吐实力,对于瞬时业务峰值高的业务,建议尽也许选择铂金版。 数据库采纳云原生数据库PolarDB,PolarDB可以从2个节点扩容到16个节点,单节点可改进至88核710G规格,集群采纳分布式分享存储架构,单个集群可存储100TB的数据,有赖于其采纳分布式分享存储的架构,PolarDB集群增加节点时无需进行大量的数据拷贝,因此可以在分钟级达成集群的横向扩容。 我觉得这个架构对于大部分“腰部”级其他网络行业用户都是适用的,因此共享出来,盼望对大家有所协助。
唯一小编 发布时间:2020-12-30
这几年来对云等保级保护的强调重点和要求,以及出台相关的政策来看,等级保护已不是仅仅属于网络运营者以及关键信息技术设施运营者们的事,而是上升到法律层面受相关律法的制约,其重要性不言而喻。云等保等级保护制度的实施和落地,不仅有助于中国数字化的进一步发展,同时也带来了网络空间安全的新时代。 云等保是唯一网络自主研发的一套融合多种安全组件、云化接入、零成本学习、分钟级部署,适用部署与IDC、阿里云、腾讯云、华为云、AWS等多种计算环境的信息系统,满足企业二级、三级等保合规要求。 云等保定级流程 定级是开展网络安全等级保护工作的 “基本出发点”,虚拟化技术使得传统的网络边界变得模糊,使得使用云计算技术的平台/系统在定级时如何合理进行边界拆分显得困难。 云计算等级保护对象的合理定级对云计算系统/平台责任方在落实等级保护制度时有着决定性的作用。网络安全等级保护2.0基本的定级流程如下图: 网络安全等级保护2.0在定级过程中网络安全运营者自主定级,然后组织安全专家和业务专家对定级结果的合理性进行评审,提供专家评审意见。 大致的专家评审流程如下: 由等级保护对象责任主体(网络安全运营者),阐述定级对象; 向评审专家汇报等级保护对象的定级情况,分别从定级依据、自主定级过程、初步确定等级概述、各信息系统的系统描述、风险着眼点、业务信息安全和系统服务安全等方面进行阐述; 专家听取等级保护对象拟定级情况汇报后,讨论和质询,最终对定级级别形成了意见评审表,现场打印由专家签字,专家评审工作完成。 在开展等级保护对象定级时,网络运营者应基于系统业务情况、服务对象和自身信息系统建设实际情况进行合理的定级。为保证定级的合理性,系统责任方首先需明确等级保护对象和安全保护级别。 云计算形态 在确定云计算定级对象时,首先需明确定级的等级保护对象的形态为云计算形态,否则不应该当做云计算系统/平台来定级。 根据GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算的定义:“以按需自助获取、管理资源的方式,通过网络访问可扩展的、灵活的物理或虚拟共享资源池的模式。”因此,在判断是否为云计算形态时,可根据是否同时满足下列五大特征: 云计算特征 描 述 按需自助 无需人工干预,客户能根据需要获得所需计算资源,如自主确定资源占用时间和数量等。 泛在网络访问 无处不在的网络接入、从任何UF接入,云计算的泛在接入特征使客户可以在不同的环境下访问服务,增加了服务的可用性。 资源池化 集中化的设备,对资源进行集中池化后,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。 快速弹性 动态的业务性能弹性,客户可以根据需要快速、灵活、方便地获取和释放计算资源,能够在任何时候获得所需资源量。 可度量的服务 云提供商提供控制和监控资源,指导资源配置优化、容量规划和访问控制等任务,同时可以监视、控制、报告资源的使用情况。 此外,需注意云计算的本质是服务,如果不能将计算资源规模化/大范围的进行共享,如果不能真正以服务的形式提供,就根本算不上云计算。 在针对云计算系统/平台作为定级对象时,需注意: 云服务商侧的云计算平台/系统作为定级对象时,首先需满足云计算形态,能够为云服务客户提供云计算服务; 云服务客户侧的等级保护对象作为定级对象时,需使用了云计算平台提供的服务。 注意:云计算涉及多类角色,在等级保护2.0中仅包括云服务商和云服务客户,其中云服务商指提供云计算服务的参与方,云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。 云服务客户,即云服务消费者(云租户),消费云计算平台提供的服务。 云计算架构及安全责任划分 根据定级指南对云计算系统/平台的定级规定,在确定云计算定级对象时,需根据不同服务模式将云计算平台/系统划分为不同的定级对象。因此,如何进行合理的划分,必须明确云服务客户与云服务商的安全责任边界,了解云平台架构,确定云服务商和云服务客户各自需保护的对象。 1) 云计算架构 云计算架构可分为服务类和管理类,其中服务类基于云平台提供的云服务分为基础设施资源层(IaaS服务)、数据和开发平台层(Pass服务)以及应用服务层(SaaS服务),管理类包括云服务运维控制和云服务运营管理。 在服务类方面,PaaS基于IaaS实现,SaaS的服务层次又在PaaS之上,三者分别面对不同的需求。从用户角度而言,这三层服务间的关系相互独立(提供的服务完全不同,且面对的用户也不尽相同)。但从技术角度而言,云服务这三层之间的关系并不是独立的,存在一定依赖关系,比如一个SaaS层的产品和服务不仅需要使用到SaaS层本身的技术,而且还依赖PaaS层所提供的开发和部署平台或者直接部署于IaaS层所提供的计算资源上,还有,PaaS层的产品和服务也很有可能构建于IaaS层服务之上。 云计算总体架构可描述为下图。 2) 云安全责任划分 不同的云计算服务模式(IaaS、PaaS、SaaS)下,云服务商和云服务客户安全责任存在一定差异,云服务商在不同的服务模式下承担的安全责任如下图: 在基础设施即服务(IaaS)模式下,云服务商基础设施包括支撑云服务的物理环境、云服务商自研的软硬件以及运维运营包括计算、存储、数据库以及虚拟机镜像等各项云服务的系统设施,同时云服务商还需负责底层基础设施和虚拟化技术,并与云服务客户共同分担网络访问控制策略的防护; 在平台即服务(PaaS)模式下,云服务商除防护底层基础设施安全外,还需对其提供的虚拟机、云应用开发平台及网络访问控制等进行安全防护,并对其提供的数据库、中间件进行基础的安全加固; 在软件即服务(SaaS)模式下,云服务商需对整个云计算环境提供安全防护责任。 云计算定级对象 在云计算环境下,基于云计算形态、云安全责任边界以及云计算的架构,云计算等级保护对象有: 1) 云计算平台 ,即云服务商提供的云基础设施及其上的服务层软件的组合; 考虑到云计算的本质是服务,不同的云平台为云服务客户提供不同的云服务,所以云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。有云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。 2) 云服务客户业务应用系统 云服务客户侧的等级保护对象,利用云计算平台提供的云计算服务,根据其部署的云计算平台模式,确定定级对象边界。通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。 3)云计算技术构建的业务应用系统 存在一类系统为云计算形态,但无租户概念,对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。 此外,对于大型的云平台(公有云)可将辅助服务系统(如CDN系统、运维、运营系统)进行单独的定级,该类系统可能为传统信息系统,也可能为云服务客户业务应用系统。 综上,在云计算环境中,对云计算系统/平台的定级大致可以分为下列几类: 表中A、D类系统,大致情形如下: 假设某云服务商L的云平台为云服务客户提供基础设施服务(或数据和开发服务),此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,T单位将业务系统部署在云服务商L提供的基础设施服务上,T单位的业务应用系统为A类云客户应用系统; 假设某云服务商L的云平台为云服务客户提供数据和开发服务,此时可确定其定级对象为云计算数据和开发平台(PaaS平台),T单位利用云服务商L提供的数据和开发服务,部署其业务系统,此时T单位的业务应用系统为A类云客户应用系统; 假设某云服务商L的云平台为云服务客户提供应用服务,此时可确定其定级对象为云计算应用服务平台(SaaS平台),T单位使用云服务商L提供的应用,拥有业务和数据管理权限,此时T单位的业务应用系统为D类云客户应用系统; 表中的B、C、D三类系统,大致情形如下: 假设某云服务商L的云平台为云服务客户提供基础设施服务,此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,X单位和G单位分别利用云服务商L提供的基础设施,搭建云平台,并为客户M提供PaaS、SaaS服务。 注意该情形中: ① 对于云服务商L来讲,X单位和G单位为其云服务客户; ② 对于客户M来讲,此时X单位和G单位的角色变为云服务商。 X单位的系统定级类型为表中的B类系统,而G单位的系统定级类型为表中的C类系统。 客户M的系统可能为表中的A类系统或D类系统。D类系统是客户N直接使用云服务商云平台提供的SaaS服务,该类系统是否作为定级对象,需根据使用场景进行判定,若客户N仅使用该SaaS服务,无管理权限、未对数据进行处理,则无需定级,该类系统定级情形可参见邮件系统。 表中云计算技术构建的业务应用系统,情形如下: P单位自建或购买第三方云计算技术,自行搭建云计算平台,单独为其业务系统提供服务,此时P单位的定级对象为云计算技术构建的业务应用系统。 典型案列 常见的云计算定级场景:A云服务商为云服务客户B提供基础设施服务(计算/网络/存储),常见的A为阿里云、华为云、电信云等公有云厂商。 集团或大型企业为B,在购买了公有云服务商A的基础资源后,利用A提供的IaaS服务为客户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。 C可能为个人用户,也可能为B的分支机构或服务个体。 此场景中: A类:云服务商的IaaS平台为定级对象; B类:面向用户提供SaaS服务,定级为云服务客户业务系统B; C类:根据用户场景进行定级。若C为B的分支机构或其他企业用户,数据安全责任主体为C,此时,C需对业务应用进行定级,且级别不得高于B对业务系统确定的安全等级,否则C无需定级。 注意:在实际关于云计算平台/系统的定级时,要合理区分SaaS云计算平台和SaaS云服务客户系统。
唯一小编 发布时间:2020-08-26
东莞服务器租用托管是区域性基础设施服务。用户选择它的标准在于:第一,客户群体集中在东莞,我们要去东莞淘金,客户都集中在东莞当然要选择东莞服务器;第二,住在东莞周围,对东莞服务器管理和维护比较方便。目前东莞地区idc服务商数一数二就是唯一网络,历经十多年沉淀,拥有自己的数据中心。并在云安全、云计算、IDC自动化运维等领域深入发展,为客户提供专业的DDoS/DNS/CC等网络安全防护、云计算、云存储、服务器自动化运维等解决方案,先后获得了“国家高新技术企业” 、“广东省守合同重信用企业” 、“东莞市十大倍增标杆企业”等荣誉称号。 东莞唯一网络科技有限公司(简称“唯一网络”)正式成立于2006年并先后在深圳、厦门、北京、广州 、上海 建立分公司是一家为客户提供服务器租用、服务器托管、机柜大带宽、网络安全、CDN加速等互联网增值业务解决方案的企业。2018年4月通过中国证券监督管理委员会上市公司并购重组审核委员会审核,正式成为南兴装备股份有限公司(股票代码:002757)的全资子公司。并且成为国内阿里云、华为云、腾讯云、百度云、金山云总代理。 以下的是东莞服务器租用套餐价格配置 型号 CPU 内存 硬盘 IP 带宽 市场价 DELL R610 E5620 8核 8G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥1,110.00 DELL R610 E5620 8核 16G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥2,281.00 DELL R620 E5-2660*2 16核 16G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥2,038.00 DELL R620 E5-2660*2 16核 32G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥3,267.00 DELL R610 E5620 8核 8G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥1,172.00 DELL R610 E5620 8核 16G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥2,344.00 DELL R620 E5-2660*2 16核 16G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥2,100.00 DELL R620 E5-2660*2 16核 32G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥3,330.00 DELL R610 E5620 8核 8G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥1,809.50 DELL R610 E5620 8核 16G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥4,968.50 DELL R620 E5-2660*2 16核 16G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥2,737.50 DELL R620 E5-2660*2 16核 32G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥5,954.50 DELL R610 E5620 8核 8G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥1,922.00 DELL R610 E5620 8核 16G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥5,956.00 DELL R620 E5-2660*2 16核 16G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥2,850.00 DELL R620 E5-2660*2 16核 32G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥6,942.00 DELL R610 E5620 8核 8G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥1,765.00 DELL R610 E5620 8核 16G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥4,719.00 DELL R620 E5-2660*2 16核 16G 1T SATA/ 240G SSD 1个电信IP 10M独享 ¥2,693.00 DELL R620 E5-2660*2 16核 32G 1T SATA/ 240G SSD 1个电信IP 50M独享 ¥5,705.00 以下是东莞服务器托管套餐价格配置 机房 机位 IP 带宽 市场价 东莞寮步机房/东城机房 1U 1个电信IP 10M独享 ¥738.00 1U 1个电信IP 50M独享 ¥1,875.00 2U 1个电信IP 10M独享 ¥863.00 2U 1个电信IP 50M独享 ¥2,000.0 以上由唯一网络南兴装备股份有限公司002757全资子公司小编整理关于东莞服务器租用 东莞服务器托管,具体更多问题可以关注留言我们哦
唯一小编 发布时间:2018-07-27
当前对云安全技术的研究正是全世界的热点,而“云安全(CloudSecurity)”也是网络时代信息安全的最新体现。 1.云安全的概念和云安全的防御模式比较 1.1 云安全的概念 “云安全”是继“云计算”“云存储”之后出现的“云”技术的重要应用,它是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展和自然演化的结果。早期的云安全技术主要是利用数据的海量采集来应对数据的海量威胁,它与2003年提出的反垃圾邮件网络非常接近。通常是将文件内容不同部分的Hash值与所检测文件的Hash值进行比较,从而判别文件是否为可信文件。目前有很多用户将云安全理解为一种完全崭新的安全模式,也有用户将云安全理解为对传统安全体系的升级。实际上这两种理解都有可取之处,其实云安全更近似于云计算技术在安全领域的特定应用,而其创新之处则更多地来自于用户和运营等层面。 1.2 传统的安全防御模式和云安全的防御模式的比较 传统云安全的防护主要体现在对病毒的恶意程序检测上面,它主要依赖于安装在用户计算机上的威胁特征码数据库,这意味着,每台计算机上的威胁特征码数据库只有在更新并包括新威胁的特征码之后才能提供最新的防护。也就是说在对待安全威胁的处理上,存在着时间的延迟。这种办法无法有效地处理日益增多的恶意程序。因为来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马而这样就会造成对被感染文件的干预延迟,从而造成安全隐患。 而在云计算环境下,这种基于特征码的传统恶意程序检测方法显然已不能满足要求。因为用户的行为在改变,威胁也在不断演变,传统的防护方法显然不能跟上云计算发展的步伐,因此业界提出了Web安全网关技术和文件信誉技术,Web安全网关基于对Web应用业务和逻辑的深刻理解,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。有效拦截HTTP与FTP数据,检测、抵御病毒、间谍软件、特洛伊木马与蠕虫攻击。而文件信誉技术则解决了病毒库更新的时间延迟问题。 虽然Web网关防护和文件信誉技术对待应用安全威胁弥补了以往的安全防护的单一性,但是现在的云安全技术,应该说都还处在一个起步的阶段,它们没有提供着完整云安全服务,仅仅局限于病毒防范,而完整的云安全防护应该包括建立URL过滤,文件过滤和电子邮件过滤,数据还原等一系列的安全解决方案。新时期的云安全防病毒理念应该是:它不再需要客户端保留病毒库特征,将所有的信息都将存放于互联网中。当全球任何角落的终端用户连接到互联网后,与云端的服务器保持实时联络,当发现异常行为或病毒等风险后,自动提交到云端的服务器群组中,由云计算技术进行集中分析和处理。之后,云计算技术会生成一份对风险的处理意见,由客户端构成的防御体系可以通过网络直接阻断病毒和木马的传播路径,最终保护终端机器安全。 2.云安全安全防御策略和解决方案 2.1 云安全的安全防御策略 随着云计算的不断发展,来自网络威胁对云安全带来了挑战。因此迫切需要建立一种新的云安全的防御体系。下面我们拟从以下几个方面建立云安全的综合防御体系: (1)Web信誉服务的建立 Web信誉服务是云安全网络防护解决方案的关键组成部分,Web信誉服务为网域以及网域内的网页指定相对的信誉分数,然后根据信誉分数来决定对该网页的访问权限。 (2)行为关联分析技术的建立 利用行为分析的“相关性技术”把威胁活动综合联系起来,确定其是否属于恶意行为。可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,针对电子邮件和Web威胁能够实时做出响应,自动地保护。 (3)自动反馈机制的建立 建立自动反馈机制,以双向更新流方式通过检查单个客户的路由信誉来确定各种新型威胁,实现实时探测和及时的“共同智能”保护。 (4)威胁信息汇总 建立起病毒的反馈更新机制,对网络进行全天候威胁监控和攻击防御,以探测、预防并清除攻击。 2.2 云安全解决方案架构的设计 结合对云安全防御策略,现初步建立多层次云安全解决方案,该方案主要由云安全多层次网络安全系统,云安全多层次防病毒系统,和云安全多层次中心控制系统三部分组成。每个部分紧密联系,分工合作,来确保云安全。 (1)云安全多层次安全解决方案网络系统防毒中的设计 网络系统防毒中心主要负责:提供SSO单一登录的机制,统一管理所有的软件和硬件资源,实现对所有防毒软件和硬件的集中设置、集中维护;搭建一个立体化的管理构架;集成临时策略功能,形成统一报告,提供分析内网漏洞的有效数据,并且提供多用户管理机制。 (2)云安全多层次防病毒系统详细设计 ①网关层,利用网关防护Internet的HTTP出口在网关处,对Internet的HTTP流量进行实时监控。 ②应用层,利用终端层防护所有计算机的安全对于邮件应用,将部署IMSA垃圾邮件和病毒邮件过滤设备。对进出的邮件进行全面过滤 ③终端层,利用终端层防护所有计算机的安全对于网络中的所有终端PC和服务器进行全面的安全防护。提供病毒过滤,木马查杀,防火墙和IDS.同时对U盘等移动介质也进行严格的权限管理。 ④网络层,通过对网络中所有协议的流量进行监控。在Web处理方面,建立网关Web病毒和内容过滤设备,在垃圾邮件处理方面,建立垃圾邮件过滤设备。 (3)云安全多层次中央控管体系的建立 ①防毒墙控管中心 建立立体防御体系,防御软件,系统防御,病毒侵入的管理日志的监控建立对各安全防御软件的集中配置和管理。建立集中的预警机制,当面对不明软件运行情况时,可以即时进行预警并通知在网的其他终端。 ②建立漏洞扫描和防御中心:隔离具有系统漏洞的计算机,强制打补丁,以次确保当病毒来临时,不会因为系统的漏洞造成网络受到病毒攻击而瘫痪。 ③建立病毒发作防御中心:利用病毒爆发防御策略技术,将网络内部所有病毒可能利用的途径全部关闭。 以上为正文内容。 服务器租用/服务器托管最具实力IDC提供商! 转载请注明:唯一网络
唯一小编 发布时间:2018-07-27
对于企业来说,从现有的IT管理体系过渡到私有云平台,大致经历了以下几个过程:数据大集中、业务系统整合、IT资源的虚拟化、管理平台的云化、应用和服务的集成提供。私有云为企业各个业务部门提供统一服务,不仅仅包括计算资源、存储资源、网络资源,还应该包括安全资源,如身份认证、病毒查杀、入侵检测、行为审计等,只分配了计算资源与存储资源的系统,对用户来讲,无异于“裸奔”。在企业私有云环境里,不同业务系统的安全需求差异很大,那么在一个“云”内,为不同业务系统提供不同的安全策略,安全策略如何部署?部署在哪里?差异化的需求如何满足? 和云计算的定义一样,关于云安全也没有统一的定义,但对于企业私有云来说,云安全就是确保用户在稳定和安全合规的情况下在云计算中心上运行应用,并保证存储于云中的数据的完整性和机密性。以下从三个方面谈一下私有云的安全挑战和具体实践。 一、云环境中对虚拟云桌面的管理 首先从每个员工使用的桌面终端来说。随着虚拟化技术的发展,在企业里虚拟云桌面终端也迅速部署应用起来,虚拟化桌面终端安全问题也逐渐凸显。虚拟化云桌面终端安全所面临的主要问题可划分为两大类,一类是传统的终端安全问题的延续;另一类是在虚拟化环境下所面临的新问题。虚拟化环境下所面临的新问题主要包括虚拟化环境所面临的安全威胁、无边界访问带来的安全威胁、虚拟机防护间隙带来的威胁和安全防护引发的资源争用等多项安全问题。 云桌面通过虚拟化技术来实现了桌面的统一、资源的共享,让员工通过瘦客户端来实现任何时间、任何地点访问跨平台的桌面系统,能够解决传统桌面管理模式的弊端,而且通过统一规划所有云桌面用户的IP地址,在防火墙和交换机上设置策略、建立访问控制列表,限制该网段互联网访问权限,也可以方便实现云桌面用户与互联网的隔离。 云桌面使用方便也易于实现统一管理,然而在资源高度聚合、数据远程化、弹性大规模的云桌面应用模式下,安全问题仍然不可避免。 从虚拟云桌面的整体系统角度来看,客户端、传输网络、服务器端、存储端等各个方面,都会产生安全风险。忽略任何一个细节都会导致整个系统的信息漏洞。 客户端:在虚拟云桌面的应用环境中,只要有访问权限,任何智能终端都可以访问云端的桌面环境,如果使用单纯的用户名密码作为身份认证,那么其泄露就意味着对方可以在任何位置访问你的桌面系统,并获取相关数据。传统的桌面可以采用物理隔离的方式,其他人无法进安全控制区域窃取资料;而在虚拟桌面环境下,这种安全保障就不复存在了。这就要求有更加严格的终端身份认证机制。目前比较好的方案有Ukey准入认证,利用Ukey 认证作为云平台的安全接入认证不仅能够提高云平台的安全性,也能够使Ukey 发挥最大效能,充分利用Ukey高可靠性的特点实现对云计算资源的保护,防止无授权用户的非法操作。相对于远程用户,则可以采用Ukey 认证与SSL VPN 技术相结合,为远程用户提供一种安全通信服务。还有就是通过MAC地址对于允许访问云端的客户端进行一个范围限定也是不错的办法。虽然牺牲了一定灵活性,但这种方式可以大幅提升客户端的可控性。 (注:国内的USBKEY品牌型号繁多,企业在选择USBKEY时一般也没有太多的考虑,因此导致了多种型号及品牌的KEY共存的现象比较普遍。建议测试几种使用,另外还有无驱的Ukey, 会模拟成HID,有的不能自动映射,还需要手动连接) 传输网络:绝大部分企业级用户都会为远程接入设备提供安全连接点,供在防火墙保护以外的设备远程接入,但是并非所有的智能终端都支持相应的VPN技术。智能手机等设备一般可采用专业安全厂商提供的定制化VPN方案。企业内部的终端和云端的通讯可以通过SSL VPN协议进行传输加密,确保整体传输过程中的安全性。 服务器端:在虚拟桌面的整体方案架构中,后台服务器端架构通常会采用横向扩展的方式。这样一方面通过增强冗余提升了系统的高可用性;另一方面可以根据用户数量逐步增加计算能力。在大并发的使用环境下,系统前端会使用负载均衡器,将用户的连接请求发送给当前仍有剩余计算能力的服务器处理。这种架构很容易遭到分布式拒绝攻击,因此需要在前端的负载均衡器上需要配置安全控制组件,或者在防火墙的后端设置安全网关进行身份鉴定授权。 存储端:采用虚拟桌面方案之后,所有的信息都会存储在后台的磁盘阵列中,为了满足文件系统的访问需要,一般会采用NAS架构的存储系统。这种方式的优势在于企业只需要考虑保护后端磁盘阵列的信息防泄漏,原本前端客户端可能引起的主动式的信息泄密几率大为减少。但是,如果系统管理员,或者是具有管理员权限的非法用户想要获取信息的话,这种集中式的信息存储方式还是存在隐患的。如果使用普通的文件系统机制,系统管理员作为超级用户具有打开所有用户目录,获取数据的权限。 一般可以采用专业的加密设备进行加密存储并且为了满足合规规范的要求,加密算法应当可以有前端用户指定。同时,在数据管理上需要考虑三权分立的措施,及需要系统管理员、数据外发审核员和数据所有人同时确认也能够允许信息的发送。这样可以实现主动防泄密。此外,还需要通过审计方式确保所有操作的可追溯性。 二、网络层如何进行动态安全防护 云计算的大规模运营给传统网络架构和应用部署带来挑战,不论是技术革新还是架构变化,都需要服务于云计算的核心要求,即动态、弹性、灵活,并实现网络部署的简捷化。具体来说传统网络面临的挑战主要4点。 1)服务器的利用率从20%提高到80%,服务器端口流量大幅提升,对数据中心网络承载性能提出巨大挑战,对网络可靠性要求也更高; 2)多种应用部署在同一台物理服务器上运行,使网络流量在同一台物理服务器上产生叠加,流量模型更加不可控 3)服务器虚拟化技术的应用必然伴随着虚拟机的迁移,这种迁移需要一个高效的网络环境来保障; 4)虚拟机的部署和迁移, 使得安全策略的部署变得复杂和无助,需要一个动态的机制来对数据中心进行防护。 从两个方面来说下这个问题: 1、东西向安全: 在企业私有云环境下,融合了多业务和多租户资源池环境,业务之间和租户之间的安全隔离成为云平台建设必须要解决的问题。与传统的网络架构相比,私有云数据中心网络流量模型逐步由东西向流量取代南北向流量成为主要流量,多业务和多租户隔离一方面需要考虑隔离方案的可维护性,另一方面需要考虑网络能力的横向可扩展性。 目前大部分资源池的安全隔离仍采用物理防火墙作为东西向和南北向隔离方案,但物理防火墙在扁平化数据中心网络中存在结构性瓶颈,限制了网络的横向扩展能力。这里可以考虑采用分布式虚拟防火墙对业务和租户之间的横向流量进行隔离,南北向流量隔离利用NFV防火墙实现,通过SDN Controller向DFW(分布式虚拟防火墙)自动下发定制的策略,实现业务和租户之间安全隔离。分布式虚拟防火墙的性能是我们目前主要关注的问题,随着流量规模的增长,我们会根据情况考虑虚拟防火墙和物理防火墙相结合部署的架构。 2、南北向安全: NFV(网络功能虚拟化),通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。常用的NFV组件有vFW、vLB、vSwitch等,下面以vFW、vLB为例,对IT云平台NFV的部署运用进行简单介绍。 1)利用vFW(虚拟防火墙)实现南北向安全防护 南北向流量主要是客户端到服务器之间的业务流量,这类流量需要进出资源池,安全隔离的边界在资源池出口处,在此位置可以部署物理防火墙,也可以部署NFV防火墙集群,用于对整个资源池与外部网络的安全隔离。 2) 利用vLB(虚拟负载均衡)实现业务负载按需开通 通过部署虚拟负载均衡器,统一为多个租户提供负载均衡服务。虚拟负载均衡目前可支持各类TCP应用,如FTP、HTTP、HTTPS等,支持丰富的负载分发算法和会话保持方式。随着业务量的增长,还可以为每个业务或租户单独部署一套虚拟负载均衡设备,提高负载均衡的可管理能力和扩展能力。 三、 私有云安全规划–如何保证每层的安全 从不同角度能看到安全的不同层面。如果从私有云安全规划角度看,有四个层面需要注意: 边界防护:私有云安全防护的底线; 基础防护:与私有云建设过程中同步开展的阶段,云安全管理系统; 增强防护:随着云安全技术逐渐成熟,增强完善云安全服务,加密认证等; 云化防护:面向SaaS等更复杂的云计算模式,引入云安全访问代理等新技术,结合业务实现防护。 未来,边界防护上基于SDN技术构建“流网络层”,提升“东西向”的隔离颗粒度与强度,以及加强云内流量监控;基础防护上,构建云安全管理系统,各种安全加固技术在私有云底层平台的应用,特别是通过安全手段固化底层行为;增强防护则提供比如加密认证、安全扫描服务,定期对所有云主机进行安全扫描,及时发现安全漏洞,还有防护DNS型的攻击,防DDoS攻击,自动化抵御SYNFLOOD、UDPFLOOD等常见攻击,有效保障用户业务的正常运作。云化防护则面向业务操作与业务数据的云安全代理机制等,引入云安全相关的新技术,结合业务实现防护。这些都将是重点考虑的方向和手段。 下面就存储的安全重点说一下。存储层面的安全主要有4点: 1、资源隔离和访问控制 在云环境下,应用不需要关心数据实际存储的位置,只需要将数据提交给虚拟卷或虚拟磁盘,由虚拟化管理软件将数据分配在不同的物理介质。这就可能导致不同保密要求的资源存在于同一个物理存储介质上,安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息,为了避免这种情况的发生,虚拟化管理软件应采用多种访问控制管理手段对存储资源进行隔离和访问控制,保证只有授权的主机/应用能访问授权的资源,未经授权的主机/应用不能访问,甚至不能看到其他存储资源的存在。 2、数据加密保护 在各类安全技术中,加密技术是最常见也是最基础的安全防护手段,在云环境下,数据的加密保护仍然是数据保护的最后一道防线,对数据的加密存在于数据的传输过程中和存储过程中。 对数据传输过程中的加密保护能保护数据的完整性、机密性和可用性,防止数据被非法截获、篡改和丢失。针对不同虚拟化对象的特点,应采用不同的传输加密方式。如对IP SAN网络,可以采用IPSec Encryption(IPSec加密)或SSL加密功能防止数据被窃听,确保信息的保密性,采用IPSec摘要和防回复的功能防止信息被篡改,保证信息的完整性。 对数据存储的加密能实现数据的机密性,完整性和可用性,还能防止数据所在存储介质意外丢失或者不可控的情况下数据自身的安全。对数据存储的保护一般在主机端完成,通常由应用系统先对数据进行加密,然后再传输到存储网络中,由于不同应用采用加密算法的多样性导致加密强度的不一致,不利于数据存储安全的统一防护。为了解决这个问题,IEEE安全数据存储协会提出了P1619安全标准体系,这个体系制定了对存储介质上的数据进行加密的通用标准,采用这种标准格式可使得各厂家生产的存储设备具有很好的兼容性。 对数据进行存储保护的另一种思路是在存储设备之前串接一个硬件加密装置,对所有流入存储网络的数据进行加密后,将密文提交给存储设备;对所有流出存储设备的数据进行解密后将明文提交给服务器;这种加密方式与上面提到的采用P1619的的解决方案类似,但这里的加密是由外部加密装置完成,而不是集成在存储网络中。这种解决思路与上层应用和存储无关,但在数据量大的情况下,对硬件加密装置的加解密性能和处理能力要求比较高。 对数据加密保护的第三种解决办法是依靠存储设备自身的加密功能,如基于磁带机的数据加密技术,通过在磁带机上对数据进行加密,使数据得到保护;目前可信计算机组织(TCG,Trusted Computing Group)也已提出了针对硬盘的自加密标准,将加密单元放置在硬盘中,对数据进行保护。自加密硬盘提供用户认证密钥,由认证密钥保护加密密钥,通过加密密钥保护硬盘数据。认证密钥是用户访问硬盘的惟一凭证,只有通过认证后才能解锁硬盘并解密加密密钥,最终访问硬盘数据。 3、基于存储的分布式入侵检测系统 基于存储的入侵检测系统嵌入在存储系统中,如SAN的光纤交换机、磁盘阵列控制器或HBA卡等设备中,能对存储设备的所有读写操作进行抓取、统计和分析,对可疑行为进行报警。由于基于存储的入侵检测系统是运行在存储系统之上,拥有独立的硬件和独立的操作系统,与主机独立,能够在主机被入侵后继续对存储介质上的信息提供保护。在存储虚拟化网络中,应在系统的关键路径上部署基于存储的入侵检测系统,建立全网统一的管理中心,统一管理入侵检测策略,实现特征库的实时更新和报警事件及时响应。 4、数据删除或销毁 数据的彻底删除也是必须考虑的问题。由于数据存放的物理位置是位于多个异构存储系统之上,对于应用而言,并不了解数据的具体存放位置,而普通的文件删除操作并不是真正删除文件,只是删掉了索引文件的入口。因此在应用存储虚拟化技术之后,应在虚拟化管理软件将安全保密需求相同的文件在物理存储上分配在同一块或多块磁盘上,在删除文件时,为了彻底清除这些磁盘上的敏感信息,将该磁盘或多块磁盘的文件所有位同时进行物理写覆盖。对于安全保密需求高的场合,还应采用消磁的方式来进行更进一步地销毁。 结语: 云计算作为一种新的模式给企业信息化发展带来了巨大的变革,是IT 行业的一个发展趋势,但是安全问题仍然是阻碍企业全面部署应用云平台的最大障碍。如何有效控制访问权限和整体安全管理机制,如何对数据进一步划分等级,实时安全操作和监控,如何更有效地管控外部攻击威胁带来的风险,都需要深入开展研究,才能更有效地提高云计算平台的安全,为云计算在企业中的广泛应用提供更安全的保障。 以上为正文内容。 服务器租用/服务器托管最具实力IDC提供商! 转载请注明:唯一网络