基于微分段的东西向安全防护,如何提升数据中心运维效率?|社区成长营分享回顾

news2024/11/23 19:52:35

在社区成长营网络与安全第二期分享中,SmartX 高级产品营销经理张涛介绍了原生于超融合系统的微分段防火墙和其工作模式的特点(点击查看第二期图文总结)。

网络与安全第三期分享继续由张涛老师提供,以下为内容回顾。

SmartX 社区成长营
在 SmartX 用户社区,我们将通过系列成长营活动,持续分享技术干货内容与行业解决方案,与社区成员共同成长。

大家晚上好,我是来自 SmartX 的张涛。今天内容将聚焦基于微分段技术的东西向安全防护,如何为数据中心在虚拟化、网络、安全方面带来思路和方法上的改变,以及这些改变将如何影响与提升数据中心的运维效率。

分享内容主要包括以下五个部分:

  • 企业常见的业务网络和安全部署模型。
  • 实现常见网络和安全简化部署模型对 IT 人员的要求。
  • 现代化应用趋势对安全模型的新要求。
  • SmartX 超融合微分段机制的原理和优势。
  • 实施虚拟化原生的微分段对 IT 人员工作的改变。

企业常见的业务网络和安全部署模型

首先展示一个企业常见的业务网络和安全部署模型 (如下图):

 

图中的各种功能实例,在实际环境中可以是虚拟机或物理机形态。今天讨论的主要是虚拟化、容器化环境下的微分段安全,也就是当面对这些不同功能的虚拟机和容器时,我们应如何设置合适的安全策略。

数据中心与外部之间,通过边界防火墙区隔。由于要面向外部提供各种服务(本例中均标识为基于 WEB 的服务),因此边界防火墙的安全策略对外部源地址的限制比较宽松,普遍采用黑名单方式,对已知的安全漏洞进行封堵。

数据中心内部的安全区,分开设置为 DMZ 区和内网区,两区之间通过内网防火墙进行隔离。内网防火墙的安全策略更加细颗粒度,通常采用白名单、精细黑名单或动态安全策略等方式,以免攻击从 DMZ 区扩散到内网区。

图中用不同的颜色来区分各种不同的业务,同一业务内部的流程要保障通畅(虚线表示各种业务的内部通信流),比如:

  • DMZ 区绿色业务的前端 WEB 虚拟机组,应当同内网区的绿色数据库服务器组之间保持通信。
  • 淡黄色业务和蓝色业务的前端 WEB 虚拟机组,应当同内网区的紫色文件服务器组保持通信。
  • 橘红色业务的前端 WEB 虚拟机组,应当同内网区的橘红色数据库服务器组之间保持通信。

而不同业务的功能实例之间,需尽可能地进行隔离,更直观理解是图中的虚线条之间不能有交叉连接。

实现常见网络和安全简化部署模型对 IT 人员的要求

接下来我们来看看,要实现这个简化模型上的安全部署,企业 IT 工作人员需要进行哪些工作(如下图):

 

1. 安全管理员与业务系统负责人一起,梳理每一项业务对于地址和端口号互通的需求,并以此为依据设计边界防火墙和内网防火墙上的安全规则。

2. 安全管理员和网络管理员设计 IP 地址规划方案,如有可能、不同业务之间应互相隔离。

3. 网络管理员依据已有的 VLAN 规划表、IP 规划表,为各种 DMZ 区和内网区的各种业务实例分配 VLAN 号和 IP 地址段。

4. 安全、网络与虚拟化管理员一同讨论以上制定的方案,如需进行虚拟机之间东西向隔离,在防火墙、交换机上是否要配合启用高级功能,包括但不限于:基于 MAC 地址的访问控制、PVLAN、策略路由和透明防火墙…

5. 以上方案分别在不同设备上配置,随后联调测试。如正常的业务流程被安全策略打断,则再次讨论、修订方案,反复联调测试直至同时达到业务发布和安全管理的目标。

在管理严格的组织中,将验证后的配置从测试环境部署到生产环境。还需要相应的审批流程。

对于使用多数据中心的组织/企业,如果在不同数据中心使用了不同品牌/型号的防火墙、交换机、路由器,则需要将设计原则转换为不同的可实施方案和配置。

对于分工细化的大型  IT 组织架构,以上流程涉及到多部门/团队之间的协作。对于中小规模的 IT 团队,往往由 1-2 个人完成全部设计和配置工作。

现代化应用趋势对安全模型的新要求

而我们讨论的大背景则是在现代化应用的趋势下,业务在敏捷化方面有了更高的要求,支撑业务的 IT 基础架构既要满足业务敏捷性、有效性,也要保持高水平的可用性、性能和安全性。这方面,我们之前总结过,虚拟化、容器化环境的三大变化:

1. 被管理对象总体上增多了 —— 从若干台物理实例增加为十倍以上数量的虚拟化、容器化实例。

2. 被管对象的位置不再是长期确定的 —— 每一个虚拟机、容器可能在不同的时间运行在不同的物理服务器上。

3. 被管对象数量和属性的变动更快了 —— 对虚拟机、容器的创建/启动/关闭/删除等操作频率远远高于物理服务器。

如下图所示,如果在一个设计好的数据中心安全模型下,业务实例的数量和角色发生了变动,原有的 VLAN 规划、IP 地址规划、安全策略及执行模式都将无法继续使用,必须重新进行走一遍需求调研、设计、测试和发布的流程。

 

这些复杂的业务关系,确实有可能导致基于 IP 地址的安全规则数量爆炸式增长,导致安全体系过于复杂而无法实现,从而不得不降低安全目标,或者反过来限制业务架构的敏捷变化。这二者都是不可接受的。

SmartX 超融合微分段机制的原理和优势

SmartX 超融合的微分段机制原生于自身的 ELF 虚拟化系统,允许管理员为每一个虚拟机设置自定义的 “标签”。这个 “标签” 可以理解为虚拟机的 “别名”,比如:“业务-1”、“业务-2”、“WEB”、“DB” 等等。

基于这些标签的组合,制定出来的安全策略比之前大大简化了,就像是这样:允许  (标签= “WEB” & “业务-1”) 访问 (标签 =“DB” & “业务-1”)。

受到这条安全规则的约束,遵循 “默认拒绝” 原则,除了这些被 “明确允许” 的行为以外,其他的网络通信都会被拒绝,比如 (标签= “WEB” & “业务-1”) 试图访问 (标签= “DB” & “业务-2”)时,就会被拒绝。相当于为每个目标对象都配属了专门的防火墙。

这样的策略基于业务场景,比起使用一串 IP 地址编写的安全规则更加容易被理解,而且规则条目也经过了汇总简化。即便今后这个应用环境发生了一些变化,比如:

1.DMZ 区内的目标数量增减或 IP 地址变化。

2. 内网区的目标对象数量增减或 IP 地址变化。

3. 这些对象在不同物理服务器、不同机房之间发生了位置迁移。

……

下图为 SmartX 超融合的微分段机制示意图。

 

实施虚拟化原生的微分段对 IT 人员工作的改变

以上这些场景下,每个虚拟机设置了 “标签” 就会和对应的安全策略自动关联,它具有以下优点:

  • 业务和应用视角:敏捷性和稳定性提升。
  1. 应用所需 IP 地址分配不再受到预设的明细地址段限制,节省了相应的环节和时间。
  2. 缩短了安全策略部署周期,加快了应用上线和业务开通的速度。
  3. 减少了由目标对象跨节点迁移导致的应用中断。
  • 安全管理视角:安全保障度提高,性能瓶颈消除。
  1. 重新定义物理安全设备与虚拟化、容器化安全的分工界面,消除了流量重定向的复杂配置,减轻了物理安全设备的性能压力。
  2. 将虚拟化、容器化安全策略真实落地,消除了安全隐患,提升了整体安全等级。
  3. 不仅可以管理 DMZ 到内网的访问安全,也可以对 DMZ 安全区内部和内网安全区内部进行微隔离。
  4. 不改变现有物理安全边界。
  • 网络管理视角:精简带来的架构级稳定性。
  1. 减少了 IP 地址规划和变更的工作量和网络路由表瘦身,无需为每个业务划分划分网段并发布明细路由,地址利用率也提高了。
  2. 避免了为安全目的进行复杂的流量迂回设计,简化了网络拓扑,降低了网络配置复杂度和性能消耗。
  • 超融合管理视角:Make IT Simple(让 IT 更简单)。
  1. 在统一管理中心 CloudTower 界面上(或通过 API)完成计算、存储和网络安全策略的超融合管理。
  2. 虚拟机、容器的生成、移动、消亡的全生命周期内都与业务安全策略紧耦合,全程自动化,无需 “保姆式” 照看。

总之,企业建设数据中心的目的是为了提高数字化应用的服务质量和效率,部署相应的安全措施也是为了保障数字化服务的连续性。

在外部和内部网络安全威胁越来越严重的情势下,如果仅仅是简单地累加安全设备的种类和数量,有可能适得其反 —— 不合理的安全措施会降低数据中心的效率、弹性、敏捷性和业务处理能力。

SmartX 基于自主研发的超融合系统,通过在数据中心的虚拟机、容器之间部署分布式微分段安全机制,帮助用户减轻、消除数据中心内部的东西向安全威胁。

这种分布式的访问管理和控制方式,采用了面向业务和应用的安全策略表达方式,在运行效率和安全保障之间很好地实现了平衡,使得安全措施真正成为业务的 “保障” 而不是 “限制”。

往期内容分享:

如何实现虚拟化数据中心的东西向访问控制 | 社区成长营分享回顾

SmartX Everoute 如何通过微分段技术实现 “零信任” | 社区成长营分享回顾

社区版 Everoute 下载

如果您想体验 Everoute 产品功能,可通过下载 SmartX 超融合套件社区版 5.0.1 来进行体验。

社区版 Everoute 支持通过使用 CloudTower 社区版 2.0.0 及以上版本进行管理,可为虚拟机提供分布式防火墙功能。

部署和使用方法可以从以下链接开始,参考官方文档:

部署 Everoute 服务 | SmartX 安装部署指南文档

点击下载 SmartX 超融合套件社区版,体验 Everoute 产品功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/53733.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

品质创未来!流辰信息技术公司实力谱新章!

对于一个企业而言,一辈子用心做好一件事就是对社会最大的贡献。自从深耕于低代码开发平台领域以来,流辰信息技术公司便时刻保持着奋斗和创新的研发心态,不仅增强自主创新能力,而且还积极扩大队伍团队和实力,立志为每一…

【新知实验室-TRTC开发】实时音视频之集美真心话

目录 前言: 一、说说TRTC呗 语音互动直播 语聊房 语音电台 二、成为TRTC的体验官 1、1分钟了解TRTC产品 2、2分钟新手入门 3、别忘了入场券,也别告诉别人哦 三、3分钟完成新应用搭建 1、解压下载源码 2、修改JS文件 3、修改index文件 4、和集…

【Android App】蓝牙的设备配对、音频传输、点对点通信的讲解及实战(附源码和演示 超详细)

需要源码请点赞关注收藏后评论区留言私信~~~ 一、蓝牙设备配对 Android提供了蓝牙模块的管理工具,名叫BluetoothAdapter。下面是BluetoothAdapter类常用的方法说明: getDefaultAdapter:获取默认的蓝牙适配器。 getState:获取蓝…

nodejs事件循环

简介 单线程 提到node,我们就可以立刻想到单线程、异步IO、事件驱动等字眼。首先要明确的是node真的是单线程的吗,如果是单线程的,那么异步IO,以及定时事件(setTimeout、setInterval等)又是在哪里被执行的…

Qt “$$“符号的讲解

一.方便调试pro工程 举例方便理解。 在.pro文件中添加如下代码。 编译运行后在“概要信息”可以看到如下结果。 若将$$去掉,则打印的内容为message括号里本身的内容。 保存后可以看到 CSDN QT技术栈大纲:Qt开发必备技术栈学习路线和资料 二.方便其他工…

SpringMVC异常处理

SpringMVC异常简介 系统中异常包括两类:预期异常(检查型异常)和运行时异常 RuntimeException,前者通过捕获异常从而获取异常信息, 后者主要通过规范代码开发、测试通过手段减少运行时异常的发生。 系统的 dao、service、controller 出现都通过…

C++ 语言学习 day15 复习 (7)

linux 上面&#xff1a; 操作步骤&#xff1a; 1. 2.找到 share 这个文件夹 3.找到 opencv 这个文件夹 4. 1.今天学习的摄像头 识别 人脸&#xff08; 独立开一个窗口&#xff09; &#xff0c; mian.cpp #include <iostream> #include "opencv2/core/core.hpp…

nnDetection复现Luna16 附模型

前提概要&#xff1a; 淘论文发现nnDetection框架对肺结节的检测效果挺好&#xff0c;便跑了跑复现了下&#xff0c; 作者诚不欺人&#xff0c;确实挺好&#xff0c; 并附上我依据文档训练的模型。 复现步骤&#xff1a; 1.安装 cuda11.4, cudnn8.2.4 2.创建虚拟环境 cond…

JAVA12_01学习总结(MySQL,约束)

今日内容 1. MySql基本查询 --ifnull(字段名称,预期值)-如果两个int类型数据求和,其中一个为null,那么结果就是null,使用ifnull来解决 -- 需求--查询姓名和成绩和 -- 创建表 CREATE TABLE test(id INT , -- 编号NAME VARCHAR(20) , -- 姓名age INT , -- 年龄math INT , -- 数…

html转pdf(总结五种方法Java)

html转pdf&#xff08;总结五种方法Java&#xff09; Java 实现html转pdf&#xff0c;总结五种方法。 推荐使用wkhtmltopdf,Itext 方法一&#xff1a;使用wkhtmltopdf 1、下载插件wkhtmltopdf https://wkhtmltopdf.org/downloads.html 2、本机测试 本目录下cmd进入 输入命…

解读数仓中的数据对象及相关关系

摘要&#xff1a;为实现不同的功能&#xff0c;GaussDB&#xff08;DWS&#xff09;提供了不同的数据对象类型&#xff0c;包括索引、行存表、列存表及其辅助表等。这些数据对象在特定的条件下实现不同的功能&#xff0c;为数据库的快速高效提供了保证&#xff0c;本文对部分数…

深聊性能测试,从入门到放弃之: Windows系统性能监控(一) 性能监视器介绍及使用。

性能监视器介绍及使用1、引言2、性能监视器2.1 打开方式2.2 基本介绍2.3 计数器介绍2.3.1 处理器性能计数器2.3.2 内存性能计数器2.3.3 网络性能计数器2.4 创建及使用2.4.1 用户自定义创建2.4.2 直接添加计数器3、总结1、引言 小屌丝&#xff1a;鱼哥&#xff0c;你有没有监控…

G1D28-hinge loss fuction-RAGA pre总结-DeBERTa-杂七杂八visiomathtypeexcel

一、hinge loss和交叉熵对比 (一 )hinge loss主要思想 让正确分类和错误分类的距离达到λ。λ用于控制两种分类样本之间的距离。 &#xff08;二&#xff09;对比学习 自监督学习的一种&#xff0c;不依赖标注数据进行学习。蛮有意思的&#xff0c;但是今天没时间了&#x…

逻辑学三大定律是什么?

逻辑思维三大定律: 同一律&#xff0c;矛盾律&#xff0c; 排中律。 同一律&#xff1a;A 是 A。 前后思维中&#xff0c;概念要同一。白马非马论违反同一律。商家的买一赠一&#xff0c;前后两个一不是同一个概念。违反同一律。矛盾律&#xff1a;A 是 B&#xff0c; A 不是B,…

【Android App】发送BLE广播及通过主从BLE实现聊天应用讲解及实战(附源码和演示 超详细)

需要源码请点赞关注收藏后评论区留言私信~~~ 一、发送BLE广播 调用蓝牙适配器的getBluetoothLeAdvertiser方法&#xff0c;获得BluetoothLeAdvertiser广播器对象。 广播器的主要方法说明如下&#xff1a; startAdvertising方法表示开始发送BLE广播&#xff0c; stopAdvertis…

springBoot开源MES生产制造执行系统源码带文字搭建教程

源码分享&#xff01;需要源码学习参考可私信。 技术框架&#xff1a;springBoot mybatis-plus shiro hutool layui swagger freemarker mysql8 echarts 运行环境&#xff1a;IntelliJ IDEA 2022 maven nginx 宝塔面板 系统功能 用户管理&#xff1a;用户是系统操…

用VS开发一款“飞机大战“单机游戏<C++>

显示界面如上图所示 自己找的背景和飞机素材,先将素材奉上. 接下来我先简单分析一下这个单机游戏的运行逻辑: 就像显示界面所显示的那样,我们想要实现的是自己的飞机在发射子弹(子弹在上图没显示),然后当子弹射到敌方飞机,这里设置了两种类型的飞机,如果读者想定义更多类型的…

基于51单片机农业大棚温控系统

资料编号&#xff1a;197 大棚种植温控系统概述&#xff1a; 本文介绍的是一个由单片机构成的温度控制系统&#xff0c;主要用来提供测温的解决方案&#xff0c;同时还能实时监控温度变化趋势&#xff0c;以及报警功能。它利用STC89C52RC单片机&#xff0c;DS18B20&#xff0c…

概率图模型:HMM(隐马),MEMM(最大熵),CRF(条件随机场)

1.概率图模型&#xff1a;HMM&#xff08;隐马&#xff09;,MEMM&#xff08;最大熵&#xff09;,CRF&#xff08;条件随机场&#xff09;概率&#xff1a;既然是一个图那么就是一个有圈有边的结构&#xff0c;圈代表随机向量&#xff0c;随机变量之间有边&#xff0c;边上有概…