日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
在云端獲得的零信任安全清單

在零信任安全(zero trust security)的物理實施環(huán)境下,數(shù)據(jù)流通過一個集中式安全設(shè)備傳輸。零信任安全其實是一種安全模式,在這種模式下,任何用戶、接口或應(yīng)用程序在默認(rèn)情況下都不“可信”。但由于單一設(shè)備需要過濾所有的數(shù)據(jù)流,零信任安全策略很難靈活地擴展。不過,當(dāng)工作負(fù)載和網(wǎng)絡(luò)基于虛擬化或云計算時,環(huán)境卻可以靈活擴展。

在數(shù)據(jù)中心中,微分隔(micro-segmentation)讓零信任安全可以得到大規(guī)模地運用,而微分隔是基于虛擬機管理程序的網(wǎng)絡(luò)覆蓋機制的一個副產(chǎn)品。據(jù)風(fēng)險投資公司Battery Ventures的技術(shù)研究員、Netflix前云計算架構(gòu)師Adrian Cockcroft聲稱,就云服務(wù)而言,微分隔常常是固有的。下面看一下各種虛擬化和云計算平臺里面的微分隔和零信任安全功能。

VMware NSX

VMware的網(wǎng)絡(luò)虛擬化平臺NSX可以過濾進出虛擬機管理程序的任何數(shù)據(jù)流。這項功能帶來了零信任安全機制。VMware利用NSX的分布式防火墻具有的可擴展性,在不同主機上的虛擬機之間形成零信任安全。還可以在同一個邏輯第2層廣播網(wǎng)絡(luò)上的主機之間建立安全策略。

VMware的方法是抽取物理零信任安全,同時利用基于虛擬機管理程序的網(wǎng)絡(luò)覆蓋系統(tǒng)具有的分布式特性。管理員可以在集成式管理系統(tǒng)中制定規(guī)則,這些規(guī)則可以跨分布式防火墻設(shè)備來執(zhí)行。結(jié)果就是,集中管理的解決方案可以靈活擴展,支持每個虛擬機管理程序為兩位數(shù)Gbps的數(shù)據(jù)流。

#p#

亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)

在云平臺中,客戶和第三方產(chǎn)品無法直接訪問底層的虛擬機管理程序。這意味著,客戶只好依賴通過云API才可以使用的服務(wù),實現(xiàn)零信任安全。

以亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)為例,了解公有云與內(nèi)部網(wǎng)絡(luò)之間的連接很重要。有三種方式可以訪問AWS中運行的實例:公共互聯(lián)網(wǎng)、基于IPsec的亞馬遜虛擬私有云(VPC)和AWS Direct Connect(一種專用的第3層線路,連接至亞馬遜設(shè)施)。所有連接方案都需要客戶端的IP終結(jié),這應(yīng)該會通過防火墻。亞馬遜并不允許用戶的第2層數(shù)據(jù)流可通過Direct Connect或VPC來進行擴展。

基于AWS連接設(shè)計,AWS托管的實例與企業(yè)內(nèi)部節(jié)點之間本身就有零信任。這樣一來,問題就成了AWS內(nèi)部的實例到實例的數(shù)據(jù)流會出現(xiàn)什么樣的情況?

AWS使用安全組來控制網(wǎng)絡(luò)對實例的訪問。安全組的定義可以非常廣泛,也可以非常狹窄。某個實例可能有一個或幾個安全組運用在其頭上。雖然重點通常放在IP數(shù)據(jù)流上,但知道VPC網(wǎng)絡(luò)并不支持廣播或多播數(shù)據(jù)流很重要。所以,根本不需要過濾非IP數(shù)據(jù)流。

開發(fā)人員可以使用AWS管理控制臺或AWS API來制定或分配規(guī)則。他們還可以將規(guī)則運用到入站數(shù)據(jù)流和出站數(shù)據(jù)流。默認(rèn)情況下,所有出站數(shù)據(jù)流都被允許,而入站數(shù)據(jù)流被拒絕。這一細(xì)粒度功能讓IT人員很難排查連接方面的故障,因為單個實例可能屬于多個安全組。此外,Windows和Linux存在不同的安全組,這可能會導(dǎo)致安全策略相互沖突或相互重疊。然而,任何零信任安全方案都存在這個情況。

#p#

谷歌計算引擎

谷歌計算引擎網(wǎng)絡(luò)機制更類似傳統(tǒng)網(wǎng)絡(luò)機制。每個實例被分配給一個默認(rèn)網(wǎng)絡(luò),這就允許同一個網(wǎng)絡(luò)里面實例到實例的數(shù)據(jù)流。谷歌提供了一個邏輯防火墻,以阻止網(wǎng)絡(luò)之間的數(shù)據(jù)流。為了實現(xiàn)零信任安全,每個實例必須使用本地防火墻或正則表達(dá)式(iptables),或者把每個實例放入到單獨的網(wǎng)絡(luò)。然而,使用本地防火墻和正則表達(dá)式可能難以管理,又由于處理器周期將被用于執(zhí)行規(guī)則,這可能會影響虛擬機的性能。

微軟Azure

微軟Azure的網(wǎng)絡(luò)機制類似谷歌計算引擎的網(wǎng)絡(luò)機制。虛擬機被分組到邏輯專用網(wǎng)絡(luò)。Azure允許端點訪問控制列表(ACL),而ACL可以運用在主機層面。在主機層面處理規(guī)則有助于保持本地虛擬機的性能。與谷歌相似,你無法為來自Azure中群組的實例運用規(guī)則。因此,在龐大環(huán)境下密切跟蹤規(guī)則可能困難重重。

云服務(wù)提供商在零信任安全和微分隔方面有強大可靠的模式。以微軟Azure和AWS為例,開發(fā)人員可以選擇從應(yīng)用程序里面整合微分隔安全機制。這讓開發(fā)人員開發(fā)出來的應(yīng)用程序可以靈活擴展,并應(yīng)對迅速變化的安全態(tài)勢。


文章名稱:在云端獲得的零信任安全清單
網(wǎng)頁網(wǎng)址:http://m.5511xx.com/article/cosgohc.html