原创《基于基础架构层云安全防护技术探究》:本论文主要论述了层云论文范文相关的参考文献,对您的论文写作有参考作用。
【摘 要】主要从云安全防護技术需求、云安全架构和防护模型、嵌入式安全实现方案、基于服务链的云安全组网方案、云安全资源池化技术、多层次云安全体系等方面,对基于基础架构层的云安全防护技术诸多要点问题进行探讨研究.
【关键词】基础架构层 云安全防护 嵌入式安全 服务链 云安全资源池化 多层次云安全体系
IT领域云计算技术的发展使得计算机网络的服务模式从面向连接转向了面向应用,这给网络安全带来了巨大挑战,传统的 署模式在管理性、伸缩性、升级敏捷性等方面已经无法跟上业务发展的步伐,云平台数据中心必须建设灵活可靠、自动化快速部署和资源弹性扩展的基于SDN(软件定义网络)、服务链和软硬件安全设备相结合的安全防护技术体系,下文探讨研究的主要是基于基础架构层的云安全防护技术.
一、云安全防护技术需求
1.云安全体系开放
基础架构层的云安全体系应支持和O p e n S t a c k、CloudOS等多方云平台和第三方私有云平台对接,应支持CAS、KVM、VMWareESXi、XEN等虚拟化平台,可通过服务链 方式支持第三方安全设备.
2.云平台管理流量和云租户业务流量分离
基础架构层的云安全体系应保证云平台管理流量和云租户业务流量分离,可根据云租户业务需求自定义安全访问路径,可在虚拟网络边界部署访问控制设备、设置访问控制规则,可依据安全策略控制虚机间访问.
3.支持丰富的云安全服务
基础架构层的云安全体系的VPC(虚拟私有云)云安全服务应可实现基于租户粒度的隔离,确保租户业务的灵活性和安全性.应可基于防火墙实现基础网络安全,可基于vSwitch(虚拟交换机)软件的嵌入式安全方案实现主机安全,可基于IPS/ 实现应用安全,可支持4-7层负载均衡,可通过IPsec技术实现远程安全接入.
4.提供弹性扩展的安全资源池
基础架构层的云安全体系应可基于SDN和服务链实现和软硬件安全设备相结合,可提供FW、LB和IPS/ 等各种安全服务,并通过云平台统一调度.云租户可依据自身需求申请安全服务,自定义业务应用系统安全架构及安全访问策略,为虚机迁移过程提供防护.支持采用:Overlay(叠加在物理网络上的虚拟网络,技术要点是对物理网络进行隧道叠加,再逻辑划分成虚拟网络分片)技术实现安全设备的位置解耦;服务链技术实现按需确定业务流节点和顺序;SDN技术实现安全资源池化和在线扩容.可提供弹性扩展的基于NGFW的硬件安全资源池和基于NFV(网络功能虚拟化)的软件安全资源池.
5.安全业务自动化部署
基础架构层的云安全体系针对北向流量应提供开放接口和云平台对接实现安全业务配置的自动下发和部署,可采用VCFC(虚拟应用融合架构控制器)根据应用需求灵活分配安全资源,可依托服务链技术灵活调度业务流量.二.云安全架构和防护模型
1.云平台数据中心安全访问控制路径
云平台数据中心的安全访问控制主要存在外部网络和数据中心网络间(南北向)、数据中心内部不同子网间(东西向)、数据中心同一子网内终端间(东西向)3条转发路径,基础架构层的云安全体系就是要实现这3条转发路径的安全防护.
2.云安全总体架构
根据云平台数据中心的安全访问控制需求,基础架构层的云安全总体架构从上到下分为4个层次,可融合云、网络虚拟化、信息安全等技术,将基于连接的、孤立离散的安全策略,转变为基于SDN、面向对象可定义和自适应的安全体系,把安全变成一种服务.
通过在云平台CloudOS上安全服务入口统一提供安全云服务,SDN避免了传统 署时拓扑依赖,可实现全局统一的安全策略,SDN控制器由VCFC担当;嵌入式安全是嵌入在vSwitch软件上的安全功能; NFV安全设备是指云安全环境下由X86等通用硬件服务器承载的VSR(虚拟路由器)、vFW(虚拟防火墙)、vLB(虚拟负载均衡)等NFV虚拟化软件,NFV通过将网络设备的硬件和软件解耦,并将传统网络设备业务功能分解成一个个VNF(虚拟网络转发单元),通过对VNF的统一编排和管理,根据应用需求定义为不同的服务链,将不同业务流经过不同VNF进行处理,以实现各种网络业务逻辑,NFV可提供安全设备的弹性扩展、敏捷部署及快速交付能力,为虚机提供防火墙等功能;硬件安全则提供高性能硬件安全服务,硬件安全设备有物理安全设备、物理防火墙、物理负载均衡设备;通过服务链将这些安全设备串接起来并主动调控安全策略,由VCFC分配安全资源;通过 方式可接入第三方安全设备.
3.基于云租户的安全隔离
实现云平台数据中心租户(服务对象)之间隔离是基本的安全需求,云平台可通过VPC方案向租户提供从逻辑上完全隔离的VDC(虚拟数据中心)环境,租户间完全无法相互访问,通过VPN(虚拟专用网络)在租户自身网络到VDC网络间建立数据传输安全通道.租户以VPC为粒度租用资源,一个或多个VPC组成一个租户的VDC,VDC是管理该租户可用CPU、内存、存储和网络等资源的逻辑抽象.一个VDC可包含多个VPC,一个VPC对应一个VRF(虚拟转发域),不同VPC之间默认隔离.由网关或服务节点实现不同租户流量隔离和IP地址重叠.
(1)VPC间隔离:通过路由器的逻辑划分,实现不同VPC间流量在网关和服务节点内隔离;(2)VPC内二层隔离:通过Underlay(承载层物理网络)报文中的VXLAN(可扩展虚拟局域网络)标识,实现不同Subnet间二层流量隔离;(3)利用vSwitch软件的状态防火墙提供同一租户内VM间4层安全防护;(4)利用vFW实现同一租户不同Subnet间4-7层安全防护;(5)利用vFW实现租户内网和外网4-7层安全防护.
层云论文参考资料:
结论:基于基础架构层云安全防护技术探究为关于层云方面的论文题目、论文提纲、层云长板论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。
