云根本办法机制是云情况的根本构件块。这个机制主要是针对计算、存储、网络。包括了捏造网络边界、捏造服务器、云存储设备和停当情况。
捏造网络边界 (Virtual Network Perimeter)
首先,网络边界是一个组织的安全的内部网络,和 Internet (或者任何其他不受控制的外部网络)之间的边界。 换句话说就是,网络边界是组织控制的一个边缘。
举个例子:
假设一个办公室有一个内部网络,一个服务器机架、几十台员工的台式计算机、几台打印机和路由器和交换机等网络设备,这些设备都毗连到办公室的内部网络。 如果员工把他本身的个人笔记本电脑带入办公室,那么笔记本电脑位于网络边界之外。除非把笔记本毗连到办公室的网络。
然后,捏造网络边界:一样寻常是作为捏造化情况摆设的。例如:捏造防火墙、捏造网络(VLAN、 VPN)。
建立这个捏造网络边界的原因就是:在互联网广泛应用之前,用户的设备必须物理的毗连到公司的内部网络才能访问网络。
网络边界在这个阶段,本质上是一个真实的物理边界。任何想要盗取内部数据的人,都必须潜入实体公司大楼,或者寻求内部员工的帮助。意思就是说,必须有人在办公室,并利用公司管理的设备才能毗连到公司网络。
互联网广泛应用之后,情况发生了变化。公司数据是可以直接脱离公司网络,攻击者也可以直接进入到公司网络里面。所以,防火墙就出现了,目的就是通过阻止恶意外部网络流量,来掩护网络边界。
有了云(云计算),网络边界基本上不再存在。由于,用户基本上可以从任何设备,或物理位置访问内部的数据。
总的来说,要建立这种捏造网络边界,来应对互联网和云计算的发展。
这个机制主要可以用在4个方面。
- 将云中的IT资源与非授权用户隔离
- 将云中的IT资源与非用户隔离
- 将云中的IT资源与云用户隔离
- 控制被隔离IT资源的可用带宽
1. 捏造防火墙
下图:展示了一台物理计算机里面,运行了许多捏造计算机。 每个捏造计算机都大概具有不同信任级别。
捏造防火墙是一个逻辑概念。意思就是说,可以把一台防火墙设备,在逻辑上划分成多台捏造防火墙。每台捏造防火墙都可以被看成是一台完全独立的防火墙设备:独立的意思就是它可以拥有独立的管理员、安全策略、用户认证数据库等。
另外,捏造防火墙分成的多个逻辑防火墙,可以单独配置不同的安全策略。
⚠️:捏造防火墙之间相互独立,一样寻常情况下不允许相互通信。
用途
捏造防火墙基本上可以满意云中的许多网络安全要求,比如:
它可以掩护捏造数据中心,由于捏造防火墙可以过滤和管理云中的流量。
它可以确保所有的数据,都受到和当地的基于硬件的防火墙相同的掩护步调。
等等。
和物理防火墙的区别
物理防火墙:是在网络边缘的路由设备的一部分。
物理防火墙由服务器和交换机构成,它不是内置的。
利用物理防火墙的话,当你的主机和外网其他设备举行数据交换时,要先通过防火墙,如许的话,就减少了威胁。
物理防火墙还有个优点就是:更容易管理,由于它是一个隔离的网络组件。不会像在捏造化情况中那样影响其他应用程序的性能。硬件防火墙也可以关闭、移动或重新配置,它对网络毗连或性能险些没有影响。
相比之下,捏造防火墙比物理防火墙便宜。但是要留意,购买和摆设大量捏造防火墙的成本大概仍然很高。
与基于硬件的防火墙相比,捏造防火墙的优势之一是它们可以会合管理,而硬件防火墙通常必要 IT 和网络支持人员在现场安装、管理它们。
技术特点
捏造防火墙的技术特点:
(1) 每个捏造防火墙,独立维护一组安全区域。
(2) 每个捏造防火墙,独立维护一组资源对象(地址/地址组、服务/服务组等)。
(3) 每个捏造防火墙,独立维护本身的包过滤策略(就是监视传出和传入的数据包,再来决定要不要允许它们通过或停止进入,从而控制网络访问)。
(4) 每个捏造防火墙,独立维护本身的ASPF(Application Specific Packet Filter = 基于应用层包过滤)策略、NAT(Network Address Translation = 网络地址转换)策略、ALG(Application Level Gateway = 应用层网关)策略。
(5) 可限制每个捏造防火墙占用的资源数,例如防火墙Session以及ASPF Session数目。
2. 捏造专用网络 (VPN = virtual private network)
目前全球化发展,很多企业不单单要应对当地的题目,还要考虑到全球市场和物流。许多公司的工厂遍布整个国家,甚至遍布全球。所以,这些公司都有一个共同的需求,就是:无论办公地点在什么地方,都能通过某种途径,确保快速、安全和可靠地通信。
这时间就出现了VPN,很多公司都搭建了本身的VPN,为了满意长途办公的需求。
VPN:简单来说,就是把专用网络延伸到公共网络上。让用户可以在公共网络上发送和吸收数据,就像是他们的计算机直接毗连到专用网络上是一样的。
一个典型的 VPN 大概包括:公司总部的主局域网 (LAN)、长途办公地点的其他 LAN,从公司网络外部毗连进来的个人用户。
VPN 不会利用“真实”的专用毗连(如租用线路),而是利用通过互联网实现的“捏造”毗连。
类比:来理解VPN
打个比喻:每个 LAN(局域网) 都像是一座岛。
假设你生存在海洋里面的一个岛上。你周围还有成千上万座其他岛屿,有一些离得非常近,有一些离得很远。如果要去其他的岛上,通常的方式就是:你要坐船已往。当然搭船的话,也就意味着险些没有什么隐私。意思就是,无论你做什么别人都能看到(就相当于数据会被别人看到)。
现在我们把每一个岛看成一个专用局域网,而海洋就是互联网。搭船出行类似于,通过互联网毗连到某个 Web 服务器或另一台设备上。你是没有办法控制电缆和路由器的,就像你没有办法控制船上的其他人一样。所以,如果你想实验利用公共资源,毗连两个私有网络,将很容易受到安全题目的困扰。
这时间,你地点的岛,决定建一座桥,可以通往另一座岛。但是要留意,即使两座岛靠得很近,制作和维护桥梁的费用仍会非常高昂。而且,如果你想和另外一个岛的人举行交流,还要再建一个桥,整个成本就会非常的高。更别说两个岛离得远的话,成本会更高。
这个情况,就和租用线路的情况非常类似。桥(租用线路)可以让你能够毗连各座岛屿 (LAN,局域网)。留意:缺点就是成本高。
这个时间,VPN出现了。它就相当于,我们给两个岛上的每位居民一艘小型潜水艇,并且这些潜水艇有一些特点:比如:
- 速率快。
- 它可以让你完全隐身,其他任何船只或潜水艇都看不到您。
- 可靠。
- 相比来说比力便宜:只要买了第一艘潜水艇,以后再买其他潜水艇时只需很少的钱。
这基本上就是 VPN 的工作原理。每位长途的用户,都可以把互联网当成一个毗连到专用局域网的媒介,可以用安全、可靠的方式举行通信。
和租用线路相比,VPN 还可以扩大范围,所以说,可扩展性是 VPN 相对于一样寻常的租用线路的一大优势。
租用线路的成本是会随着距离的增长而增长的,相比来说,距离对VPN 的影响是微乎其微的。
特点
VPN系统的主要特点:
(1) 安全保障
这大概是任何 VPN 能提供的最重要的服务了。由于你的私有数据是通过公共网络传输的,所以为数据保密就非常重要。
大多数 VPN 利用一些协议来提供加密的:比如,
- IPsec :互联网协议安全协议(IPsec) ,用来提供加强的安全功。例如,更强的加密算法和更全面的身份验证。只有符合 IPsec 标准的系统才能利用这个协议。
- PPTP/MPPE :PPTP (点对点隧道协议 = Point-to-Point Tunnelling Protocol)由 PPTP 论坛开发。PPTP 支持多协议 VPN。必须留意的一点是,PPTP 本身不提供数据加密。
- L2TP/IPsec :通常称为L2TP over IPsec,它提供了 IPsec 协议在第 2 层隧道协议 (L2TP) 的安全性。
(2) 服务质量保证(QoS):
意思就是,VPN可以提供不同等级的服务质量保证。
具体的做法就是要有用地利用广域网的资源,为重要的数据提供可靠的带宽。
(3) 可扩充性和灵活性:
VPN可以增长新的节点,支持多种类型的传输媒介。
(4) 可管理性:
VPN应该可以方便地举行管理和维护。
VPN管理主要包括安全管理、设备管理、配置管理等内容。
捏造服务器 (Virtual Server)
捏造服务器:模拟物理专用服务器的功能。可以在单个服务器上实现多个捏造服务器,每个捏造服务器都有本身的操作系统、独立的配置和软件。
捏造服务器与捏造机(VM)是同义词。
捏造服务器必要对服务器的CPU、内存、设备和I/O分别实现捏造化。
在云技术领域,云提供者可以让多个云用户共享同一个物理服务器。
对于用户来说,物理服务器与捏造服务器有的差别不大。
特性
捏造服务器有以下几个特性。
(1) 多实例:一个物理服务器上可以同时运行N个操作系统,每个系统间互相隔离,互不影响,也合理利用了服务器的硬件资源。
(2) 隔离性:就是在同一服务器上的捏造机之间互相隔离。每个捏造机都有本身独立的内存空间,一个捏造机的崩溃并不会影响到其他捏造机。
(3) 封装性:捏造机都保存在文件中,如许就可以方便的在不同的硬件设备之间备份、移动和复制。
优点
基于以上这些特性,捏造服务器的优点:
(1) 实时迁移:
实时迁移:在捏造机运行时,把捏造机的运行状态完整、快速地从一个平台迁移到另一个平台上。
所以,当物理机器的硬件出现题目时,实时迁移可以在不宕机的情况下,把捏造机迁移到另一台物理机器上。
(2) 快速摆设:
在接纳捏造服务器之后,摆设一个应用只需输入激活配置参数、拷贝捏造机、启动捏造机、激活捏造机即可完成摆设。通常只必要十几分钟。
在传统的数据中心中,摆设一个应用必要淹灭十几个小时甚至几天的时间,并且在摆设过程中容易产生错误。
(3) 高兼容性:
捏造服务器提供的封装性和隔离性,使大量应用独立运行于各种情况中,进步了系统的兼容性。
(4) 进步资源利用率:
通过服务器捏造化的整合,进步了CPU、内存、存储、网络等设备的利用率,绝大多数应用的传统摆设利用率不超过10%,而通过捏造化后利用率往往超过70%。
(5) 动态调理资源:
首先,数据中心从传统的单一服务器酿成了同一的资源池。
用户可以随时地调整捏造机资源。
数据中心管理员也可以根据捏造机内部资源利用情况,调整给捏造机的资源。
云存储设备 (Cloud Storage Device)
云存储设备机制:专门为基于云配置所筹划的存储设备。这些设备的实例可以被捏造化。
通过云存储服务,还可以长途访问云存储设备。
云存储设备的单位/云存储设备的存储等级:主要分为以下四个等级:
- 文件(file):数据集合分组存放在文件夹中的文件里;
- 块(block):存储的最低等级,最接近硬件,数据块是可以被独立访问的最小数据单位;
- 数据集(dataset):基于表格的,用分隔符分隔的,或者用记录情势组织的数据集合;
- 对象(object):把数据和相关的元数据组织为Web的资源。
云存储设备的主要题目:数据的安全性、完整性和保密性。
1. 用户的操作安全
首先一个涉及到的安全方面的题目就是 Version control (版本控制/管理)。
举个例子,假如你是网页筹划师,大概会必要保存某一个页面的布局文件的所有修订版本。这时间,你利用版本控制系统(VCS)就是个明智的选择。
有了这个版本控制系统,你就可以把选定的文件回溯到之前的状态,甚至将整个项目都回退到已往某个时间点的状态。
利用版本控制系统通常还意味着,就算你乱来一气,把整个项目中的文件改的改,删的删,你也照样可以轻松规复到原先的样子。
2.服务端的安全操作
在捏造服务器技术的支持下,V2V(Virtual to Virtual)迁移的可靠性相当高,多数云存储厂商都预备了安全防护方案。
捏造到捏造 (V2V) :把操作系统 (OS)、应用程序和数据从捏造机迁移到另一个捏造机。
停当情况
停当情况机制:PaaS(平台即服务)云交付模型的定义组件。
它就是基于云平台,这个平台由一组已安装的IT资源构成,可以被云用户利用和定制。
云用户利用这些情况,在云内,长途开发和配置自身的服务与应用程序。
典型的已停当情况包括预安装的IT资源,如数据库、中间件,开发工具和管理工具。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
