私有云运行安全解决方案
jijin 2017-09-27

随着虚拟化、云计算、软件定义数据中心等技术的持续发展和日渐成熟,数据中心从传统物理基础架构革新为云计算基础架构已成必然,越来越多的用户已逐步把其业务应用迁移至新一代数据中心架构平台之上,享受新技术带来的资源利用率提升、敏捷响应业务需求、轻松管理和横向扩展、高业务连续性保障等优势。但是,这些技术在带来便捷、快速和灵活的同时,也带来了新的安全挑战,而这些挑战将成为制约新一代数据中心发展的瓶颈,同时也成为阻碍核心业务向新架构迁移的关键。

因此,在建设新一代数据中心基础架构时,安全层面的考虑不能忽视。只有构建的新一代数据中心是安全的可信的,才能充分发挥新一代数据中心的优势、安心平稳的向新一代数据中心过渡。新一代数据中心中,由于技术路线与传统数据中心有很大改变,因此在安全防护领域也需要引入新型的合适的技术手段与之匹配;其次,安全防护无止境,因此需要从关键的安全防护点入手,以最小的投入实现最有效的作用。

虚拟防火墙

新一代数据中心中,针对南北向外部流量的防火墙可以仍旧考虑数据中心级的物理防火墙设备,针对南北向服务器间流量和针对东西向流量的防火墙则将虚拟成一种安全资源,适应虚拟机的弹性、迁移等特性。实际实现方式上,既可以为每个租户分配一个独立的防火墙虚拟设备,也可将防火墙功能嵌入到虚拟机管理程序层中。

底层防病毒

新一代数据中心中,防病毒的设计将从系统面转换到虚拟面。通过对虚拟层安装防病毒防护组件,无需在每台虚拟机系统上安装防病毒代理,利用安全API接口对物理主机网卡至虚拟机系统接口之间的信息交换进行安全检测,即可实现防病毒防护,同时降低资源损耗。

虚拟补丁修复

新一代数据中心中,补丁修复的方式也更加智能和轻松。与新一代数据中心中通用的新型安全防护方式一样,同样借助与虚拟层的安全API接口,将修复的视角从系统层转换到网络层,使用基于主机的过滤器来检测和清理网络流量,在恶意软件危及易受攻击的目标之前,在不中断应用程序和业务运营的情况下,高效地修正或阻止有可能会攻击漏洞的应用程序输入流,即虚拟补丁修复方式。

安全渗透测试

应用层安全渗透测试主要依据CVECommon Vulnerabilities & Exposures公共漏洞和暴露)已经发现的安全漏洞以及隐患漏洞,对应用、操作系统及数据库系统执行渗透性测试,目的是模拟恶意攻击者侵入系统并获取系统信息,由此确定存在的安全威胁,帮助修复和加固应用系统。