论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 24 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2013-05-16 12:56 
离线
中级用户

注册: 2012-05-11 10:43
最近: 2013-08-01 18:34
拥有: 88.00 安全币

奖励: 0 安全币
在线: 568 点
帖子: 71
了解了解,学习一下


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2013-06-25 11:06 
离线
新手

注册: 2008-10-20 10:29
最近: 2013-06-27 15:58
拥有: 40.10 安全币

奖励: 0 安全币
在线: 193 点
帖子: 11
通过虚拟交换机设置不同的vlanID,简单层面可以通过trunk allowd进行VLAN之间的网络隔离,还可从核心交换层面进行访问控制策略,并从IP层和应用层的隔离。


--------本帖迄今已累计获得58安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2014-04-16 03:29 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
charleli 写道:
通过虚拟交换机设置不同的vlanID,简单层面可以通过trunk allowd进行VLAN之间的网络隔离,还可从核心交换层面进行访问控制策略,并从IP层和应用层的隔离。

正解。
实际上:
通常采用VLAN TAG 将虚拟机配置到一个VLAN即可,然后在VLAN的边界做访问控制策略,可以是在交换机,也可以采用虚拟防火墙(这样更易于管理)。
也可选择在虚拟化服务器主机上,通过防火墙策略进行隔离,一般开源云计算采用iptables。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2014-04-16 09:20 
离线
中级用户

注册: 2006-07-26 13:55
最近: 2015-05-07 21:29
拥有: 753.40 安全币

奖励: 0 安全币
在线: 2523 点
帖子: 91
要划定安全域,首先要确定这个域的划分标准是什么,有几个维度,比如从应用角度来考虑,相同类型的应用是否合并到同一个应用群中,那么这种安全域就表现为应用群为单位,这种划为要考虑到应用之间的快速切换,切实发挥虚拟化资源的快速部署、弹性、动态的优势;另外从网络角度来说,可能就更加落实到vlan的隔离,同一楼上的观点,vswitch和物理交换机都要相应的设置,通俗说就是打标记,为了提供性能还可以使用端口绑定技术。供参考。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2014-04-16 10:25 
离线
初级用户

注册: 2014-02-12 16:34
最近: 2015-01-09 22:53
拥有: 146.00 安全币

奖励: 32 安全币
在线: 730 点
帖子: 25
当前的云计算产品都支持虚拟网络功能,即在服务器内部有一个虚拟交换机,通过虚拟交换机将不同虚拟机划入不同VLAN中,虚拟交换机与真实的交换机使用Trunk链路连接,且多个接口间进行负载均衡。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2014-07-27 10:12 
离线
初级用户

注册: 2006-01-02 19:50
最近: 2015-12-17 22:00
拥有: 1,021.80 安全币

奖励: 0 安全币
在线: 1842 点
帖子: 46
基于虚拟化的安全域划分,应该有几个层次的。比如Iaas应该怎么做隔离,Paas Saas也是不一样的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2015-06-29 12:07 
离线
版主

注册: 2005-03-17 10:09
最近: 2018-04-11 10:59
拥有: 4,533.20 安全币

奖励: 778 安全币
在线: 14723 点
帖子: 1194
关于虚拟化环境的安全域划分,或者说云安全问题,我觉得可以分为两类,一类是基于公有云的虚拟化环境,一类是是基于私有云的虚拟化环境。对于第一类,即基于公有云的虚拟化环境而言,因为控制权限所限,用户可采取安全防护措施与手段更多在虚拟主机、应用及数据层面。对于底层虚拟化平台、虚拟化管理系统、网络的安全管理与防护,要依赖于云计算服务供应商的安全保障措施。但是实际来看,云计算服务商提供的基础设施安全防护是十分有限的,君不见,2013年发生的OpenSSL网站被入侵事件就说明了这一问题的严重性。对于该安全事件,OpenSSL官方发表的声明如下“The OpenSSL server is a virtual server which shares a hypervisor with other customers of the same ISP. Our investigation found that the attack was made through insecure passwords at the hosting provider,leading to control of the hypervisor management console, which then was used to manipulate our virtual server.”(http://www.openssl.org/news/secadv_hack.txt)。由于使用不安全的口令,导致云计算厂商的Hypervisor虚拟管理平台被控制,致使OpenSSL使用的虚拟机被入侵。当云计算服务商的虚拟管理平台被入侵者控制,作为平台用户,我们只能祈祷上帝、真主、如来、玉皇大帝、观音、太上老君等古今中外,各路神仙的保佑了。


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2015-06-29 12:08 
离线
版主

注册: 2005-03-17 10:09
最近: 2018-04-11 10:59
拥有: 4,533.20 安全币

奖励: 778 安全币
在线: 14723 点
帖子: 1194
对于第二类,即基于私有云的虚拟化环境,由于从网络、主机、存储等基础设施到应用全部为用户所掌握,因此可采取的安全措施也会更多,安全管理的粒度与防护效果会有一定程度的提升。从Iaas、Paas、Saas来看,当前大部分企业私有云为信息系统提供的服务来看,大多在Iaas层面,即为信息系统提供计算、存储、虚拟主机等资源和环境。针对私有云Iaas应用场景,从区域划分来看,根据云计算各个组件及提供的服务功能,横向角度来看,大概可以划分为应用交付区、开发测试区、云平台管理区、存储管理区、设备管理区、通用服务区。纵向角度来看,大概可划分为网络、存储、虚拟化、虚拟化管理、云计算平台管理、应用交付。分区域、分层次通过安全防护设备及安全加固措施对云计算平台各个组件进行综合防护,实现保障云计算平台安全运行,为信息系统提供可靠服务的目标。


--------本帖迄今已累计获得54安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何给虚拟云做安全域以及vlan的划分?
帖子发表于 : 2015-07-10 08:52 
离线
版主

注册: 2005-03-17 10:09
最近: 2018-04-11 10:59
拥有: 4,533.20 安全币

奖励: 778 安全币
在线: 14723 点
帖子: 1194
为什么要按照这几个区域划分呢,主要是从云计算平台的组成结构考虑,尽量降低各个组件或者部件之间的依赖关系,即使某个部件失效,也不影响其他组件的独立稳定运行。在这个思路下,首先我们来分析一下云计算平台由哪些组件或者设备构成。一般云计算平台由以下几个部分构成基础网络、物理服务器设备、存储设备、网络管理系统、存储管理系统、虚拟化管理系统、云管理系统、其它基础服务设备(包括负载均衡设备、DNS设备等)。降低各个组件或者部件之间的依赖关系,就是根据不同组件之间的关联关系进行逻辑隔离与访问控制,在其他组件发生故障或者安全问题时,本组件或者子系统仍然能够保证稳定运行,不因其他组件失效导致自身不能稳定运行。比如,将物理服务器组成的虚拟化计算资源池与虚拟化管理系统之间进行隔离,限制两者之间的通讯和访问行为,即使虚拟化管理系统出现问题,或者被入侵导致彻底瘫痪,不能正常使用,不能对计算资源进行分配和调整,但由于虚拟化计算资源池与虚拟化管理系统之间进行了隔离和访问控制,入侵者难以立即对虚拟化计算资源池中的信息系统造成危害,虚拟化计算资源池中的信息系统仍然可以平稳运行,提供服务。同时,为采取应急响应措施处理安全事件赢取时间。按照这个思路,可以将组成云计算平台的各个组件划分到相应区域中,各个区域之间采取措施进行隔离与访问控制。各个区域内还可以划分子区域,子区域之间进行隔离与访问控制。以管理区为例,一般可以将网络管理系统、存储管理系统、虚拟化管理系统、云管理系统划分到管理区,但是网络管理系统、存储管理系统、虚拟化管理系统三者之间因为管理对象的不同,相互之间几乎不存在交换关系,因此可以将三者进行严格的逻辑隔离。作为同一管理平台的云管理系统,云计算平台涉及到的网络管理员、存储管理员、虚拟化系统管理员需要通过云管理管理平台完成资源分配、调整优化等工作,因此需要允许云管理系统与网络管理系统、存储管理系统、虚拟化管理系统之间的通讯,但前者与后者之间需要进行访问控制。因此管理区内部有可以划分为四个不同的子区域,可以根据子区域之间的通讯关系进行相应访问控制。本人只是提出了一个解决的思路,至于如何具体落地,是通过Vlan、Vxlan,还是通过VN-Tag、VEPA、VEB等其他技术来实现,这就需要大家在实践中不断摸索了。毕竟作为一个新生事物,很多技术路线尚不明确,需要用实践来检验。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 24 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012