虚拟/云计算环境中的网络安全域隔离
服务和应用程序使用物理设备的时代已经成为历史,虚拟/云计算被广泛用作数据中心的交付模式。
1、然而,虚拟/云计算环境是否应该划分为网络安全领域?
我看过阿里云、百度云等计算公司发布的白皮书,但在网络安全领域的隔离仍然是实现其网络安全架构的主要手段之一。阿里云的核心平台是如何隔离网络安全领域的。首先,阿里云分为生产网络和非生产网络。其次,阿里云分为外部云网络服务和支持云服务的物理网络。最后,让我们看看arilon办公室的网络是如何与生产网络分离的。如上所述,根据笔者的理解,这需要云平台提供商实现网络空间的细分。
2、那么,网络安全域隔离是如何在云租户之间隔离的呢。
目前,云产品提供商通常提供专有网络的实现。VPC(虚拟私有云)也称为虚拟局域网,专有网络采用隧道密封技术,使专有网络和专有网络之间的网络流完全不可见,专有网络内部的网络流直接到达目的地。专有网络实现了不同租户之间的网络隔离。因此,确保了专有网络内部和之间的用户流的安全性。
事实上,根据it的商业计划,云平台数据中心提供自己的内部服务,因此可以提供企业内各个网络安全区域的隔离。例如,您可以将DMZ转换为VPC,将数据库转换为安全域,将服务器转换为VPC。通常,每个专有网络必须指定以下网段:
10.0.0.0/8(10.0.0.0-10.255.255)
172.16.0.0/12(172.16.0-172.31.255)
192.168.0.0/16(192.168.0-192.168.255.255)
专有网络可以通过IP或NAT、专有网络上的虚拟机或两个专有网络连接到网络,也可以通过VPN或专线将用户连接到独立的数据中心,创建混合云。
3、最后,我们应该做些什么来隔离云租户内部的网络安全区域?
在这里,您可以灵活考虑可以划分多少专有网络云租户,VPC还可以使用安全组对安全字段进行分类。
使用的方案包括:
(1) 安全团队使用网络访问控制来设置一个或多个云服务器,这是划分云中安全区域的重要网络保护手段。
(2) 安全团队是一个逻辑单元,其成员包括同一地区的共同安全需求和相互信任实例。在这些安全组中,例如下图中,也可以根据云企业的实现方法将专有网络隔离为子网(subnets)。这意味着安全组是相同的。
随着虚拟化和云计算技术的发展,网络安全域隔离出现了新的研究方向和实践研究,如差分端和微隔离。
