如何通过网络虚拟化提供数据中心安全?
我们可以通过多种方式如网络虚拟化来启用数据中心安全性。通常,从限制的角度来探讨数据中心安全性这一主题。实际上,网络虚拟化通过其开放性和隔离应用程序的方法来实现数据中心的安全性。通过安全隔离进行网络虚拟化
从工作负载的角度来看,数据中心网络具有两个目的:提供访问或限制访问。恶意有效负载只有能够感知网络,才能破坏网络。隔离可以消除网络上的计算节点,虚拟机或容器上运行的程序直接与其主机(无论是Linux内核,容器守护程序还是主机)交互的能力,从而通过网络虚拟化实现数据中心安全性。管理程序。
这种盲目的界限可能听起来与分布式计算的设计和目的相矛盾,只是可以通过API函数调用来实现有限形式的接口连接-使某些开发人员最初称为“监狱”的居民能够传递消息并文件出来。
设计了称为微服务的新程序类以这种方式工作。这些是小型服务,它们通过容器化环境中的API为容器外部的服务提供有限的功能。
这些密集的功能的数量和种类可以实现复杂的网络服务,例如视频提供商Netflix所原型的那种。上面显示了Netflix网络服务的最新生成的地图。由于只能通过有限的狭窄渠道访问微服务,并且服务协调者提供严格的访问控制,因此Netflix的模型已被证明具有极强的抵抗恶意渗透的能力。
但是,并非所有应用程序都适用于微服务模型。容器(例如Docker流行的各种容器)最初是为Linux操作系统创建的,其唯一目的是为工作负载提供隔离(但不提供网络连接)。诸如Docker之类的容器引擎通过一种称为网络覆盖的网络虚拟化形式来实现工作流程编排
。这些是映射到IP地址子网的受限网络,并具有对更广泛的IP网络(例如主数据中心或更广泛的Internet)的严格控制的网关。
通过网络虚拟化进行访问控制和安全性
创建访问控制列表(ACL)来建立和监视被授予或拒绝访问网络资源的用户的配置文件。随着网络虚拟化改变数据中心网络的形状和用途,我们逐渐了解的“用户”逐渐演变为网络资源和应用程序本身。监视应用程序行为的任何人都知道,网络中应用程序的行为会不断变化。随着时间的流逝,概要文件在树立应如何为其提供资源的先例方面变得越来越无效。
现代软件定义的网络通过使用自适应配置文件解决了这一难题。这些是有效的分析报告,可以定期进行编译,并通过使用算法进行完善。其中一些算法以象棋程序计算最佳动作的方式遍历内存中的网络节点,在另一种情况下可以视为“
人工智能”。
该概念的软件定义的接入网络(SDAN)
利用的原则,SDN来完成维持适应性轮廓的关键目标,最适合网络资源的任何时间段的需求。研究在SDAN上强制执行的访问策略,以确定它们对整个网络效率的影响。
换句话说,在记录服务问题之前,SDAN会对自身进行诊断。然后,针对分析模块收集的流量模式应用这些诊断。算法评估了这些行为模式在网络压力期间如何演变(由诊断确定)。结果是最适合网络服务访问的策略,针对最近被计算为最有可能出现的此类问题进行了优化。
微细分和网络安全
以非常低的级别在网络资源之间提供可控制的障碍的方式使用超细粒度的策略称为微分段。当思科应用此概念时,协调器会创建称为端点组(EPG)的动态结构,类似于临时网关。可以对资源进行动态群集并为其分配一个EPG,从那时起,非特权资源使用者访问它们的唯一方法就是通过此EPG。
通过隔离和控制对应用程序访问的多种技术,已证明通过网络虚拟化实现数据安全性是一种日益增长的趋势。
页:
[1]