云朵方案化解“私有云”安全过渡期难题

　　● 对安全资源虚拟池化：先对安全设备进行“多到一”的虚拟化，形成一个虚拟的、逻辑的、高处理能力的安全设备，如虚拟防火墙、虚拟入侵检测等;再对虚拟的安全设备进行“一到多”的虚拟，生成用户定制的、处理能力匹配的虚拟安全设备;

　　● 部署流量控制服务器：它是流量控制管理的中心，接受并部署用户流量的安全策略，当用户业务虚拟机迁移时，负责流量牵引策略的迁移落地;该服务器可以是双机热备，提高系统安全性，也可以采用虚拟机模式。同时，在虚拟计算资源池内安装流量控制引擎：具体方法是在每个物理服务器内开一个虚拟机运行流量控制引擎，负责引导该物理服务器上所有虚拟机，按照安全策略进行流量的牵引;

　　● 用户业务流量的牵引分为两种模式：

　　● 因为需要改变用户流量的流向，需要对目的MAC、目的IP 进行修改。具体的方案很多，这里我们采用的是MAC in MAC 技术，对数据包二次封装，经过安全设备处理以后的“安全流量”恢复到“正常”状态;在云朵中的物理交换机与虚拟交换机支持SDN 模式时，也可以采用openflow 协议进行导引时的封装;

　　● 当用户业务服务的虚拟机在不同的物理服务中迁移时，该用户业务的安全策略也随着迁移到目的物理服务内的流量控制虚拟机，继续执行对该用户的业务流量进行引导。

　　小结

　　“云朵”方案通过把不同安全需求的业务系统部署在不同的云朵内，降低了对云内业务流隔离的需求，而在云朵内部，通过流量牵引与虚拟机加固等办法，实现网络层面的安全过滤，同时加强业务系统自身的安全管理，如用户权限管理、业务行为审计等，实现应用层面的访问控制，对敏感数据的存储与传输都建议采用加密方式。

　　“云朵”方案是个过渡性质的方案，等到云朵内的安全隔离与控制技术成熟，多个云朵就可以合成一个云了。(启明星辰 翟胜军)

（编辑：宿州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!