解析NAC上模式化的虛擬化和云安全

作者：粟薇 2010-05-04 10:22:13

云計算

虛擬化 虛擬化和云安全極度擾亂著安全市場。當(dāng)大多數(shù)安全性能都部署在設(shè)備靜態(tài)設(shè)備周圍，而我們還沒有辦法應(yīng)對動態(tài)的架構(gòu)。

專注于為中小企業(yè)提供網(wǎng)站設(shè)計、網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)三門免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了1000多家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

虛擬化和云安全極度擾亂著安全市場。當(dāng)大多數(shù)安全性能都部署在設(shè)備靜態(tài)設(shè)備周圍，而我們還沒有辦法應(yīng)對動態(tài)的架構(gòu)。

我們爭論的焦點(diǎn)是應(yīng)該在何處進(jìn)行安全部署：應(yīng)該部署在資源虛擬化池外部的應(yīng)用設(shè)備上，或者內(nèi)置于管理程序中，抑或是運(yùn)行于虛擬機(jī)上?答案是都要，但是真正重要的事情是如何在它們之間進(jìn)行合理安排和協(xié)調(diào)管理。當(dāng)談及在一個動態(tài)環(huán)境中協(xié)調(diào)安全時，答案出乎意料地來自網(wǎng)絡(luò)訪問控制。

虛擬化資源的安全存在兩個重大隱患。第一，資源可能是動態(tài)的，瞬時的。服務(wù)器的復(fù)制和發(fā)布不經(jīng)安排，它們可能圍繞VMWare的VMotion而移動，也可能等量移動。第二，安全要求網(wǎng)絡(luò)和運(yùn)算的協(xié)調(diào)。使用虛擬化的時候，二者不一致：在最接近網(wǎng)絡(luò)流量的時候，你就會被放在管理程序之中或是虛擬機(jī)之中，在這些地方，電腦的運(yùn)算能力不僅受到限制，而且還要承擔(dān)真實的工作流。雖然有些設(shè)備可以通過集中硬件提供運(yùn)算能力，但是卻將你移出了工作流的輸送。

理想情況下，你應(yīng)當(dāng)在專用硬件和網(wǎng)絡(luò)攔截的資源池外，完成大量運(yùn)算工作，還要控制距離工作流最近的端點(diǎn)以及與管理程序協(xié)作的端點(diǎn)。二者在理想條件下可以相互協(xié)作，也可以與虛擬化系統(tǒng)協(xié)作。

這正是NAC要解決的一系列問題。有NAC，你就具備連接交換機(jī)ad-hoc的端點(diǎn)。運(yùn)行于端點(diǎn)的所有設(shè)備之間必須與運(yùn)行于網(wǎng)絡(luò)的設(shè)備之間保持安全性能上的一致性，繼而將策略動態(tài)部署到每個端點(diǎn)。

對于NAC方案而言，既有架構(gòu)講究的，也有專用的。那些架構(gòu)比較好的方案頗具啟發(fā)性，可以重新部署到虛擬空間中。Trusted Computing Group的Trusted Network Connect架構(gòu)就是個不錯的架構(gòu)方案。PEP推行的安全性能可以部署到端點(diǎn)，接入交換機(jī)或網(wǎng)絡(luò)更深層次的地方。它們都是通過PDP策略編排的方案。通過元數(shù)據(jù)接入點(diǎn)和IF-MAP協(xié)議，可訪問元數(shù)據(jù)和事件，還可通過pub/sub架構(gòu)對其進(jìn)行共享。最后，可以通過不同的域整合TNC，并將其應(yīng)用到云環(huán)境中。
 

【編輯推薦】

1. 存儲虛擬化技術(shù)解決數(shù)據(jù)中心難題
2. 多核時代促進(jìn)虛擬化技術(shù)廣泛應(yīng)用
3. 服務(wù)器虛擬化3.0載入平衡分析

本文題目：解析NAC上模式化的虛擬化和云安全
文章鏈接：http://m.fisionsoft.com.cn/article/dhpjgcg.html