原创《云计算安全隔离方案深度分析》:关于免费云计算论文范文在这里免费下载与阅读,为您的云计算相关论文写作提供资料。
【 摘 要 】 在以虚拟化为主要技术平台的云计算环境中,能够提供有效可行的安全隔离方案,将直接决定整个云计算安全解决方案的安全防护能力.论文基于一般性的安全防护需求给出了一种较为通用的安全域规划方法,并在此基础上从虚拟机网络驱动层、虚拟交换机层、虚拟机监控器网络驱动层、二层物理网络层、三层物理网络层这五个不同的层面,针对可部署安全隔离防护设备的方案进行了深入的分析,比较了方案之间的优缺点,为用户选择合适的云安全隔离方案提供了有价值的参考.
【 关键词 】 云计算;虚拟化;VLAN;Openflow;安全隔离
1 引言
随着现在云计算市场竞争的激烈程度加剧以及用户对云计算环境安全要求的提高,越来越多的集成商和云服务提供商开始注重基于其云计算环境的集成方案提供安全应用的接入接口,并以此作为其竞标云计算集成方案的亮点之一.在云计算环境中实现网络安全所要解决的一个重要技术问题就是对网络安全域的逻辑划分以及基于划分的网络安全域进行不同域间的隔离.用户所使用不同的云平台、采用不同集成商的方案、选用不同厂家的网络设备,都将会使得云环境中的安全域及虚拟机间的隔离方案有所不同.本文将针对在不同层面实现云计算安全隔离的方案进行分析,对比各类技术方案的优劣以及其对不同云计算环境安全需求的适应性,为云计算使用者对云安全解决方案的选择提供参考.
2 控制网络流的途径
这里我们所说的隔离,并不是让属于不同安全域间的虚拟机完全无法相互访问和通信,而是让被划分在不同的安全域边界内的虚拟机间的通信必须经过相应的网络安全设备的检测和过滤,在网络安全设备确认数据包安全后,跨安全域间的通信才能够进行.这就对网络安全提出了一个新的问题,即如何控制网络流使之经过实现部署在云计算环境中的虚拟或物理的安全设备.这个问题我们可以从三个更具体的方面来分析.
第一,用户的安全需求是什么.传统网络环境下,用户通常关心的是出入一个物理网络边界的流量的网络安全问题,这个边界是物理存在的,比如连接接入交换机和汇聚交换机的一根网线.当外网的机器需要访问内网机器时,是无法绕过这个边界直接访问,因此在传统物理环境下,用户的需求通常是对这个物理存在的边界上流量的安全监控.在云计算环境中,整个网络和其上所有虚拟机都存在于一个大二层的网络环境中,为了实现逻辑上的隔离,通常使用划分VLAN(或VXLAN)的方式来隔离具有不同安全需求的虚拟机,这时就出现了对虚拟机安全隔离的三种不同的安全需求:其一是只监控外网到云计算环境内部的通信;其二是只监控不同VLAN间的虚拟机间的通信(包含第一种需求);其三是需要监控任意两台虚拟机间的通信(包含前两种需求).
第二,网络安全域的边界如何划分.为了从网络层面保证虚拟机间的有效隔离,网络安全域的划分需要消除与VLAN间的多对一关系,即不能存在多个不同的网络安全域划分在同一个VLAN下的情况,这样在这些不同网络安全域间的虚拟机间的通信将可以通过虚拟交换机直接交换机而不被转发到物理网络上,使得安全监控产品的部署受到很大的局限性.
第三,安全设备的部署方式是什么.从安全设备的部署方式上,我们可以将其分为两类:一类是透明部署在二层网络环境中;另一类是以网关形式部署在三层网络环境中.通常透明部署的方式更多的被应用在实际的生产环境中,因为透明部署将不需要修改用户已有的业务网络的配置.而将安全设以网关方式部署在三层网络环境中的好处是,可以利用路由规则使得需要被监控的网络流量经过安全设备.
综合考虑以上三点,我们可以得出一个较为合理且应用较广的云计算环境中的安全需求定义和规划模型,即以VLAN划分需要隔离的业务网络,安全域的划分需要消除安全域与VLAN间的多对一关系,通过监控VLAN或安全域边界上的网络流量实现安全监控和隔离,安全设备通常工作在二层网络模式下,以透明方式进行部署.那么回到最初的问题,即在这样的安全需求和规划模型下,如何控制网络流,使之能够在出入VLAN或安全域边界时经过部署在云环境中的安全设备.
3 网络流控制方法
云计算是一个庞大而复杂的系统,这就使得我们可以在多个位置上寻找到合适的网络流控制方法来解决安全隔离问题.我们需要先了解云计算的技术架构,才能够更好地选择适合的安全隔离方案.在云计算环境中,它的软件系统的核心显然是虚拟化平台,而硬件环境的支持主要是实现虚拟化的硬件服务器和支撑整个云计算环境的网络.安全作为云计算环境中的另外一个重要的组成部件,想要顺利的集成进云计算这个系统中,无法避免将面临三种技术选择:与虚拟化平台整合、与网络环境整合或完全解耦合的独立存在.从云计算和虚拟化的整体技术架构进行剖析,可以在五个不同的层面通过对网络流的控制实现虚拟机间的安全隔离.如图1所示,这五个不同的层面分别是虚拟机网络驱动层、虚拟交换机层、虚拟机监控器网络驱动层、二层物理网络层、三层物理网络层.其中虚拟机网络驱动层和虚拟机监控器网络驱动层需要系统提供API级的支持,其他三层则需要交换机和网络协议级的支持实现.
4 安全隔离方案
我们逐层分析在不同层面实现安全隔离时的实现原理和部署方式,以及此类安全隔离方案的优缺点.
方案一:在虚拟机网卡驱动层实现安全隔离的方案,如图2所示,利用安装在虚拟机内的网络驱动层*程序截获进出该虚拟机的网络流,实现将需要被监控的流量牵引至部署在云环境内的虚拟或物理安全设备上,由安全设备完成检测和过滤后,送回*程序,再送至虚拟机的业务程序中.该方案的优势是能够实现任意虚拟机间的通信隔离和监控,并且完全与虚拟化环境解耦合,不依赖于任何虚拟化平台,可跨平台部署,比较适合安全公司在用户已经完成云计算环境的建设后,追加相应的安全功能.但该方案也存在明显的缺陷,即需要在每台虚拟机上安装*,管理复杂,且有可能影响业务虚拟机的稳定性,并且对整个虚拟化环境的计算和网络资源消耗也较高.
云计算论文参考资料:
结论:云计算安全隔离方案深度分析为适合不知如何写云计算方面的相关专业大学硕士和本科毕业论文以及关于云计算论文开题报告范文和相关职称论文写作参考文献资料下载。
