云计算厂商的零信任安全清单

日期: 2015-04-15 作者:Keith Townsend翻译:张培颖 来源:TechTarget中国 英文

通过集中安全设备可以实现零信任安全(一种非主观环境下的无用户、界面或者应用的安全模型)流量流的物理实现。但由于单一设备必须过滤所有流量,所以零信任安全策略扩展很难实现。然而,在工作负载和完了都是虚拟的或者基于云的情况下,环境可以扩展。 在数据中心中,微分割是基于超极管理器网络覆盖的副产品,可以用零信任安全来扩展。

前Netflix云架构师Adrian Cockcroft在播客中介绍,使用云服务,微分割通常是与生俱来的。现在他是巴特利风投的技术人员。下面我们就在各种虚拟化和云平台中来看看微分割以及零信任安全策略。 VMware NSX VMware的网络虚拟化平台NSX过滤任何在超级管理器中来往的……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

通过集中安全设备可以实现零信任安全(一种非主观环境下的无用户、界面或者应用的安全模型)流量流的物理实现。但由于单一设备必须过滤所有流量,所以零信任安全策略扩展很难实现。然而,在工作负载和完了都是虚拟的或者基于云的情况下,环境可以扩展。

在数据中心中,微分割是基于超极管理器网络覆盖的副产品,可以用零信任安全来扩展。前Netflix云架构师Adrian Cockcroft在播客中介绍,使用云服务,微分割通常是与生俱来的。现在他是巴特利风投的技术人员。下面我们就在各种虚拟化和云平台中来看看微分割以及零信任安全策略。

VMware NSX

VMware的网络虚拟化平台NSX过滤任何在超级管理器中来往的流量。这个功能适合创建零信任安全。VMware使用NSX分布式防火墙的可扩展性,在独立的主机之上的虚拟机之间创建了零信任安全。这个安全策略也可以在同一逻辑的Layer 2广播网络上的主机之间创建。

VMware的方法抽象了物理的零信任安全,同时使用分布式的基于超级管理器属性的网络覆盖。管理员可以在一个集中的关系系统中创建规则,而且强制跨分布式防火墙设备。最终实现集中管理的解决方案,每个超级管理程序可以扩展到两位数的Gpbs。

亚马逊Web服务

在云平台中,客户和第三方产品不能直接访问底层的超级管理程序。这意味着客户必须依靠服务才能实现,通过云API实现零信任安全。

在亚马逊Web服务(AWS)的情境中,理解公有云和内部网络之间的连接非常重要。有三种方式可以访问运行在AWS中的实例:公有互联网、基于IPsec的亚马逊虚拟私有云(VPC)以及AWS Direct Connect(亚马逊设备中的专用Layer 3回路)。所有的连接选择都需要客户端的IP终止,通过防火墙实现。亚马逊不允许客户的Layer 2流量在Direct Connect或者VPC之上延续。

基于AWS的连接设计,在AWS托管实例和本地结点之间存在一种天然的零信任。问题随后就变成在AWS内部,实例到实例的流量发生了什么?

AWS使用安全群组控制实例的网络访问。安全群组可以定义得很宽泛或者很窄。一个实例可以有一个或者数个安全群组应用。同时焦点在于IP流量,了解VPC网络不支持广播或者多路广播流量很重要。因此,无需为非IP流量过滤。

开发者可以使用AWS管理控制台或者AWS API创建或者分配规则。他们也可以在入站和出站流量上应用规则。默认情况下,所有的出站流量允许,同时入站流量禁止。这种颗粒的功能导致很难排查故障连接,因为的单一的实例属于多个安全群组。此外,分离的安全群组同时为Windows和Linux存在,会导致不一致或者重复的安全策略。然而,这是任何零信任安全产品适用的情况。

谷歌计算引擎

谷歌计算引擎网络类似于传统网络。每一个实例被分配到一个默认网络,允许相同网中的实例到实例的流量。谷歌提供了一个逻辑防火墙,封锁网络之间的流量。为了实现零信任安全,每一个实例必须使用本地防火墙或者IP信息包过滤系统,或者在单独网络中安置每一个实例。然而,使用本地防火墙和IP信息包过滤系统极难管理,因为CPU周期会被用来强制执行规则,可能会影响VM性能。

微软Azure

微软的Azure的网络类似谷歌计算引擎网络。VM可以在逻辑私有网络中分组。Azure允许终点访问控制列表(ACL),应用于主机层级。在主机层级处理规则有助于维护本地VM性能。类似谷歌,你无法对Azure群组中的实例应用规则。因此,在大型环境中追踪规则成为问题。

云提供商针对零信任安全和微分割有着健壮的模型。在微软Azure和AWS的情景中,开发者可以选择从 内部应用集成微分割安全。这样开发者可以创建可扩展的应用,并且对变更中的安全做出快速反应。

作者

Keith Townsend
Keith Townsend

TechTarget特约作者

翻译

张培颖
张培颖

云计算网站编辑

相关推荐

  • 落地中国三周年,微软Azure带来哪些改变?

    作为第一个正式在华商用的国际公有云服务,微软Azure由世纪互联运营,现已落地中国三年。在过去三年中,微软Azure增长强劲,其云计算规模业已扩展了一倍,并以23%的市场份额在中国SaaS市场中排名第一。

  • 迁移至Azure:微软哪一工具更能帮助企业?

    从本地数据中心成功迁移到公有云提供商端,如Microsoft Azure,这需要详细了解工作负载的资源和性能特征,以及云中所需的工作负载。

  • 微软Azure自动化选项与工具探索

    自动化脚本程序和runbooks是系统管理员工具箱里的看家宝。迁移至云基础设施——管理员可以在几秒钟内进行实例化、移动和扩展虚拟资源——只强调了一致性可重复管理过程的重要性。

  • 如何设置和管理Azure订阅

    订阅是每一项IT服务的一个基本组成部分,它为个人或组织、所使用的资源以及支付之间提供了一个链接。在微软Azure中,订阅与特定帐户进行绑定,另外还涉及访问使用报告和账单。