关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


云环境下的网络准入控制

2014-06-17 18:42 推荐: 浏览: 70字号:

摘要: 桌面云概述 在云计算架构中,“桌面云”是一种实现计算、存储、网络等资源的集中化、共享化的平台方案,能够将单台PC的处理能力(包括CPU和硬盘)集中到数据中心,办公个人终端变成TC(terminal client),从而不需要强的处理能力和存储能力就能够搭建好整...

桌面云概述

在云计算架构中,“桌面云”是一种实现计算、存储、网络等资源的集中化、共享化的平台方案,能够将单台PC的处理能力(包括CPU和硬盘)集中到数据中心,办公个人终端变成TC(terminal client),从而不需要强的处理能力和存储能力就能够搭建好整个业务平台,并兼具计算高效性和数据保密安全性。

处于后台的云数据中心将负责给每个办公终端提供虚拟化的“计算机”实现,每个终端所使用的资源都是共享的,通过云数据中心的统一调度和管理,实现对资源的“按需分配”管理。

桌面云的建设目标就在于实现高效能的计算和集中化管理的数据安全,在“云”中,用户能够充分享受到传统分散式桌面计算所无法保证的高度的数据安全性。

网络准入控制NAC与“云”的联姻

在“云”安全中,还有关键的一环,就是接入“云”用户的身份认证。传统的“云”认证一般都是采用windows AD域或加装第三方LDAP服务器的方式来实现的,但许多用户反映要建设一个具有整体性且功能完善的AD域十分复杂,实现及维护工作量巨大,而AD域最大的缺陷在于,对于需要对员工进行入网规范的企业客户来说,当员工逃避管理,不访问“云”资源的时候,则完全可以逃避AD域的约束。此时管理者将面临两难的局面:在辛辛苦苦建设好AD域后,突然发现真正需要与“云”安全结合的其实是一套对“云”用户及所有入网用户结合为一体来进行身份认证和安全控制的准入控制系统;而在AD域的建设上又投入了大量的时间、精力和成本,最终可用性不高。这样的重复投资和重复性维护工作对于投资者将是一个极大的难题。

在传统“云”安全中使用的LDAP服务器则由于安全控制功能太弱,只能完全沦为一个纯身份信息数据库的单一化节点,定位为对已有强安全系统的一个便利型的补充。而在没有强入网控制系统的情况下,这没有任何意义。

对于“云”的建设者而言,“云”架构本身的安全性就在于应用(本质是数据)安全,属于控制层次较高的安全范畴,这对于用户的业务型安全需求是基本符合的。但正因为控制层次太高,在基本ip层或mac层的控制力度就形同虚设,基本的通信级的接入控制近乎为零,从国际通用的安全标准考虑,忽视底层的安全将带来大量的渗透风险(当然由于应用层的强力控制,这其中可能只有少部分渗透能够威胁到核心数据),但这样门户洞开对于黑客或攻击者的诱惑是相当大的,试想一个每日被不断物理侵入的“云”网络,其虚拟交付平台将承受多大的攻击风险?

换句话说,如果在基本的ip或mac层就进行接入控制,绝大部分的攻击将在交换机端口级别就得到有效的限制,从而大大减轻云前端虚拟交付台的抗风险攻击压力。这也标志着在用户“云”时代,NAC网络准入控制系统依然将发挥着至关重要的接入控制功用,通过网络准入的底层控制和“云”自身的高层控制,共同打造用户网络的整体安全架构。

稿源:盈高

联系站长租广告位!

中国首席信息安全官
Copy link