传统网络中划分VLAN的方法有多种,不过在运营数据中心网络上,基本都是以柜式机房为单位来划分VLAN,它的好处是可以防止可能的高流量影响到其他VLAN网络,使得网络管理更加简单,提高网络整体安全性。传统的以太网帧格式中只定义了4096个VLAN,在二层网络的条件下,VLAN在更大规模上形成了制约,那么,作为电信级以太网领域的领先企业,SCNB为此提出了全面的解决方案。为解决以太网的广播问题和安全性,在以太网帧中 VLAN增加了头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
(3)拒绝服务攻击
不管是IT网络还是云计算,几乎都受到拒绝服务攻击和由其派生的分布式拒绝服务攻击的威胁,它会以暴增的流量来让服务器不堪重负而变慢或死机。目前大多数的服务器都是利用异常流量方式让拒绝服务攻击不至于影响所有用户。
2.平台服务安全(PaaS服务)
基础设施层次安全涉及的基本都是一些硬件的安全,而平台服务安全则重视系统与软件的安全。
(1)操作系统的安全
就像所有的企业的操作系统都会打补丁一样,数据中心内的操作系统也会出现漏洞,也需要不断地进行安全性修补,不过它的修补不是程序更新发布后立刻执行,而是要先经过测试,确定修补不会影响云本身和自治系统时才进行。
(2)多租户隔离
在Paas层次,几乎所有服务都会以多租户技术来设计。为了要标识不同的用户,保证账户只访问自己的信息,Paas要求用户都要创建自己的账户,每个向Paas服务提交的请求会需要装载来自于Paas服务的验证与授权信息。
采用多租户技术有很多优点,比如一个软件实例可被多个组织共享,从而减低了整体资源的消耗;多租户架构能减少物理资源和软件资源,简化管理;另外最重要的是,采用多租户技术,会由有经验的云供应商管理人员来运营,能提升效率。
(3)数据传输安全
不管是在传统网络还是在云中,在用户终端与数据中心传输数据的过程中,用户往往会担心自己的数据被恶意用户偷听和窃取,造成企业核心技术泄露。所以,为保证传输层次的安全性,通常在SSL层都会对数据加密,这种技术是目前数据传输中最为常见保密性较好的一种数据传输加密技术,它能很好得保证传输中应用程序的安全。
然而由于SSL VPN技术比IP Sec VPN技术出现得晚,所以目前电信运营商的绝大部分网络设备支持IP Sec VPN功能而不支持SSL VPN功能。与SSL VPN相比,IP Sec VPN利用组网无需新增网关设备、无需调整网络结构,但IP Sec VPN的访问终端需要安装客户端软件管理和维护的工作量较大,不利于业务推广应用,而SSL VPN的优势是利用IE浏览器访问终端,无需安装专用客户端软件。
(4)数据存储安全
云计算中的数据存储都是基于虚拟机技术,即在相同的物理和软件平台上构建出不同的虚拟机,而企业客户的数据就是存储在不同的虚拟机上。目前大家一致质疑的数据存储安全问题就是所谓的虚拟化技术还不够成熟,虚拟机上也会存在很多安全漏洞,导致自己的邻居客户或不法用户偷窥窃取自身信息。当然这样的问题可能会存在,不过就目前虚拟化技术发展的程度看,想要寻找虚拟机的安全漏斗将是一件相当困难的事情,另外在虚拟机上一般都会部署防火墙等软件,进一步保护了数据存储安全。
3.软件服务安全(SaaS服务)
SaaS提供商提供的一般都是一些软件服务,因此开发人员一定要保证软件服务的安全,防止应用程序被黑客攻击,确保数据不会被未授权的用户访问。所以开发人员一定要按照Windows Azure的应用解决方案来构建安全应用。
