|
此外,云安全接入网关还支持HTTP401方式、WEB方式、密码助手等多种单点登录方式,用户只需要进行一次认证即可访问所有授权业务资源。通过安全接入网关建立起企业的虚拟接入门户,各企业及部门都可拥有独立的接入门户,每个虚拟门户都可定制不同登录界面、控件类型、功能模块、认证方式、公告信息等,极大提高了云接入的安全性与便利性。
云环境边界防护云端和以往的服务端的安全管理是存在差异的。以往我们在管理物理服务器的时候我们部署防火墙、IDS等其他边界安全管理设备就能解决边界防护的问题。现在我们是在管理虚拟服务器,一台物理机器可以虚拟出很多台虚拟服务器,靠物理防火墙是无法进行多个虚拟服务器的安全防护的。 因此我们提出了在虚拟服务器下做虚拟化安全网关vGate
vGate以虚拟机形式部署在虚拟化平台上,并通过虚拟化平台接入引擎TAE获得虚拟化平台的网络通信数据,从而实现对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。TAE将所有虚拟机信息区分成不同的设备转化到虚拟防火墙上,虚拟防火墙对这些虚拟服务器进行管控。实现物理防火墙的所有功能转化到虚拟防火墙上。为云端提供防火墙、入侵检测、防病毒、协议过滤的安全防护功能。
 虚拟安全网关总体架构
如上图所示,虚拟化安全网关主要由以下部分构成:
1) 集中管理平台TP
负责安全策略的集中管理,并对安全策略的迁移功能提供支持。
2) 虚拟化安全网关TopVSP vGate
以虚拟机形式部署在虚拟化平台上,并通过虚拟化平台接入引擎TAE获得 虚拟化平台的网络通信数据,从而实现对所有虚拟机之间以及虚拟化平台本 身的网络通信进行防护。
3) 客户系统内安全代理TD
安装在客户操作系统内的服务,负责收集客户系统的日志信息,文件一致性保护,外设的权限控制等。
4) 虚拟化平台接入引擎TAE
负责实现虚拟化平台的网络数据导流到虚拟化安全网关vGate,针对不同的虚拟化平台需要安装对应的接入引擎。同时针对不同的平台还可以对虚拟化平台自身系统进行安全加固,以及基于hypervisor层的各种权限控制,比如对虚拟机外设的控制,对虚拟机操作权限的控制等。
虚拟化是个宽泛的技术术语,是指将各类资源,如计算资源等加以抽象,并对具体的技术特性加以封装隐藏,对外提供统一的逻辑接口。而虚拟化是云计算的重要支撑技术,可以说是虚拟化为我们带来了“云”,同时也是云计算区别于传统计算模式的重要特点。常见的虚拟化技术主要包括:网络虚拟化、服务器虚拟化、存储虚拟化、应用虚拟化、桌面虚拟化等。然而,在虚拟化技术大规模应用的结果,由于同一物理机内部的虚拟机之间进行数据交换时并不经过传统的网络接入层交换机,直接导致许多传统的安全防护手段失效,无法对虚拟机之间的进行隔离控制,他们之间的流量数据无法做到监控和审计等问题。并且当前的传统基于主机层面的安全防护手段,无法适应虚拟机环境。同时虚拟化的网络结构,使得传统的分域防护变得难以实现,虚拟化的服务提供模式,使得对使用者身份、权限和行为的鉴别、控制与审计变得更加困难。为了解决虚拟化的安全问题,天融信提出了TopVSP三层防御体系,从网络层面,系统层面,管理层面三个层面对虚拟化环境进行安全保护。
|
