虛擬網絡安全是更糟糕的一個問題,因為它將傳統托管和應用程序安全性產生的問題與網絡安全問題相結合,然后增加了虛擬資源和服務的挑戰。毫無疑問,人們現在才開始認識到云虛擬網絡的問題,解決這些問題還有很長的路要走。
安全性應該始終被視為一個增量問題。目前的情況與已經經歷、容忍或解決的情況有著什么樣的區別?對于網絡的云虛擬安全,最大的區別是虛擬到資源的映射,這意味著連接托管組件所需的框架。簡而言之,云計算虛擬服務安全問題的出現是因為設計用于保護托管軟件功能的安全工具與保護物理設備的工具不同。
通過隔離它們來保護托管元素
保護云計算中的虛擬機安全性的第一步是隔離新的托管元素。例如,假設邊緣設備中托管的三個功能可以作為服務數據平臺的一部分部署在云中,網絡用戶可以看到地址,或者作為隱藏的私有子網的一部分。如果企業的業務在云中部署,那么任何功能都可能受到攻擊,并且其托管和管理流程也可能變得可見且易受攻擊。如果企業將主機和功能連接隔離在一個專用子網絡中,則不會受到外部訪問的保護。
在當今的容器托管中,無論是在數據中心還是在云中,應用程序組件都部署在私有子網內。因此,只顯示表示用戶應訪問的API的地址。同樣的原則需要應用于虛擬函數;公開用戶實際連接的接口,并用受保護的地址隱藏其余的接口。
確保所有組件都經過測試和審核
云虛擬安全性的第二步是在允許部署之前,對安全合規性的虛擬功能進行認證。外部攻擊是虛擬網絡中的真正風險,但內部攻擊則是一場災難。如果可以防止后門漏洞的功能引入服務,它將成為服務基礎設施的一部分,并且更有可能擁有對其他基礎設施元素的開放攻擊向量。
堅持強大的生命周期管理組件只能訪問同一服務實例中的其他組件非常重要,減少了惡意軟件在新的軟件托管功能中引入的風險。后門攻擊可能會使服務本身處于危險之中,但惡意軟件不太可能傳播到其他服務和客戶。
但是,這種方法并不能減輕操作員的安全測試負擔。對于所有托管特性和功能,堅持強大的生命周期管理合規流程非常重要,運營商可以審核和驗證。如果提供托管特性或功能的公司正確地測試了他們的新代碼,那么它就不太可能包含意外的漏洞或故意引入的后門漏洞。
單獨的管理API以保護網絡
第三步是將基礎設施管理和業務流程與服務分開。管理API將始終代表一個主要風險,因為它們是為控制特性、功能和服務行為而設計的。保護所有這樣的API很重要,但保護那些監視服務用戶不應該訪問的基礎設施元素的API是至關重要的。
確保云中虛擬機安全性的最重要領域是由ETSI網絡功能虛擬化(NFV)行業規范組強制要求的虛擬網絡功能管理器(VNFM)結構的虛擬功能特定部分。此代碼由網絡功能虛擬化(NFV)的提供者提供,并且可能需要訪問代表基礎設施元素以及編排或部署工具的API。這些元素可能打開基礎設施管理API的網關,這可能會影響虛擬云服務中使用的功能的安全性和穩定性。
保護虛擬網絡功能管理器(VNFM)意味著要求網絡功能虛擬化(NFV)提供商提供其架構來管理與基礎設施或部署/管理API的虛擬網絡功能管理器(VNFM)連接,以便進行審查和安全增強。重要的是確保與其他網絡功能虛擬化(NFV)或服務關聯的服務用戶,網絡功能虛擬化(NFV)或虛擬網絡功能管理器(VNFM)不能訪問基礎設施管理API。
通過包含訪問權限,企業可以限制安全風險。此外,運營商應要求記錄任何來源對基礎設施管理和編排API的訪問,并檢查任何訪問或更改以防止發生管理訪問泄漏。
保持連接安全和分離
云虛擬網絡安全的第四點,也是最后一點是確保虛擬網絡連接不會在租戶或服務之間交叉。虛擬網絡是為重新部署或擴展的功能創建靈活連接的絕佳方式,但每次進行虛擬網絡更改時,都可能在兩個不同的服務、租戶或功能/功能部署之間建立無意的連接。這可能會產生數據平臺泄漏,實際用戶網絡之間的連接和管理或控制泄漏,這可能允許一個用戶影響另一個用戶的服務。
管理虛擬連接的實踐和策略可以降低這樣的錯誤風險,但要完全避免這種錯誤是非常困難的。這是因為連接功能的虛擬網絡和連接用戶的真實網絡之間存在間接關系??梢圆捎玫囊环N補救方法是使用網絡掃描器或清單工具搜索虛擬網絡上的設備和虛擬設備,并將結果與預期的服務拓撲進行比較。這可以作為虛擬網絡更改的最后一步。
云虛擬網絡將云計算引入網絡,但也會帶來服務器、托管和虛擬網絡安全問題。任何使用企業僅從設備構建網絡的時代的工具和實踐,并認為這些風險可以通過傳統方法解決的人都將很快面臨嚴峻的現實。
京公網安備 11010502049343號