版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、虚拟化的安全,青山(叶润国) 核心研究院 2012-07-20,启明星辰技术大练兵,虚拟化环境安全需求,数据安全,确保数据存储的安全 确保数据传输的安全 确保数据处理的安全,数据安全保护,传统安全产品解决虚拟化安全,虚拟化环境安全产品解决方案设想,ESX/Hypver-V/KVM/Fronware,VMware vCenter/SCVMM/oVirt/FronwarevCenter,云安全产品管配平台 (VSecManager),SAN,域间访问控制 域内访问控制 虚拟终端安全 用户数据安全,Vmware的虚拟化安全产品套件,正在研发的云管配平台产品,云管配服务器(vSecManager),安
2、全产品 虚拟器件库,管理中心,虚拟化平台,虚拟化管理中心(vCenter),Web Browser,泰合团队:实现一个可对启明星辰的虚拟化安全产品进行自动部署、集中管理和集中监控的安全管理平台。 第一版情况:支持VMWare vsphere;支持vUTM和vTDS管理,域间访问控制解决方案,通过VLAN等技术实现虚拟域的隔离 然后通过网关形式虚拟安全产品实现两个或多个隔离的虚拟域之间的通信和访问控制。 Vmware vshield Edge Venustech vUTM,vDS,vSW,vSW,Tenant A (VLAN101),public network,public network,E
3、SX1,ESX2,vShield edge网关,一个标准虚拟机;拥有内外网卡;路由模式;端口组网络安全;提供边界防护安全服务。,访问控制:vUTM虚拟机形态安全网关,虚拟化和云计算研究课题介绍,基于内省API的虚拟安全产品研究,安全虚拟机为特权虚拟机,通过虚拟化层内省API实现对其它虚拟机的安全监控 允许安全虚拟机对其它虚拟机CPU、内存、网络流和磁盘I/O进行监控 安全虚拟机可高效实现各种安全功能,包括FW、HIPS、NIPS、AV等,IDS / IPS,Web 应用程序保护,应用程序控制,防火墙,深度包检测,日志审计,保护 Web 应用安全漏洞,减低攻击层面. 防止 DoS & 产品瑕疵
4、监察扫描,从海量数据中 优化以及辨识 重要安全事件,侦测和阻止透过安全漏洞 发动的已知跟零日攻击,在应用程序访问网络的过程中提供更高的可视性以及监控,Vmsafe based DeepSecurity产品,本项目在研情况,目前正和北航合作。 安全内省API设计(KVM内省API封装) 提供对应的虚拟机内存访问 对虚拟机提供保护机制(非法阻断和响应) 提高对虚拟机内存和磁盘和网络IO访问性能,分布式虚拟防火墙研究课题,虚拟化环境下,虚拟域边界是动态的,传统网络防火墙不再适用,需要支持深层防御的分布式防火墙 目标:在虚拟网络级别实现ACL,实现虚拟化环境中虚拟域内各VM之间的访问控制。 支持的虚拟
5、化环境 VMware环境 (VMsafe DVFilter) KVM和XEN环境(openvswitch openflow),虚拟分布式防火墙:vShield App,基于VMsafe DVFilter实现,可以实现虚拟网卡级别的访问控制;提供域内VM间访问控制。,基于vNIC ACL的分布式虚拟防火墙,VCenter,分布式虚拟防火墙策略管理中心,虚拟防火墙全局策略翻译例子,翻译后的vNIC级别ACL,vSwitch/vDS,ACL,ACL,ACL,本项目研究成果产品架构设想,包括虚拟化层内核模块和集中安全策略管理中心,其中内核模块实现基于虚拟网卡级别的ACL访问控制,集中安全策略管理中心则
6、实现基于容器的面向业务的策略编辑和下发功能 支持VMware Dvfilter和OpenvSWitch openFlow架构 中间层实现全局安全策略到下层具体安全策略的翻译,网络虚拟化研究课题,虚拟网络和底层网络硬件分离,实现网络资源共享 虚拟网络具有物理L2网络全部功能 虚拟网络和物理网络地址空间隔离 虚拟网络中VM不受物理位置限制 虚拟网络具有完整生命周期,当前的虚拟网络片层实现方案,采用Overlay技术实现虚拟网络与物理位置无关性; 采用SDN实现虚拟网络的全生命周期管理; 所有虚拟网络服务在边界智能网络设备上实现,不依赖于物理网络设备的网络功能; 物理IP网络提供连通能力,因而可以像
7、计算和存储资源一样实现池化 当前可采用的两种L2-Over-L3隧道协议 VXLAN NVGRE,Nicira DVNI架构,NVP覆盖网络,NVP Controller OpenvSwitch NVP Gateway,基于隧道连接的虚拟网络单播实例,VM1,VM2,VM4,VM3,VM5,VM6,VM7,VM8,192.1.1.1,192.1.1.2,192.1.1.3,192.1.1.4,10.0.0.1,10.0.0.2,10.0.0.3,10.0.0.4,10.0.0.5,10.0.0.6,10.0.0.7,10.0.0.8,vSW,vSW,vSW,vSW,VM1-VM7,基于隧道连接
8、的虚拟网络单播实例,VM1,VM2,VM4,VM3,VM5,VM6,VM7,VM8,192.1.1.1,192.1.1.2,192.1.1.3,192.1.1.4,10.0.0.1,10.0.0.2,10.0.0.3,10.0.0.4,10.0.0.5,10.0.0.6,10.0.0.7,10.0.0.8,vSW,vSW,vSW,vSW,VM1-VM7,网络虚拟化安全项目研究内容,基于软件定义网络的网络虚拟化研究 采用openvswitch和Openflow Controller,在KVM或XEN平台上实现VXLAN虚拟网络管理平台。 在虚拟网络中部署各种虚拟化安全产品。,虚拟化数据安全研究项
9、目,三种类型的数据需要安全保护 休眠状态数据 当存储时就加密 移动中的数据 在内网内加密 当通过管理程序时马上加密 使用中的数据 数据使用时必须解密(同态加密除外) 数据访问控制模型,三种虚拟环境数据加密实现方案,虚拟机池,加密网关,密钥管理,明文数据,密文数据,云存储系统,密钥分发,iSCSI协议,虚拟机,密钥管理中心,密钥分发,虚拟机,加密 驱动,VM映像存储区,VMM,虚拟机,密钥管理中心,密钥分发,虚拟机,加密 驱动,VM映像存储区,VMM,磁盘驱动,加密 驱动,SecureCloud系统架构,28,本项目研究目标,基于KVM平台和qemu-KVM模块,实现一个对KVM虚拟机的虚拟磁盘映像文件数据进行透明加解密的数据安全产品。 可实现虚拟桌面和服务器虚拟化场景中数据存储的安全。 采用libvirt实现VM管理,采用Qemu-img创建加密虚拟磁盘映像 修改qemu-KVM磁盘IO驱动,加载过程中从密钥管理中心获取所需要的密钥 需要设计一个集中密钥管理中心,离线虚拟
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 报纸广告合同书范本合集
- 二手房购买合同书合集
- 医疗赔偿协议书的模板合集
- 新农村土地承包合同的范文合集
- 个人小区车库出租协议书合集
- 商品房预订合同协议合集
- 护理继续教育组工作计划(合集4篇)
- 技术合同备案合同书合集
- 2024在建工程抵押合同
- 2023年石材防护剂项目风险评价报告
- 得物商家运营推广方案
- 《外贸出口业务流程》课件
- 《催收员心态培训》课件
- 画展合作协议范本专业版
- 阜宁高铁新城规划方案
- 中药专业知识技能
- 电力设施施工的新技术与新工艺
- 设计与规划的动物园
- 天津市河西区2019-2021年三年中考一模英语试卷分类汇编:单项填空
- 2024年理论学习中心组学习工作总结
- 银行纪委调研报告-清廉金融文化的打造与实践
评论
0/150
提交评论