博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2071|回复: 0

反思系统和网络设计上的安全区域

[复制链接]
发表于 2009-10-27 11:36:35 | 显示全部楼层 |阅读模式
作为IT专家,在每日繁忙的工作时,我们可能忽略了一些通过当前技术,如多个抽象层,虚拟化,管理技术等可以轻易实现的最基本的网络基础元素。在本文中,IT专家Rick Vanover建议我们反思一下网络中的安全区域。
--------------------------------------------------------------------------------------------

  如今数据中心的网络设备和服务器都拥有抽象层,虚拟化层以及管理层。前不久我与独立安全专家Edward Haletky讨论了很多网络问题,从中我发现,现在是时候该重新审视一下在新的和已有的网络架构中,安全区域是如何被实现的了。

  Edward指出,很多管理员,包括我在内,甚至在不知道安全区域的情况下跨越了安全区域。这里我指的安全区域是针对网络架构各个层的一系列服务。

  举个例子,数据中心里有一台常见的服务器,这台服务器上运行了多个虚拟机。这样的一台服务器可能会具备以下属性:一个硬件管理接口,如HP Integrated Lights-Out management 处理器,一个操作系统管理接口,虚拟化层迁移接口,为iSCSI等设备准备的存储接口,以及在独立VLAN上的一系列虚拟机。在这个例子里,一个服务器设备至少需要与五个安全区域进行交互。

  这次讨论让我感觉到,在有了诸如VLAN或者其他虚拟化技术后,该认真的思考一下安全区域是如何被实现的了。不考虑安全问题的情况下,只要简单的将每个网络设备点分隔在它们所属的安全区域内即可。这样做对于网络整体性能也有好处,比如将iSCSI设备单独隔离出来。

  你是如何在网络上实现不同的安全区域的呢?通过足够多的VLAN吗,还是通过独立的交换环境来分隔设备?这个领域很复杂,并且与设备有关,因此并没有一个统一的标准答案。欢迎读者与我们分享自己的看法。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-25 01:50 , Processed in 0.082588 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表