我是IT运维岩小强,好久不见
前几天,领导布置了新任务
公司新增业务上云,必须保证云端业务安全
作为一个传统的IT技术男
你问我什么感觉?
那当然是很高(beng)兴(kui)!
并顺手打开了BOSS弯聘、58不成
准备骑上我心爱的小摩托,转战互联网行业
为什么我如此自信搞不定云端安全?
那是因为传统的硬件环境
大量设备在同一个机房直连或近乎直连
可以通过硬件交换芯片
方便的流量镜像给
IDPS/APT/态势感知等安全设备
就好像你和女生面对面
Person to person(简称P2P)
你送她个礼物,触手可及
而在云端,组网是这个样的
▼
图注:云端组网结构图
(我知道你和我一样没看懂)
翻译一下
就好像你和女朋友视频聊天
好似面对面实际可能相距甚远
而你原本一伸手
就能把礼物送给女生
在云上,事情开始变得有(kun)趣(nan)
怎么办?聪明如你可能会说
当面无法发送
那就通过快递远程传输呗
但是“云端快递”有2大难点:
1是溯源,2是物流
溯源指:传输需要记录源IP,目的IP信息
收件人才知道是你
方便女生收到礼物(如口红)
发现你搞错了色号的时候
把你拉黑!!!
而快递的包裹,也就是外层
可以封装一层信息
NEW源IP,NEW目的IP
这个包裹,业内称为GRE隧道
图注:GRE隧道工作图
可能好奇的小伙伴又要问了:
隧道技术那么多,为什么是GRE?
答:GRE隧道是隧道中比较简单的一种
无需两端协商,实现简单。
通过使用GRE隧道对镜像流量进行封装
将外层的源MAC封装为自己的MAC
目的MAC为下一跳的MAC;
源IP为自己的IP
目的IP为目的地的IP地址
从而符合虚拟网络的限制
简单说,也就是通过GRE封装的包裹技术
将礼物投递到女生手中,女生拆开包裹
一眼望去,都是你的名字(源IP信息)
物流指:因为云端环境没有硬件交换芯片
所以需要通过CPU实现软交换
需要对1条session,2个方向的flow
进行精准的,bit级别的100%模拟
即使你有多个朋友
也可以一次复制,多份分发
当然,你知道总没有十全十美的事情,
最后总结2点限制:
- 通过GRE封装,丢失了原始报文的MAC头
原因是GRE封装的下层协议只能是传输层协议。
但是对于安全设备、流量分析设备
并不关注MAC地址信息
再加上公有云及SDN网络的ARP
基本都是云平台代答
所以MAC地址信息对安全分析
也没有那么大的意义
- 对端接受流量的网元也需要支持解GRE封装
简单说,也就是接收端女生
需要会拆快递
我想如果礼物足够吸引
每个女生都是天生的拆快递高手吧
最后,小伙伴肯定要问
这么好的云端快递方式,哪里能提供呢?
山石网科虚拟化应用交付AX系列
适配主流公有云,私有云平台
图注:山石网科虚拟化应用交付AX系列
支持云平台
欢迎骚扰!
来源:oschina
链接:https://my.oschina.net/u/4335103/blog/4293126