云负载是对经虚拟化或封装的功能性程序实例进行抽象,其中包括计算、存储和网络资源。各机构需要根据各自的业务需求,以一种持续、可重复的自动化方式监视、跟踪和应用各自的云负载,并对其实施安全和隐私策略。近日,美国家标准和技术研究所(NIST)的下属机构——国家赛博安全卓越中心(NCCoE)发布了《可信云—VMware混合云基础设施即服务环境安全实践指南》。该文件提出了一种可信云架构,寻求利用商用现货技术增强混合云平台上云负载的安全性和隐私性。该文件只是一个草案,美国家赛博安全卓越中心希望业界对该文件提出进一步的修改建议。

国家赛博安全卓越中心寻求通过一种自动化的内置可信硬件机制,限定云服务器的地理位置并不断进行监视,从而增强云计算安全性,并加快对云计算技术的利用。内置可信硬件机制是一种可维持地理定位信息与平台完整性的内置的可信硬件与固件组合。如果云平台经验证可信并且符合规定的地理定位策略,则可以使用软件程序来支持云平台的其他安全能力,如限制一个在可信地点、可信硬件上运行的负载,限制负载间的通信,确保处于空闲状态的负载数据受保护,对负载应用安全策略,以及跨混合云利用这些能力等。

11

可信云架构

可信云架构包括三个主要部分:(1)位于国家赛博安全卓越中心的私有云(主机);(2)IBM云安全虚拟化(ICSV)实例;(3)连接这两个云的IPsec VPN。这三个部分共同组成了一个混合云架构,如下图所示。

22

位于国家赛博安全卓越中心的私有云包括以下部分:

存储密钥的Gemalto 硬件安全模块(HSM)

戴尔服务器、存储和联网硬件

戴尔服务器上的因特尔处理器

VMware组件提供的计算、存储和网络虚拟化能力

HyTrust组件的资产标记和策略加强、负载和存储加密、数据扫描系统

RSA组件的多重认证、网络流量监控、控制面板和报告系统

IBM云安全虚拟化(ICSV)实例包括以下部分:

配有因特尔处理器的IBM服务器

VMware组件的计算、存储和网络虚拟化

HyTrust组件的资产标记、策略加强、负载和存储加密

IPSec VPN可使以上两个云平台加入到同一个管理域中,从而形成混合云,并且使用户能够以相同的方式对每个云平台进行管理和利用。两个云平台上的负载可实时迁移。

可信云架构的组成 (1)硬件安全模块组件

该组件可利用多个硬件安全模块来存储混合云环境中的敏感密钥。其中一组硬件安全模块用于域的根部,可发布传输层安全(TLS)认证授权(CAs);另一组硬件安全模块可用于保护对负载进行加密的密钥。硬件安全模块组件安装在国家赛博安全卓越中心的私有云平台上,与该部件的通信受到严格限制。

(2)管理组件

国家赛博安全卓越中心的私有云和IBM云安全虚拟化(ICSV)公共云实例的管理组件完全相同,都使用单独的管理平台来运行虚拟基础设施。每个管理组件至少包括使用因特尔处理器的硬件、运行虚拟化栈的VMware组件、提供资产标记和策略加强功能的HyTrust组件,以及提供网络可视化、控制面板和报告能力的RSA组件。每个云的管理组件通过IPsecVPN连接,从而形成一个逻辑管理单元。

(3)计算组件

国家赛博安全卓越中心的私有云和IBM云安全虚拟化(ICSV)公共云实例的计算组件类似。计算组件是运行负载虚拟机的主机。计算服务器提供资产标记功能,可分配和强化策略,以确保服务器上寄存的负载满足特定的要求。一个基本的计算组件包含使用因特尔处理器的硬件、运行虚拟栈的VMware组件。两个云平台的计算组件通过IPsec VPN连接,可实现云平台间负载的迁移。

(4)负载组件

混合云的两个平台上的负载组件类似。这些负载组件包括虚拟机、数据存储,以及租借者与数据拥有方运维的网络。用于负载的策略可确保这些负载只能在满足特定要求(如资产标签策略)的服务器上运行。

相关阅读:

云计算与物联网结合面临的问题

大数据与云计算的就职方向有哪些?

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-31 12:13:13
云资讯 京东云发布《私有云&混合云白皮书》 构建客户想要的云平台
伴随着人工智能、大数据、物联网等技术的不断发展,以及5G时代的来临,企业IT系统的云化成为大势所趋。客户多样化、个性化的应用需求对云厂商提出更多要求。 <详情>
2019-07-31 10:31:00
边缘计算 企业必须进入云端吗?可以进入边缘计算
如今物联网的应用越来越广泛,但需要具有企业的视角。这意味着垂直行业应用程序、开发生态系统、产品设计、硬件、部署等。 <详情>
2019-07-31 10:19:00
云资讯 谷歌牵手VMware将虚拟化工作负载引入谷歌云
彭博社报道称,谷歌与VMware正在展开合作,帮助企业更轻松地在Google Cloud Platform上运行VMware vSphere虚拟化软件和网络工具。 <详情>
2019-07-31 09:52:00
云资讯 谷歌与戴尔旗下云计算公司VMware建立新合作 试图追赶竞争对手
据国外媒体报道,当地时间周一,谷歌宣布与戴尔旗下的云计算公司VMware建立新的合作伙伴关系,帮助更多企业迁移到云端,从而试图追赶其竞争对手。 <详情>
2019-07-31 09:15:00
5G资讯 NB-IoT将成为未来5G物联网主流技术
日前,我国完成了IMT-2020(5G)候选技术方案的完整提交。据悉,在提交的方案中,NB-IoT技术被正式纳入5G候选技术集合,预计2020年6月ITU将正式宣布5G技术方案的诞生。而NB <详情>