私有雲架構面臨的安全挑戰與防禦措施

隨著私有雲在不同產業、企業普及率越來越高,規劃快速擴大,已成為企業核心平台之一。 私有雲上的系統的資料與資訊安全將依賴於私有雲運算平台所提供的保密性和安全性。 一旦雲端平台安全受到威脅並被利用,無疑地為雲端上應用程式造成了重大威脅。

所以隨著雲端運算市場規模的擴張,也為雲端運算平台的安全帶來了前所未有的挑戰。

私有雲架構面臨的安全性挑戰

本文主要從技術安全挑戰和管理安全挑戰兩個面向對私有雲架構面臨的風險進行闡述。

技術安全挑戰:

網路資料流在虛擬機器之間傳輸時,IT人員對敏感資訊、進階惡意軟體的監控及控制能力被削弱;

私有雲對傳統網路架構的彈性度和頻寬要求較高;

私有雲儲存中的資料面臨資源隔離、加密保護、入侵偵測、資料銷毀等問題;

漏洞頻傳,主機間遷移能力升級過程中對業務有影響。

管理安全挑戰:

私有雲平台管理無平台化支撐,需要藉助統一的管理平台即時檢視運算、網路、儲存等資源;

私有雲平台自動化管理能力亟待提高,使自服務基礎設施成為可能;

私有雲平台要整合供應和編排引擎;

混合雲作為未來的雲端趨勢,在私有雲平台建置過程中要考慮混合雲模型過渡。

私有雲架構的安全防禦措施

私有雲從整個架構來說與傳統環境沒有本質區別,所以從安全角度來說,面臨的安全問題和傳統環境面臨的安全問題無異。 與以往作業系統面臨的七層安全問題一樣,在私有雲情況下依然面臨同樣的安全問題。 但由於私有雲資源【運算、網路、儲存】為集中管控,所以從安全角度來說容易管控,不像以往的分散管控。

在繼承傳統安全問題的同時,私有雲還有哪些新的防護模式要部署? 同樣我們依然遵守微軟的STRIDE威脅分析模型進行分析與出具防禦措施。

STRIDE威脅分析模型是微軟提出的一套安全設計方法論,六個字母代表六種安全威脅,分別是:

身份假冒(Spoofing):

身份假冒,即偽裝成某對像或某人。 例如,透過偽裝成別人的身分來操作。

篡改(Tampering):

篡改,即未經授權的情況下,修改資料或代碼。 例如,非授權人員透過網路抓包或

某種途徑修改某個請求包,使得竄改的請求包提交成功。

抵賴(Repudiation):

抵賴,即拒絕執行他人無法證實也無法反對的行為而產生抵賴。 例如,A攻擊了某個產品,產品方不知道是A做的,沒有證據證明是A做的,A就可以進行抵賴。

資訊洩露(Information Disclosure):

資訊洩露,即將資訊暴露給未授權用戶。 例如,透過某種途徑取得未經加密的敏感資訊。

拒絕服務(DenialofService):

拒絕服務,即拒絕或降低有效用戶的服務等級。 例如,透過拒絕服務攻擊,使得其他正常使用者無法使用產品的相關服務功能。… Continue reading

News , Leave a comment

改子网掩码

通信弱電交流學習

如果是在一個小型的區域網路裡可能完全不必要考慮IP位址不夠的情況,但是在超過「255台」電腦的大型區域網路裡,就必須要考慮電腦IP位址不夠用該如何解決了。

很多時候企業區域網路出現私網路位址192.168.1.x-255不夠用了,去掉一個廣播位址及一個網路位址後就可能不夠用。 (0是網路位址不可用, 255是廣播位址,除去這2個,可用的就是254個位址)。

那麼如何解決呢?

首先,我們來了解一下IP位址:“X.X.X.X”

x代表0到255之間的任一個自然數,但是,在區域網路裡面,這裡的數字設定是有規則的,一般是由子網路遮罩來分割。

如255.255.255.0。 說明最後面一個X可以從0到255之間隨意改變。 當網關是192.168.1.1時,我們可以設定成192.168.1.1–192.168.1.254。

當在一個區域網路內,ip位址超過了數量怎麼辦,這個通常發生在C類的ip位址區域網路中較多,可以有三種方法來解決這個問題。

一、改子網路遮罩

因此當子網路遮罩設定成255.255.255.0時,路由器下面的區域網路最多只能”254台”電腦分配相對獨立的IP位址。

 

 

 

 

 

 

 

 

 

 

 

 

 

想要增加區域網路IP,那麼可以修改下子網路遮罩就可以了,例如子網路遮罩從255.255.255.0修改成255.255.0.0,那麼我們區域網路裡面的電腦IP就相當於可以設定254乘以254台電腦 ,有64516個IP位址。

而IP的第三個X也可以從0到255之間任一個數字變192.168.X.X。

如果還要更多,那麼可以設定成255.0.0.0,區域網路就可以擁有254*254*254台電腦。

不過這樣設定的話相當於這些所有電腦都處於一個區域網路裡面,而且可以互相訪問,容易引起“網路風暴”,所以我們在修改子網路遮罩時,應該盡量精確。

例如:255.255.252.0,可以容納,4*254個ip位址。
二、增加路由器… Continue reading

News Leave a comment

華為設備常用display指令合集

華為設備常用display指令合集

News Leave a comment

掌握Kubernetes優化:一種策略方法

原创 岱军 云云众生s
採取策略性的結構化的Kubernetes管理,可充分發揮其效能,使其成為推動業務效率與創新的關鍵因素。

譯自Mastering Kubernetes Optimization: A Strategic Approach,作者 Eli Birger 是 PerfectScale 的共同創辦人兼技術長。 他是一位熱情的技術專家,擁有電信(Comverse、Vonage)、網路安全(Imperva、Cyren)和儲存(IBM)方面的背景。 他擁有超過六年的DevOps管理經驗,在這個角色中…

Kubernetes 已經確立了自己作為首要容器編排平台的地位,它因在部署應用程式時擁有超凡的靈活性和可擴展性而獲得廣泛讚譽。

這個開源系統旨在簡化容器化應用程式的管理,提供諸如高效擴展、負載平衡和自動化管理等功能。

然而,掌握Kubernetes 需要在性能、彈性和成本效益之間達致精妙的平衡,這可能是一個複雜的持續挑戰。 對依賴 Kubernetes 運行關鍵應用程式卻又想控制營運成本的企業來說,確保達到最佳平衡至關重要。

掌握 Kubernetes 的第一步關鍵在於對環境有詳細的了解。 這涉及密切監控和分析資源分配和使用模式,以及理解成本影響。

達到這種洞察力對確定低效率和潛在改進領域至關重要。 這通常需要部署可以提供即時數據和分析的監控工具,使團隊能夠做出資訊化的數據驅動決策。 對 Kubernetes 環境中不同元件如何在不同條件下互動和消耗資源有詳細的了解,為有針對性的最佳化工作奠定基礎。

一旦一個組織對其 Kubernetes 設定有了全面的理解,下一步就是朝著主動的、由所有者主導的行動邁進。 這個階段至關重要,因為它涉及將從最初的詳細分析中獲得的見解應用到做出資訊化和策略性的決策。 這些決策涉及 Kubernetes 管理的各個方面,包括資源分配、應用程式擴充和整體基礎架構調整。

此時,組織開始積極管理他們的 Kubernetes 環境,應用資料驅動的策略來優化效能。 這可能涉及調整 pod 或節點的大小,以更好地匹配它們的實際用法,從而確保資源不會被低利用或過度擴展。

它還可能包括重新配置網路策略或調整儲存配置以提高效率和效能。 在某些情況下,組織可能需要實現更複雜的更改,例如修改 Kubernetes 調度程序以實現更好的負載分配,或更新服務編排和管理的方式。

這個階段流程的重點不僅在於節省成本或提高效能,而是在找到既滿足直接營運需求又符合長期策略目標的平衡。 這需要對Kubernetes環境及其與所支援的應用程式的相互作用有細緻的理解。 例如,縮減資源可能會在短期內降低成本,但如果這導致應用程式效能或可用性降低,則可能會對業務結果產生長期的負面影響。

掌握Kubernetes的最後一個面向是採用自治權限調整,這代表了Kubernetes環境管理方式的重大進步。 這個階段的特點是實施設計用於持續和主動優化的自動化流程。

這裡的主要目標是賦予Kubernetes自治和有效率地調節其資源使用的能力,以流暢地適應不同的營運需求。… Continue reading

News Leave a comment

為什麼思科願意高價收購雲端網路新創公司

■ 作者:Anissa Gardizy
■ 編輯:B Impact小章

思科系統(Cisco Systems)宣布收購由Google和微軟支持的雲端網路和安全創業公司Isovalent的舉動表明,企業軟體股票的回升也推動了該行業中新創公司的估值提高。

據一位知情人士透露,思科以現金支付約6.5億美元收購了這家新創公司,相當於其年度重複收入(ARR)的32倍。 根據Meritech Capital的數據,這遠高於人工智慧領域以外的企業軟體股票的平均估值倍數,後者的交易價格是重複收入的8.2倍。

重點 • 這筆交易有助於思科繼續向雲端軟體轉型• 相對於其他最近的雲端交易,思科支付了高昂的價格• 雲端網路公司非常適合多家雲端服務供應商的客戶

思科和Isovalent並未透露交易價格,只表示預計在接下來的六個月內完成交易。

據一位知情人士透露,Isovalent的年度重複收入最近已經超過2,000萬美元。 ARR通常反映了客戶在接下來的12個月內承諾支付的訂閱費或支出金額。 目前尚不清楚該新創公司的成長率,而成長率是估值的關鍵因素。 根據Isovalent在2022年9月的數據,其收入每年增長約200%。 如此迅速的成長率可能能夠為高估值提供正當理由。 思科先前曾對這家新創公司進行投資,該公司在15個月前的一輪融資中的估值約為2.5億美元。

Isovalent自稱總部位於美國加州的庫比蒂諾和瑞士的蘇黎世,屬於一類被稱為雲端網路的軟體,可以幫助客戶管理多家雲端服務供應商的伺服器。 該公司還提供能夠追蹤伺服器網路和應用程式效能的「可觀察性」軟體。 開發此類服務的公司正試圖複製Splunk和Datadog等公司在雲端應用轉型中取得的股票市場成功。

Isovalent主要透過幫助客戶使用其開發的開源軟體Cilium賺錢。 Cilium基於eBPF,這是一種將應用程式與其運行的硬體連接起來的開源工具。 Isovalent的軟體對於使用Kubernetes的公司特別有用,Kubernetes是一款用於管理運行大量機器的應用程式的熱門開源軟體。 Isovalent表示Capital One是其付費客戶之一。

收購狂潮

Isovalent交易是思科今年宣布的第11筆收購交易,也是對雲端網路新創公司的第二筆收購。 Isovalent和另一家網路新創公司Valtix將加入思科的安全業務群組。 思科也在九月宣布以280億美元現金購買Splunk,該公司幫助企業監控和保護應用程序,包括透過可觀察性軟體實現。 然而,該交易尚未完成。 從業人士表示,思科最近的收購顯示這類軟體正在被企業廣泛採用。

雖然亞馬遜網路服務(Amazon Web Services)和微軟提供了自己的網路軟體,但由於公司越來越多地使用多個雲端服務供應商,對Isovalent、Aviatrix和Alkira等較小公司的工具的需求也在 上升。

思科的股價今年上漲了5%,遠遠落後那斯達克指數,後者在同一時期上漲了45%。 該公司在11月表示,截至10月底的季度營收成長了8%,但在當季(截至1月底)營收可能下降多達8%。 在思科宣布收購Splunk後,投資人也拋售了該公司的股票。

據PitchBook稱,Isovalent目前擁有大約150名員工,並籌集了約7000萬美元的風險投資,其中包括來自安德烈森·霍洛維茨(Andreessen Horowitz)的投資。 該投資公司的雲端伺服器專家馬丁·卡薩多(Martin Casado)是Isovalent的董事會成員。… Continue reading

News Leave a comment

透過理想的 SASE 架構實現網路與安全的融合

思科联天下 作者:Omri Guelfand Cisco VP, Product Management
然而,並非所有 SASE 都一般無二。 SASE 主要以服務的形式提供,可以作為一組模組化或分散化的元件進行部署,以單獨的軟體定義廣域網路(SD-WAN)、新一代防火牆(NGFW) 和其他安全解決方案構成基於雲端的安全 服務邊緣(SSE)。 或者,SASE 也可以作為統一的預先整合軟體即服務(SaaS) 提供,讓管理員能夠透過高度簡化和統一的方式來實現SASE 環境,並管理員工對應用程式的端到端安全多雲訪問,擺脫員工辦公 位置帶來的限制。

為什麼說網路與安全融合是一種致勝策略? 如何在分散化、模組化和統一 SASE 解決方案之間做出抉擇? 下文給了答案。

目前狀況的由來

長久以來,為了應對各種網路威脅,組織已經增添了許多單點安全產品。 隨著雲端技術的採用不斷增加並因此使敏捷性和彈性得到保證,組織開始將更多應用程式從傳統資料中心遷移到私有雲、公有雲和 SaaS,導致環境高度分散。 除此之外,現今分散式混合辦公員工使得傳統的邊界不復存在,在這種超分散式 IT 環境中,受攻擊面急劇擴大。 顯然,基於邊界的傳統解決方案已不敷使用。

此外,根據《2023 年全球網路趨勢報告》的數據,51% 的受訪者認為技能差距是所在組織在使用雲端原生技術時面臨的主要挑戰。 根據 Gartner 的數據,到 2025 年,這種人才短缺加上人為錯誤,可能是造成半數以上重大網路安全事件的原因。

網路與安全融合與統一 SASE

將網路和安全領域融合可提供每個連接的端到端視覺性,讓這兩個領域的管理員齊心協力地優化應用體驗。 整合的工具和集中的控制面板能夠提高效率並增進協作。 每次使用者體驗的流量資料都能輕鬆獲取,可以消除可視性差距並縮短平均修復時間 (MTTR)。

SASE 能夠提供這樣的融合環境以及集中的統一管理,是一種從根本上簡化安全性和網路運維的方式(圖 1)。 Gartner 將其定義為提供整合網路與安全即服務的多層面解決方案。 其功能包括 SD-WAN、安全性 Web 閘道 (SWG)、雲端存取安全代理程式 (CASB)、NGFW 和零信任網路存取 (ZTNA)。 SASE 支援分公司、遠端員工和本地安全存取使用案例。… Continue reading

News Leave a comment

解讀軟體定義網路(SDN)的架構特性、應用場景與發展趨勢

原创 twt社区
【摘要】SDN 是一種相對開放、相對較新的網路技術,本文主要介紹 SDN 的發展歷史、特徵及發展趨勢等 , 重點對 SDN 的體系結構、關鍵技術及應用場景進行介紹。 透過本文的閱讀與學習,可以協助網路人員初步了解什麼是軟體定義網路( SDN ),它的架構有哪些特點,本身俱備哪些優勢。 在日後的工作和規劃中,可以初步了解哪些場景可以利用 SDN 的特點,哪些場景不適用。
【作者】張志強,多年的雲端運算、虛擬化架構設計、企業資訊化建置、自動化運維經驗。 熟練X86、Power、儲存、虛擬化等硬體設備調優與配置。 擁有豐富的混合雲架構及管理經驗,資訊安全及網路架構的設計與維運。

概述
隨著因特網的出現讓萬物實現了互聯,加速網路聯通,為人們的生活與溝通帶來了極大的方便。 每年全球互聯網技術都呈現指數級的發展,同時為迎合業務的多變性,網路的架構發生了翻天覆地的變化。

工業互聯網、工業 4.0 和中國製造 2025 的提出,各種新技術湧現,如大數據、雲端運算、人工智慧、物聯網等。 對網路的複雜性和要求提出了更高的要求,傳統的因特網結構不僅複雜而且難以管理 , 更不能預先定義好策略來對網路進行配置。 新型的基於控制與轉送分離的軟體定義網路能夠有效地改變這種狀況。 此新型網路能夠使網路管理變得容易且還能更好地促進網路的演進。

本文主要介紹 SDN 的發展歷史、特徵及發展趨勢等 , 重點介紹 SDN 的體系結構、關鍵技術及應用場景。

什麼是軟體定義網路?
軟體定義網路全稱為 Software Defined Network ,下文簡稱為 SDN 。 在 2006 年,由美國史丹佛大學提出的一種新型網路架構,可以透過軟體程式設計的形式定義和控制網絡,實現控制和資料流量的分離,同時也是網路虛擬化的技術實現方式。

SDN 是利用Open Flow 技術,將網路設備的控制面與資料面分離開來,從而實現網路流量的靈活控制,使網路作為管道變得更加智能,化繁為簡,為核心網路及應用的創新提供 支撐,為下一代互聯網的發展奠定了基礎。

俗話說“不為業務負責的技術,都是耍流氓”,軟體定義網路也是為了滿足業務的實際需求而誕生的。 旨在為公司提供穩定且適應性強的網路架構,架構具備處理由雲端化及傳統IT 基礎設施組成的複雜系統的能力,具備操縱底層網路基礎結構的能力,使網路控制可編程,且可使用 軟體進行控制,實現更大的敏捷性,管理員可以根據需要動態調整網路中的流量。… Continue reading

News Leave a comment

影響Linux系統效能的因素一般有哪些?

@zhaoxiaoyong081 平安科技 資深工程師:

Linux系統的效能受多個因素的影響。 以下是一些常見的影響Linux系統效能的因素:

CPU負載:CPU的使用率和負載水準對系統效能有直接影響。 高CPU負載可能導致進程響應變慢、延遲增加和系統變得不穩定。

記憶體使用:記憶體是系統運作的關鍵資源。 當系統記憶體不足時,可能會導致進程被終止、交換分區使用過多以及系統效能下降。

磁碟I/O:磁碟I/O效能是影響系統回應時間和吞吐量的重要因素。 高磁碟I/O負載可能導致延遲增加、回應變慢和系統效能下降。

網路負載:網路流量的增加和網路延遲會對系統效能產生影響。 高網路負載可能導致網路延遲增加、回應變慢和系統資源競爭。

進程調度:Linux系統使用進程調度器來管理和分配CPU資源。 調度演算法的選擇和配置會影響進程的優先權和執行順序,進而影響系統的回應能力和負載平衡。

檔案系統效能:檔案系統的選擇和配置對磁碟I/O效能有影響。 不同的檔案系統可能在效能方面有所差異,適當的檔案系統選項和調整可以改善系統效能。

核心參數:Linux核心有許多可調整的參數,可以影響系統的效能和行為。 例如,TCP/IP參數、記憶體管理參數、檔案系統快取等。 適當的核心參數調整可以改善系統的效能和資源利用率。

資源限制與配額:在多重使用者環境中,資源限制和配額的設定可以控制每個使用者或流程可使用的資源量。 適當的資源管理可以避免某些流程耗盡系統資源而導致效能問題。

這些因素之間相互關聯,對系統性能產生綜合影響。 為了優化Linux系統效能,需要綜合考量並適當調整這些因素,以滿足特定的需求和使用。
工作上有沒有快速排除故障的辦法?
@zhaoxiaoyong081 平安科技 資深工程師:

1.CPU 效能分析

利用 top、vmstat、pidstat、strace 以及 perf 等幾個最常見的工具,取得 CPU 效能指標後,再結合進程與 CPU 的工作原理,就可以快速定位出 CPU 效能瓶頸的來源。

比方說,當你收到系統的用戶CPU 使用率過高告警時,從監控系統中直接查詢到,導致CPU 使用率過高的進程;然後再登入到進程所在的Linux 伺服器中,分析該進程的 行為。 你可以使用 strace,查看進程的系統呼叫匯總;也可以使用 perf 等工具,找出進程的熱點函數;甚至還可以使用動態追蹤的方法,來觀察進程的當前執行過程,直到確定瓶頸的根源。

2.記憶體效能分析

可以透過 free 和… Continue reading

News , Leave a comment
在线客服系统