利用虚拟化实现应用发布与网络隔离 推荐
2013-03-29 23:01
330 查看
目前很多单位在网络建设之初就在规划和考虑更多的安全问题,非常通行的安全措施就是对网络实现隔离,所谓网络的隔离就是“拿出去”的概念,要么把企业内网拿出去,要么把企业互联网拿出去。物理隔离对安全而言显然是一种解决办法,但是往往建设成为两张网络的时候,企业信息化的维护成本会迅速上升,内网要考虑安全准入与身份认证、病毒防护、数据泄露、移动介质管理等待您,外网要考虑行为审计和流量管理、访问控制等,总之企业的隔离之后付出的成本是很多企业没有想到的所以很多没有达到预想的设计效果,那么物理隔离是否有必要?
我们可以看一下物理隔离的政策和要求从何而来?
1、中共中央办公厅十七号文件规定:电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
2、国家保密局《 计算机信息系统国际联网保密管理规定 》中第二章第六条明确指出:“凡是涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息。
3、等级保护GB/T 22239-2008边界完整性检查(S3)
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
那么企业如果不隔离面临那些安全风险呢?
1、 重要的信息系统可能面临多重威胁如非法攻击、恶意扫描、数据泄露、数据库篡改等等,信息系统的运行存在安全隐患。
2、 由于没有内外网隔离,整体网络安全可控性降低,抗攻击能力低。
3、 由于没有内外网络隔离,内网终端容易成为攻击跳板,互联网的安全风险如病毒、蠕虫攻击、后门木马蔓延至整个网络或者重要的应用服务器区。
4、 分支机构的内外网混用,安全风险容易蔓延至集团总部。
5、 远程用户缺少必要的第三方身份认证和准入,存在非法访问,非授权操作。
6、整个网络的业务流量梳理比较复杂,访问控制策略要十分严格和复杂。
7、企业数据的泄密可能性较高。
8、内外网混用造成各种故障的可能性较高。
在网络分离的物理隔离之外还有什么好的解决方案吗?很多人采用逻辑隔离即防火墙进行访问控制和区域划分并隔离,还有可能增加更多的安全设备如IPS,当然还有人增加网闸来进行物理隔离。在这之外呢?
虚拟化可能是一种解决方案,在整个网络当中增加一个虚拟化区,这个区域定义办公业务区,每一个都有一个自己虚拟的桌面可以访问,这就有可能实现如下内容:
实现隔离又不让用户配置两台电脑?让业务应用移植到内网又不影响用户体验(任何地点任何设备)?在合理的成本之上较快速的完成内外网的安全规划?
虚拟化实际不需要高性能的接入终端(因为运算不在终端),虚拟化不需要大容量的带宽(因为采用ICA协议只传输图像变化量和鼠标键盘指令),虚拟化不需要担心数据的泄密(任何数据都在数据中心不在本地且可审计),虚拟化不需要管理员再为补丁防病毒担心(因为技术解决了管理问题)虚拟化不用在担心用户体验很差(因为所有的操作都是和电脑一样,应用都是通过IE提供标准的业务发布已经安装完各种插件)
按需应用交付
Citrix® XenApp™是一款按需应用交付解决方案,允许在数据中心对任何Windows应用进行虚拟化、集中保存和管理,然后随时随地通过任何设备按需交付给用户。全球范围内已有1亿多用户使用XenApp,借助公认的广泛应用兼容性,它有着非常光明的前景。与传统应用部署技术相比,通过XenApp实现的虚拟应用交付可帮助企业通过以下方式改进应用管理:
1、在数据中心集中管理应用 – 降低成本
2、控制并加密对数据和应用的访问 – 提升安全性
3、迅速向任何地点上的用户交付应用
为什么要按需交付应用?
虚拟应用交付使IT部门只需在数据中心内的一个应用中心管理门户系统、OA系统和财务系统的单一实例。然后,应用通过应用流技术交付到终端上使用,或在数据中心内的强大服务器上运行,供用户通过任何设备或操作系统在线使用。
虚拟化何尝不是一种解决方案呢。
我们可以看一下物理隔离的政策和要求从何而来?
1、中共中央办公厅十七号文件规定:电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
2、国家保密局《 计算机信息系统国际联网保密管理规定 》中第二章第六条明确指出:“凡是涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息。
3、等级保护GB/T 22239-2008边界完整性检查(S3)
a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
那么企业如果不隔离面临那些安全风险呢?
1、 重要的信息系统可能面临多重威胁如非法攻击、恶意扫描、数据泄露、数据库篡改等等,信息系统的运行存在安全隐患。
2、 由于没有内外网隔离,整体网络安全可控性降低,抗攻击能力低。
3、 由于没有内外网络隔离,内网终端容易成为攻击跳板,互联网的安全风险如病毒、蠕虫攻击、后门木马蔓延至整个网络或者重要的应用服务器区。
4、 分支机构的内外网混用,安全风险容易蔓延至集团总部。
5、 远程用户缺少必要的第三方身份认证和准入,存在非法访问,非授权操作。
6、整个网络的业务流量梳理比较复杂,访问控制策略要十分严格和复杂。
7、企业数据的泄密可能性较高。
8、内外网混用造成各种故障的可能性较高。
在网络分离的物理隔离之外还有什么好的解决方案吗?很多人采用逻辑隔离即防火墙进行访问控制和区域划分并隔离,还有可能增加更多的安全设备如IPS,当然还有人增加网闸来进行物理隔离。在这之外呢?
虚拟化可能是一种解决方案,在整个网络当中增加一个虚拟化区,这个区域定义办公业务区,每一个都有一个自己虚拟的桌面可以访问,这就有可能实现如下内容:
实现隔离又不让用户配置两台电脑?让业务应用移植到内网又不影响用户体验(任何地点任何设备)?在合理的成本之上较快速的完成内外网的安全规划?
虚拟化实际不需要高性能的接入终端(因为运算不在终端),虚拟化不需要大容量的带宽(因为采用ICA协议只传输图像变化量和鼠标键盘指令),虚拟化不需要担心数据的泄密(任何数据都在数据中心不在本地且可审计),虚拟化不需要管理员再为补丁防病毒担心(因为技术解决了管理问题)虚拟化不用在担心用户体验很差(因为所有的操作都是和电脑一样,应用都是通过IE提供标准的业务发布已经安装完各种插件)
按需应用交付
Citrix® XenApp™是一款按需应用交付解决方案,允许在数据中心对任何Windows应用进行虚拟化、集中保存和管理,然后随时随地通过任何设备按需交付给用户。全球范围内已有1亿多用户使用XenApp,借助公认的广泛应用兼容性,它有着非常光明的前景。与传统应用部署技术相比,通过XenApp实现的虚拟应用交付可帮助企业通过以下方式改进应用管理:
1、在数据中心集中管理应用 – 降低成本
2、控制并加密对数据和应用的访问 – 提升安全性
3、迅速向任何地点上的用户交付应用
为什么要按需交付应用?
虚拟应用交付使IT部门只需在数据中心内的一个应用中心管理门户系统、OA系统和财务系统的单一实例。然后,应用通过应用流技术交付到终端上使用,或在数据中心内的强大服务器上运行,供用户通过任何设备或操作系统在线使用。
虚拟化何尝不是一种解决方案呢。
相关文章推荐
- 我的毕业设计论文——利用HOOK技术实现应用层网络抓包
- 利用IPsec实现网络安全之四(CA证书实现身份验证) 推荐
- 一步一步实现企业网络架构之一:利用WINS实现名称解析 推荐
- 一步一步实现企业网络架构之五:利用IPSEC建立安全的网络通讯 推荐
- 使用openvswitch配置xen的虚拟化网络,实现网络隔离的故事
- 安全系列之五:使用IPSec和组策略实现网络隔离(上) 推荐
- Android 利用MediaPlayer实现音乐播放器(应用内,内存卡,网络)
- 一步一步实现企业网络架构之八:利用IIS建立和维护一个WEB服务器 推荐
- 利用IPSec实现网络安全之二(禁用端口) 推荐
- 路由重分布新技术实现多种路由协议不同网络间通信案例实操应用 推荐
- 【原创】我的毕业设计论文——利用HOOK技术实现应用层网络抓包
- 利用IPSec实现网络安全之一(禁Ping) 推荐
- 利用C++ Builder实现网络连接检测程序(转)
- Blue-Green Deployments on Cloud Foundry (利用CloudFoundry实现蓝绿发布)
- 实现安全组内网络隔离
- 利用ISA防火墙发布邮件服务器并部署OWA访问 推荐
- Java 网络:InetAddress类的应用以及通过Socket实现TCP编程
- 如何简单的利用nginx实现多个网站的发布
- 利用ZYNQ SOC快速打开算法验证通路(6)——LWIP实现千兆TCP/IP网络传输