NAC上模式化的虚拟化和云安全介绍

虚拟化和云安全极大地扰乱了安全市场。当大多数安全功能部署在静态设备周围时，我们无法应对动态架构。

我们争论的焦点是安全部署应该在哪里:应该部署在资源虚拟化池之外的应用程序设备上，还是内置在虚拟机管理程序中，还是运行在虚拟机上？答案是两者都有，但真正重要的是如何在它们之间进行合理的安排和协调管理。当谈到在动态环境中协调安全性时，答案出人意料地来自网络访问控制。

虚拟化资源的安全性存在两大隐患。* * *，资源可能是动态的，瞬时的。服务器的复制和分发是无计划的，它们可能围绕VMWare的VMotion移动，也可能平均移动。第二，安全需要网络和计算的配合。在使用虚拟化的时候，两者是不一致的:当你离网络流量最近的时候，你会被放在hypervisor或者虚拟机中。在这些地方，计算机的计算能力不仅有限，而且它还要承担真正的工作流程。虽然一些设备可以通过集中式硬件提供计算能力，但它们会让您脱离工作流的交付。

理想情况下，你应该在专用硬件和网络截获的资源池之外完成大量的计算工作，同时还要控制离工作流最近的端点和与hypervisor合作的端点。在理想条件下，它们可以相互协作，或者与虚拟化系统协作。

这是南汽正在努力解决的一系列问题。有了NAC，您就有了连接到临时交换机的端点。在端点上运行的所有设备必须与在网络上运行的设备保持安全性能的一致性，然后将策略动态部署到每个端点。

就NAC方案而言，既有结构化方案，也有专用方案。那些架构比较好的方案有启发性，可以重新部署到虚拟空间。可信计算小组的可信网络连接体系结构是一个很好的体系结构方案。PEP推广的安全性能可以部署到端点、接入交换机或网络中更深的地方。都是PDP策略安排的方案。元数据和事件可以通过元数据访问点和IF-MAP协议访问，也可以通过pub/sub架构共享。* * *，TNC可以通过不同的域进行整合，应用到云环境中。