精华内容
下载资源
问答
  • 网络微分段架构设计指南.pptx
  • 注意是英文原版!技术达人必备!VMware NSX 软件定义网络微分段核心技术介绍
  • 用于 Docker 网络 2.0 的 Loris Docker 网络正在快速发展。 今天有很多选择可以使用 Linux 网桥、端口映射、Open vSwitch 来达到... lorispack的第二个目标是执行微分段,由此我们隔离每个荚的网络(即,被允许达到彼
  • 揭秘网络隔离和微分段

    千次阅读 2020-01-01 10:23:31
    揭秘网络隔离和微分段 简·德维(Jane Devry)发表 该帖子最初由Alissa Knight在这里发布。 一种设计,实施和实施网络隔离和微分段的项目管理方法 网络分段(通常称为网络隔离)是指将网络连接到网络并在...

    揭秘网络隔离和微分段

    该帖子最初由Alissa Knight 在这里发布。

    一种设计,实施和实施网络隔离和微分段的项目管理方法

    网络分段(通常称为网络隔离)是指将网络连接到网络并在其中创建孤岛(称为VLAN(虚拟局域网))的概念,VLAN根据组织或其他组织中资产的功能来分隔网络环境中的资产。您定义的架构,用于将较低的安全级别与较高的更高限制级别分开。随着要求符合PCI标准的公司的日益普及,越来越多的组织需要设计和实现分段网络,但是不幸的是,尽管有关于该主题的大量信息,但许多公司甚至在开始之前就失败了。

    这就是为什么。

    一个很大的误解是,如果在不同的CIDR块/网络编号中实现不同的VLAN,就可以实现网络分段。这离事实还远。为了实现实际的分段,一个VLAN中的主机应该无法访问其他VLAN中每个资产的每个端口。在真正的网络分段中,您可以将交换机上VLAN的默认网关设置为防火墙,在防火墙中可以根据特定的端口,协议和流量方向进一步检查流量。作为替代方案,但使用VACL(VLAN访问控制列表)但可扩展性较差,但是解决方案可能很快变得难以管理,尤其是在大规模企业部署中。但是,它们非常适合具有1个或2个核心交换机的小型网络。

    既然我们已经确切定义了什么是网络分段,那么让我们讨论为什么需要网络分段。

    IT安全性(大约在1990年代至2000年中期)旨在保护外围环境。公平地讲,大多数网络的边缘是相当多的,并且补丁和漏洞管理实际上是不存在的。通过诸如WuFTPD或Apache之类的守护程序中的缓冲区溢出,有很多进入网络的方法(请参阅:大规模毁坏时代)。

    但是情况已经改变。现在,许多网络都具有非常坚固的外部网络和“软黏糊糊”内部网络,从而使大多数对Web应用程序攻击和鱼叉式攻击的妥协降级。但是,由于我们的“早年”专注于加强网络的外围,因此对内部网络的关注很少,这使其成为任何坏家伙的虚拟游乐场(对不起,我发誓这将是我唯一的特朗普参考)可以在任何服务器上执行他们想要的操作,因为缺乏漏洞管理和扁平化网络非常普遍。

    如果我们回顾过去二十年来发生的许多高级持续威胁(APT)攻击,您可以指出存在于平面网络中(根本不是双关语)的问题。例如,由外部供应商维护HVAC资产的Target折衷方案与商店网络中处理和传输持卡人数据的销售点(POS)系统位于同一网络上。

    从平面网络过渡到适当分段的网络,将使您能够实施横向安全控制,以使攻击者或恶意软件深入网络的最初立足点。尽管不理想,但可能还有些服务器未针对某些漏洞进行修补。因此, 在这种情况下,网络隔离可以成为您的万  灵之宝,如果阻止了攻击者或恶意软件尝试旋转的网络无法访问那些服务器,则它们将防止这些服务器受到损害。实际上,Brier&Thorn进行了许多事件响应调查  在网络隔离而不是漏洞管理的情况下,阻止了环境中某些关键任务服务器的入侵并阻止了更大范围的网络入侵。

    好的,现在我们已经讨论了它的含义,并且您现在了解了为什么需要它,让我们讨论如何实现它。

    首先是第一件事。这是一个新的网络实施还是您将重组一个已经存在的扁平网络?如果要重组现有网络,请理解,网络本身的规模对项目时间线特别重要。

    话虽如此,我是一个专注于项目的人,我的建议是您使用正式的项目进度表和工作分解结构(WBS)进行管理。我并不是说您需要在这里与组织中的程序管理办公室(PMO)接触。我的建议是仅使用免费增值云应用程序进行项目管理,或使用Excel模板进行项目管理,这些模板可从众多项目管理站点免费获得。由于此项目中还会有其他利益相关者,因此我建议您利用基于云的项目管理应用程序,以便该项目中涉及的组织中的每个人都可以访问其任务和项目时间表。

    让我们回顾基于PMBOK(项目管理知识体系)5个阶段项目的计划。

    描述输出量
    引发在此阶段,您将整理一个演示文稿,向管理人员推销为什么需要进行网络重组,以及为什么使用扁平网络是不好的。

    1. Powerpoint演示文稿和项目计划

    规划在获得批准以继续进行该项目之后,您将要创建一个WBS(工作分解结构),定义项目的任务,然后将其用于创建项目进度表,在其中定义日期和每个任务的时间表。

    在此阶段最重要的是确定您的项目涉众。如果您在IT安全部门,则将需要严重依赖网络操作和服务器操作,因为将需要创建新的DHCP池,并且需要使用基于IP地址的新静态IP重新对服务器进行IP。您创建的网络。

    由于我假设您尚未更新公司网络的网络图纸,因此这可能是一个很好的机会,可以正确地记录您的网络体系结构并创建至少一组逻辑网络图纸以及新网络段的电子表格您将在此项目中创建。

    1,项目利益相关者矩阵

    2.正在创建的新子网的电子表格

    3.修订/新的网络架构图

    4.受影响的企业应用程序列表

    5.受迁移影响的企业应用程序所需的端口和协议的列表

    执行创建WBS和项目进度表并将任务分配给IT安全,网络操作和服务器操作中的任务所有者之后,现在就可以执行工作了。

    重要的是,所有企业应用程序,尤其是那些进入任何新隔离的网络(例如CDE)的应用程序,都必须在实施后进行测试。很容易在应用程序可能需要的新防火墙规则中忽略端口。

    1.任何变更控制请求/变更管理窗口

    控制

    在整个项目中,重要的是您必须设置每周一次的项目会议,以确保所有项目涉众都在他们的任务之上,并按照要求进行操作,以便密切监控进度。没有人想要范围或日期变化,因此请始终关注整个项目。

     
    一旦所有企业应用程序都经过测试可以正常运行并且企业中的系统可以访问,并且可以从所创建的不同网段进行访问,则关闭该项目。 

    范围内PCI网络与持卡人数据环境(CDE)

    对于许多人来说,一个令人困惑的话题是范围内的PCI网络和CDE之间的区别。PCI(支付卡行业)DSS(数据安全标准)将范围内的PCI资产定义为可能影响持卡人数据环境安全性的任何事物。持卡人数据环境(CDE)是所有传输,存储或处理持卡人数据的系统。对于需要PCI合规性的公司而言,隔离CDE对于您成功通过年度QSA审核并保护您的皇冠上的珠宝至关重要。

    话虽这么说,一种通用的网络体系结构是放置系统,例如处理CDE中用户和应用程序身份验证的Active Directory服务器。这使它们与其他系统(如安全控件和服务器)一起支持PCI范围内的网络,这些系统支持企业利用CDE内部系统执行任务。

    Brier&Thorn在其用于PCI网络的安全体系结构中实现的通用体系结构将在以后的文章中与相关的网络图纸一起讨论。我们通常会将业务支持系统放置在PCI区域内,这些系统需要从网络外部直达CDE。

    规则

    尽管没有正确的方法来做到这一点,但让它成为您自己并发挥创造力。“画线画外”,并创建对您的网络和组织有意义的内容。话虽如此,在设计不同的网段时,您应该遵循一些通用准则。

    1.不要将用户工作站与内部服务器分开。在用户VLAN与内部关键任务服务器位于同一网络的组织中找到组织非常普遍,这使得除端点上的主机之间的网络过滤最少,甚至没有。

    2.将单独的打印机放置在自己的网络上

    3.不要将VOIP电话分开放置到自己的网络中

    4.仅允许应用程序需要的端口。如果您不了解它们是什么,那么这是一个与应用程序所有者更紧密合作的时机,比以往任何时候都可以更好地了解他们的应用程序和需求。与每个应用程序所有者安排会议,并记录其每个企业应用程序的端口和协议以及流量方向。

    5.必须定义VACL以外的网络安全控制,以检查进入每个VLAN的可疑流量并对其采取行动。

    6.不要将用户VLAN视为可信网络

    7.不要考虑像从洋葱的高层到低层那样在信任层中构建网络。

    下图当然是逻辑的而不是物理的。下面的四个防火墙中的每一个都可以轻松地成为所有VLAN都无法使用的单个防火墙。请不要给我发电子邮件,告诉我我提出的体系结构过于昂贵且愚蠢。我只是一直在线性思考,因此我更喜欢以线性方式画图,以更好地理解和表达我的思路(无双关语)。

     

    摘要

    在此博客中,我们讨论了网络分段的重要性,隔离了受限制的网络(例如持卡人数据环境或PCI区域),并且还讨论了如何做到这一点。我介绍了用于实施网络分段的分阶段项目管理方法,还讨论了与业务的其他功能领域(包括网络运营,应用程序所有者,服务器运营和IT安全)一起工作的重要性。由于影响和成功完成业务功能的业务领域数量众多,并且由于引入新的防火墙和更改IP地址而使应用程序崩溃的可能性很大,因此必须将业务领域带入作为该项目的利益相关者。这不能在真空中完成。

    有关微细分的更多信息,请您参阅下面的参考部分,或有任何疑问请与我联系。

    正如孙子曾经说过的:“孙子兵法教我们不要依靠敌人不来的可能性,而要依靠我们自己准备好接待他;不是因为他没有遭到攻击的机会,而是因为我们已经使我们的立场无懈可击。”

    照片:Boomtown

    展开全文
  • 微分段网络安全架构与案例.pdf
  • 浅谈微分段

    千次阅读 2019-02-21 15:27:06
    1.微分段的由来 提升数据中心内部流量的安全性 2.微分段的定义 定义:“分段”是指将网络按照一定的分组规则划分为若干个子网络, 实现数据报文仅能在约定的节点之间相互发送。 差别:微分段提供了基于精细分组的...

    原文链接:https://mp.weixin.qq.com/s/8F3UbWKoubQQNaeCEjjPQg

    1.微分段的由来

    提升数据中心内部流量的安全性
    在这里插入图片描述
    在这里插入图片描述

    2.微分段的定义

    在这里插入图片描述在这里插入图片描述
    定义:“分段”是指将网络按照一定的分组规则划分为若干个子网络, 实现数据报文仅能在约定的节点之间相互发送。
    差别:微分段提供了基于精细分组的安全隔离,就可以实现服务器与服务器之间的业务隔离。

    3.微分段的原理

    3.1 微分段的原理-转发模型
    在这里插入图片描述
    EPG(End Point Group)
    EPG是基于IP地址、IP网段、MAC地址、VM名、容器、操作系统等分组策略,对终结点(服务器)进行的分组。同一个EPG分组下,可以包含多个服务器。
    GBP(Group Based Policy)
    GBP是基于EPG分组+协议号+端口号的流量控制策略,它规定了EPG分组内部、EPG分组之间的流量控制策略。

    3.2 微分段的原理—转发机制
    在这里插入图片描述

    三层报文分布式VXLAN网络中本地转发机制
    1. VTEP1收到VM1发送给VM2的报文后,从报文中获取源IP地址(192.168.10.1)和目的IP地址(192.168.20.2)。
    2. VTEP1根据源IP地址(192.168.10.1),按照最长匹配原则查找TCAM表项,获取源端VM1所属的EPG(EPG1)。
    3. VTEP1根据目的IP地址(192.168.20.2)查找路由表信息,发现目的端VM2也连接在VTEP1下面,报文只需进行本地转发。因此,VTEP1根据目的IP地址(192.168.20.2),按照最长匹配原则查找TCAM表项,获取目的端VM2所属的EPG组号(EPG2)。
    4. VTEP1根据源端VM1所属的组号(EPG1)和目的端VM2所属的组号(EPG2),查找TCAM表项,获取这两个组之间的GBP策略,并按照GBP策略对报文进行流量控制。
      在这里插入图片描述
    三层报文分布式VXLAN网络中跨设备转发机制
    1. VTEP1收到VM1发送给VM3的报文后,从报文中获取源IP地址(192.168.10.1)和目的IP地址(192.168.30.3)。
    2. VTEP1根据源IP地址(192.168.10.1),按照最长匹配原则查找TCAM表项,获取源端VM1所属的EPG组号(EPG1)。
    3. VTEP1根据目的IP地址(192.168.30.3)查找路由表信息,发现目的端VM3连接在对端VTEP2下面,报文需进VXLAN封装后,经由VXLAN隧道进行跨设备转发。
    4. VTEP2收到VTEP1发送的VXLAN报文后,对VXLAN报文进行解封装,发现其中的G标志位置1,则从Group Policy ID字段中获取源端VM1的EGP组号(EPG1)。
    5. VTEP2根据VXLAN报文的内层目的IP地(192.168.30.3),按照最长匹配原则查找TCAM表项,获取目的端VM3所属的EPG组号(EPG3)。
    6. VTEP2根据源端VM1所属的组号(EPG1)和目的端VM3所属的组号(EPG3),查找TCAM表项,获取这两个组之间的GBP策略,并按照GBP策略对报文进行流量控制。

    4.微分段的应用

    单机方式

    单机方式是指网络中没有云平台、SDN控制器等管理面,所有配置通过命令行方式在交换机上进行部署。

    SDN控制器方式
    1. 云平台对接:
    • 云平台,作为微分段的管理面,负责提供EPG分组信息、GBP策略的部署。通过与SDN控制器之间REST API接口,将相关的配置信息下发给SDN控制器。
    • SDN控制器负责提供基于应用分组的微分段隔离抽象。交换机作为微分段的数据面,负责根据
    • SDN控制器下发的EPG分组信息以及GBP策略对报文进行匹配转发处理。
    1. 控制器自主编排:
    • SDN控制器,作为微分段的管理面,负责提供微分段抽象编排模型。 SDN控制器,作为微分段的管理面,负责提供微分段抽象编排模型。
    • SDN控制器通过与交换机之间的Netconf API接口,配置的EPG分组信息、GBP策略下发给交换机。
    • 交换机作为微分段的数据面,负责根据SDN控制器下发的EPG分组信息以及GBP策略对报文进行匹配转发处理。

    5.微分段总结

    在这里插入图片描述
    微分段在VXLAN网络中实现不同服务器之间的业务隔离,确保了用户对网络的安全管控,提升了数据中心内部流量的安全性。在SDN网络中通过对接云平台、SDN控制器管理面,可以极大的降低用户的配置和维护成本。

    想要获取更多资讯,请关注公众号:昆仑山论剑 请关注公众号:shareteccl

    展开全文
  • Tempered Networks简化了安全的网络连接和微分段 Tempered Networks的身份定义网络平台使用主机身份协议将网络划分并隔离为可信微片,从而提供一种简单且经济高效的网络安全保护方式。 Tempered Networks的IDN平...

    Tempered Networks的身份定义网络平台使用主机身份协议将网络划分并隔离为可信微片,从而提供一种简单且经济高效的网络安全保护方式。
    在这里插入图片描述

    Tempered Networks简化了安全的网络连接和微分段
    Tempered Networks的身份定义网络平台使用主机身份协议将网络划分并隔离为可信微片,从而提供一种简单且经济高效的网络安全保护方式。

    在这里插入图片描述

    Tempered Networks的IDN平台创建分段的加密网络
    Tempered Networks创建了一个利用HIP和各种技术的平台,这些技术将网络划分为可信微片并将其隔离。Tempered Networks的身份定义网络(IDN)平台被部署为覆盖技术,可叠加在任何IP网络之上。HIP旨在向前和向后兼容任何IP网络,而无需对底层网络进行任何更改。覆盖网络在您要连接的两件事之间创建直接隧道。
    IDN平台使用三个组件来创建分段和加密的网络:称为Conductor的编排引擎,基于HIPrelay身份的路由器和HIP服务执行点。
    Conductor是一个集中式编排和智能引擎,通过单一窗格连接,保护和断开全局资源。Conductor用于定义和实施HIP服务的策略。策略配置以简单的点击方式完成。Conductor可用作物理或虚拟设备,也可用于Amazon Web Services(AWS)云。
    HIP服务提供基于软件的策略实施,实现受IDN保护的设备之间的安全连接,以及隐藏真实内容,分段,基于身份的路由和IP移动性。它们可以部署在任何设备或系统上或串联,并采用HIPswitch硬件,HIPserver,HIPclient,Cloud HIPswitch或Virtual HIPswitch的形式。HIP服务还可以嵌入客户硬件或应用程序中。
    将HIP开关置于任何连接的设备前面会使设备启用HIP并立即对流量进行微分段,从而隔离来自底层网络的入站和出站流量。部署在网络上的HIP开关使用其加密身份自动向Conductor注册。
    HIPrelay与支持HIP服务的端点协同工作,为所有网络和传输选项中的任何设备或系统提供点对点连接。HIPrelay不是使用第3层或第4层规则集或传统路由协议,而是基于遍历现有基础架构的可证明加密身份来路由和连接加密通信。
    这听起来很复杂,但事实并非如此。用例示例应证明此解决方案的易用性和强大功能。
    使用案例:智能船舶
    最近,国际邮轮公司安装了Tempered Networks的IDN解决方案,为其关键的海事系统提供更严格的安全保障。在部署之前,用于燃料,推进,导航,压载,天气和焚烧炉的系统位于平面的第2层网络上,基本上允许网络的授权用户看到所有内容。
    鉴于不同海事系统的供应商可以访问他们自己的系统,缺乏微分段使他们也可以看到其他系统。邮轮公司需要一种简单的方法来分割对这些不同系统的访问 - 将它们彼此隔离 - 并且他们希望这样做而无需将船放在干船坞中进行网络重新配置。
    原始配置如下所示:

    在这里插入图片描述

    该公司基于系统的功能实现了网络的微分段。这个孤立且分段的供应商只能访问他们自己的系统 - 其他一切都隐藏在他们身上。实施涉及在云中安装HIPrelay身份路由,在船上安装几个HIPswitch无线设备,以及在供应商和机组成员的设备上安装HIPclient软件。管理整个部署的Conductor设备已安装在AWS中。
    所有这些都是在不影响底层网络的情况下完成的,并且部署不需要干坞时间。此外,邮轮公司还能够消除以前用于分段和远程访问的内部防火墙和VPN。生成的配置如下所示:

    在这里插入图片描述

    上图中的颜色编码表明现在哪些系统能够直接查看并与其相应的控制器和传感器通信。网络上的其他所有内容都隐藏在这些系统的视野之外。
    Tempered Networks解决方案的购置成本仅为传统微分段解决方案的十分之一。每艘船的部署时间为2 FTE天,而传统解决方案需要40个FTE天。不需要额外的人员配置来支持解决方案,也没有对底层网络进行任何更改。
    经过时间考验的微分段解决方案
    这项技术来自波音公司,并在其制造工厂内部署了超过12年,直到2014年波音公司允许该技术实现商业化。Tempered Networks采用HIP并通过简单,集中的管理开发了完整的平台。它专门用于提供与网络的安全连接。该解决方案已成功部署在工业领域,如公用事业部门,石油和天然气,发电和飞机制造,以及企业领域和医疗保健领域。

    思科培训机构 ccie培训中心 思科DC数据中心,思科变革 CCNA/NP/IE多少钱 ccie认证怎么考?ccie认证期限是多久

    文章节选自NETWORLDWORK:
    https://www.networkworld.com/article/3405853/tempered-networks-simplifies-secure-network-connectivity-and-microsegmentation.html
    ielab老师:赵韶磊

    展开全文
  • 面对企业中愈演愈烈的网络安全问题,“微分段”作为一种新兴的安全技术出现,它将数据中心划分为逻辑单元并采用高级安全策略进行管理。我们在《解读微分段》文章中介绍了什么是微分段,以及它的优势。 然而,任何...

    面对企业中愈演愈烈的网络安全问题,“微分段”作为一种新兴的安全技术出现,它将数据中心划分为逻辑单元并采用高级安全策略进行管理。我们在《解读微分段》文章中介绍了什么是微分段,以及它的优势。

    然而,任何事物都有两面性。在实际应用中,IT专业人士还需要注意微分段的一些预设置条件以及潜在的陷阱。本文将继续介绍如何应用微分段,以及在应用过程中需要注意的问题,以帮助管理员避免错误的发生。

    使用微分段

    与常规虚拟化一样,部署微分段的方法并不唯一。在大多数情况下,使用新技术包如软件定义的网络、虚拟防火墙等,将现有的遗留基础设施及保护机制进行系统性地扩张。但采用微分段技术需要考虑几个问题。

    第一个问题就是可见性。潜在的采纳者必须对进出数据中心的网络流量以及通信模式有深入的理解。这往往需要分析工具能够识别流量模式以及重要的相互关系——采用人工方式将正确的服务以及防火墙策略映射给单个工作负载几乎是不可能实现的。例如,分析工具能够发现具备通用特性的相关工作负载集合,比如位于同一个物理子网中的工作负载;并能够识别共享服务比如组织的域名系统(DNS)。分析工具还应该能够识别不通应用之间的相互关系和潜在易受攻击的网络区域,以及网络效率低下的原因(比如发卡)。

    分析模型构成了新安全规则以及微分段策略的基础,同时将可能会打破重要关系的错误以及疏忽降至最低。类似地,策略定义及编排系统对创建微分段所需要的策略并将其推送给基础设施是至关重要的。6Connect公司的Sclafani指出,并非所有应用都适合采用微分段策略。仔细检查并评估分析模型有助于在部署微分段之前暴露可能存在问题的工作负载或者网络元素。

    接下来,使用零信任方式,即完全锁定通信来部署安全规则以及策略,并在整个微分段部署过程中遵循零信任原则。网络间的通信基于之前的分析结果有选择性地通过。这是确保应用连通性及安全性的最佳实践。

    定期重复该过程。分析流量并提取规则并非一蹴而就,但应该经常开展持续性检查以确保工作负载及策略没有发生出乎意料的改变,而且任何新的分析结果(可能是由于新应用或者流量模式的改变)可以被用于调整微分段规则。

    上述所有注意事项都明确强调了要选择适用于微分段的hypervisor及工具。一家体育用品零售商的IT主管说:“我们实现了SDN层与需要被虚拟化的物理层之间的交互。你需要一款理解SDN以及物理层的工具。你还需要一款适用于云团队、存储团队、网络团队及运营的工具。”

    VMware与Palo Alto Networks就微分段战略建立了和合作伙伴关系,将NSX与hypervisor平台(vSphere)以及管理工具比(vCenter)协作。同时,Cisco通过其以应用程序为中心的基础设施(Application CentricInfrastructure,ACI)来支持微分段。另外市场上还存在一些第三方工具,如Arkin的Visibility Platform能够为微分段的规划、分析、监控以及故障诊断提供帮助,CA Spectrum工具能够用于管理物理、虚拟、云环境以及网络虚拟化。

    微分段注意事项

    微分段是一个很强大的概念,将为新兴的软件定义的环境提供更好的安全性与敏捷性,但微分段并不能解决所有的网络问题。企业与IT管理员在计划采用该技术之前必须权衡微分段部署带来的一些潜在的负面影响。

    复杂性可能是最大的陷阱。“建立应用行为模型以及正确的防火墙规则可能变得很复杂,”Arkin Net公司的市场主管Mahesh Kumar说,“粒度过小会变得难于管理,粒度过大可能达不到目标。”此外有必要将所有工作负载——即使是空闲或已关闭的虚拟机考虑在内。否则空闲工作负载上线后可能被锁定无法正常通信。问题复杂化肯定会导致企业应用面临潜在的连通性及可用性问题。

    一致性引发了另一个问题。由于微分段将安全策略及规则分配给工作负载,这些策略以及规则遵从一致的准则是很重要的。在没有指导方针或者最佳实践情况下,策略在工作负载之间或不同位置发生转换也是有可能的。一致性问题可能导致性能或可用性问题,给排除故障带来了挑战。

    用于部署微分段而增加的管理与控制层可能会影响网络及应用性能。Kumar的观点与6connect的Sclafani类似,可能并非所有的应用都适合微分段——尤其是对低延迟和性能敏感的应用(比如实时交易工具)。

    最后不要忽视微分段给组织带来的影响,其往往跨越计算、网络以及安全领域。不同的团队可能要做出影响安全性的改变,这可能会导致通信故障、冲突以及来自传统团队的反对。因此不同团队之间进行互动并达成一致的理解对于微分段的长期应用及成功至关重要。一家体育用品零售商的IT主管说:“人们需要时间来理解微分段,你需要用非常规方式思考,乐于接受新观点,还需要组织培训。”



    本文转自d1net(转载)

    展开全文
  • Tempered Networks的身份定义网络平台使用主机身份协议将网络划分并隔离为可信微片,从而提供一种简单且经济高效的网络安全保护方式。 TCP / IP协议是互联网的基础,几乎每个网络都是如此。该协议是在45年前设计的...
  • 提出应用micro-segment(分离)的概念,提出使用基于规则的访问控制策略,比如AWS的security group, Network ACL等等。集中设置规则,然后应用到一个一个虚拟机或container上,因为现代操作系统自带防火墙功能(比如...
  • 在上一篇分享中,我向各位演示了开源的OpenStack平台与NSX DC集成场景下,当用户在Horizon图形界面或者命令行执行了配置操作后,NSX DC是如何通过Neutron Plugin来响应这些操作,并借助逻辑网络、安全微分段等组件为...
  • 利用vRealize Network Insight配置业务安全微分段策略[难度★★复杂度★★★] 2>利用vRealize Network Insight优化业务安全微分段策略 [难度★★复杂度★★★] 正文: 今天是本系列“一步步实现SDDC”现阶段...
  • 你需要一种好办法,对K8s上运行的应用程序进行网络通信控制。
  • 加州圣塔克拉拉--(美国商业资讯)--企业网络安全和风险管理解决方案的领先提供商Hillstone Networks为K3 Cloud Services提供虚拟微分段技术,以保护其云网络并通过Hillstone CloudHive提供安全的服务。 K3 Cloud ...
  • 网络协议》IP 分片与 TCP 分段

    千次阅读 2014-11-27 19:15:13
    采用 TCP 协议进行数据传输是不会造成 IP 分片的,因为一旦 TCP 数据超过了 MSS,...传输层中的 TCP 会分段网络层中的 IP 会分片。IP 层的分片更多的是为运输层的 UDP 服务的,由于 TCP 自己会避免 IP 的分片,所以使
  • Nutanix Flow 彩页.PDF

    2020-12-17 20:43:26
    Nutanix 网络微分段,提供HCI平台上东西向流量管理和安全管控,可以基于IP、端口、USERID等多种方式进行策略管控,实现公有云上的安全组功能。
  • 既然目标函数是可的,那么网络就可以通过标准的时间反向传播进行训练(Werbos, 1990)。 接下来,我们将未分割数据序列的标记任务称为时间分类(Kadous, 2002),并将为此目的使用的RNNs作为连接主义时间分类(CTC)。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 6,271
精华内容 2,508
热门标签
关键字:

网络微分段