秒懂丨云计算环境的镜像流量,比给女生送礼物简单多了 – 作者:Hillstone

我是IT运维岩小强,好久不见​前几天,领导布置了新任务公司新增业务上云,必须保证云端业务安全作为一个传统的IT技术男你问我什么感觉?那当然是很高(beng)兴(kui)!

640?wx_fmt.png

并顺手打开了BOSS弯聘、58不成

准备骑上我心爱的小摩托,转战互联网行业

640?wx_fmt.png

为什么我如此自信搞不定云端安全?

那是因为传统的硬件环境

大量设备在同一个机房直连或近乎直连

可以通过硬件交换芯片

方便的流量镜像给

IDPS/APT/态势感知等安全设备

就好像你和女生面对面

Person to person(简称P2P)

你送她个礼物,触手可及

640?wx_fmt.png

而在云端,组网是这个样的

640?wx_fmt.png图注:云端组网结构图

翻译一下

就好像你和女朋友视频聊天

好似面对面实际可能相距甚远

640?wx_fmt.png

而你原本一伸手

就能把礼物送给女生

在云上,事情开始变得有(kun)趣(nan)

640?wx_fmt.png

怎么办?聪明如你可能会说

当面无法发送

那就通过快递远程传输呗

640?wx_fmt.png

但是“云端快递”有2大难点

1是溯源,2是物流

溯源指:传输需要记录源IP,目的IP信息

收件人才知道是你

方便女生收到礼物(如口红)

发现你搞错了色号的时候

把你拉黑!!!

640?wx_fmt.png

而快递的包裹,也就是外层

可以封装一层信息

NEW源IP,NEW目的IP

这个包裹,业内称为GRE隧道


640?wx_fmt.png

图注:GRE隧道工作图

可能好奇的小伙伴又要问了:

隧道技术那么多,为什么是GRE?

答:GRE隧道是隧道中比较简单的一种

无需两端协商,实现简单。

 

通过使用GRE隧道对镜像流量进行封装

将外层的源MAC封装为自己的MAC

目的MAC为下一跳的MAC;

源IP为自己的IP

目的IP为目的地的IP地址

从而符合虚拟网络的限制

 

简单说,也就是通过GRE封装的包裹技术

将礼物投递到女生手中,女生拆开包裹

一眼望去,都是你的名字(源IP信息)

 

物流指:因为云端环境没有硬件交换芯片

所以需要通过CPU实现软交换

需要对1条session,2个方向的flow

进行精准的,bit级别的100%模拟

即使你有多个朋友

也可以一次复制,多份分发

640?wx_fmt.png

当然,你知道总没有十全十美的事情,

最后总结2点限制:

1. 通过GRE封装,丢失了原始报文的MAC头

原因是GRE封装的下层协议只能是传输层协议。

但是对于安全设备、流量分析设备

并不关注MAC地址信息

再加上公有云及SDN网络的ARP

基本都是云平台代答

所以MAC地址信息对安全分析

也没有那么大的意义

640?wx_fmt.png


2. 对端接受流量的网元也需要支持解GRE封装

简单说,也就是接收端女生

需要会拆快递

我想如果礼物足够吸引

每个女生都是天生的拆快递高手吧

 

最后,小伙伴肯定要问

这么好的云端快递方式,哪里能提供呢?

山石网科虚拟化应用交付AX系列

适配主流公有云,私有云平台

640?wx_fmt.png图注:山石网科虚拟化应用交付AX系列支持云平台

欢迎骚扰!

来源:freebuf.com 2020-05-27 13:14:05 by: Hillstone

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论