博客

公共云中的框架网络解决方案

蒂莫西·斯特罗贝克(Timothy Strobeck)

| 最小

介绍:

桌面和应用程序虚拟化不是新技术,而是十年中大部分时间的各种企业的重要组成部分。越来越多的客户看到虚拟应用程序和桌面的好处 - 您可以阅读有关他们为什么要转向的信息vdidaas这里

由于安全要求,网络要求以及对云服务的总体不熟悉,将虚拟应用程序和桌面环境从本地到云的过渡到过去的挑战。我们的目标是隐藏复杂性并使最终用户计算(EUC)尽可能简单易用,同时灵活地支持您自己的安全性和网络要求。

在此博客结束时,您应该有一些关键问题的答案,这些问题将使您开始使用公共云桌面,即服务:

  • 我还是我的安全团队可以直接在Internet上使用公共IP地址进行工作负载?
  • 我是否有需要流量通过我的本地网络运行的网络检查或安全工具?

网络架构

我们经常从诸如“我们知道框架的核心价值和概念”之类的客户那里得到问题,但是从网络的角度来看,我们的选择是什么?”这些博客将有助于将整个堆栈从网络到应用程序进行整理,以便您可以安全地配置帐户,工作负载和网络体系结构。

根据部署方案的不同,由于环境的复杂性以及每个环境如何连接到现有基础架构或本地数据中心,网络体系结构的变化可能很大。这篇博客文章描述了一些常用的部署方案,并讨论了他们的网络安全影响。为了使事情变得简单,本文引用了AWS,但是可以在其他云提供商[Microsoft Azure和Google Cloud Platform(GCP)]中复制这些方案。

部署方案1:使用公共IP地址的工作负载VM

框架是基于充分利用公共云来提供应用程序和台式机的想法的。传统的部署模型是为了通过假定的身份和访问管理(IAM)角色来提供混合云基础架构帐户。创建了一个虚拟私有云(VPC),子网放置在所有可用区域(AZS)中,并创建了Internet网关(IGWS),以允许工作负载与Internet交谈并回到框架平台上。

真的

默认打开的唯一端口是从Internet上打开的端口443,以允许用户通过TLS 1.2上的工作负载连接到工作负载,而从与我们网关相对应的三个帧IP中连接了8112。用户连接到的每个工作负载将在会话期间获得Amazon公共IP。一旦用户断开连接并终止了会话,该实例就会关闭,然后将IP释放回亚马逊的池。从管理的角度来看,该模型非常简单且易于管理。但是,有些安全团队可能不希望直接将某些工作负载直接暴露于Internet。虽然在工作负载上运行的框架来宾代理(FGA)已经硬化并且需要身份验证,但其他客户安装的软件可能没有相同的硬化级别。通过下面列出的其他部署模型可以进一步最小化攻击面。

真的

部署方案2:使用带有安全网关设备(SGA)的私人IP的工作负载VM

从网络的角度来看,不是直接将工作量曝光到Internet提供了一些保护,可以保护在Internet上发生的恶作剧。解决此问题的一种选择是Frax的私人IP Workload功能。

真的

在这种情况下,Frame提供了一个称为流网站设备(SGA)的设备,该设备充当了私人IP工作负载的反向代理。框架平台将用户重定向到流网站设备,该设备将用户引导到正确的工作负载。在这种情况下,在VPC中创建了公共子网和私人子网,放置在公共子网中的IGW,而NAT网关则配置为通过公共子网路由流量。

框架平台将在私人子网中启动实例,并且不会直接将这些工作负载暴露于Internet。从安全的角度来看,攻击者需要知道VPC的私有IP CIDR块,知道何时启动这些实例,并具有经过验证的会话令牌以开始攻击。随着10.x.x.x / 172.31.x.x / 192.168.x.x私人IP空间的任何变化,这是很多值得查询的。这种混淆层有助于限制互联网扫描活动并保护您的工作量。作为另一个验证步骤,SGA还将验证您的用户会话令牌,然后允许您通过SGA并连接到工作负载本身。

真的

选择正确的场景

让我们回到本博客开头提出的问题,并评估利弊。

  • 我还是我的安全团队可以直接在Internet上使用公共IP地址进行工作负载?
    • 优点:互联网上的任何地方可用,无需特殊配置,易于设置
    • 缺点:互联网上的任何地方可用,因此攻击表面可能更大
  • 我是否有需要流量通过我的本地网络运行的网络检查或安全工具?
    • 优点:利用已经就位的网络检查工具
    • 缺点:可以引入从云到本地运行的延迟,然后回到用户

那么,您应该做出什么选择?与往常一样,这取决于您的用例以及您要交付的应用程序或桌面。在评估向用户的应用程序或桌面的新部署时,您应始终考虑网络要求,安全性和最终用户体验。框架的灵活性支持最苛刻的网络体系结构,同时使其尽可能简单,这是一个很大的差异化因素。

如果您需要框架团队的建议或帮助来确定正确的部署方案,我们很乐意为您提供帮助!请在这里与我们联系://www.jhbzcj.com/contact-us

如果您想查看行动框架,请在此处进行2小时的测试驱动器://www.jhbzcj.com/products/frame/test-drive或注册30天的试用https://my.nutanix.com

©2020 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标以及此处提到的所有Nutanix产品和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。
Baidu