U.S. Department of Defense (DoD) 与许多联邦政府机构一样,对实际的数据安全有复杂规定——那就是要创建多个独立的网络,每一个都服务于自己的机构或特定用户组。对于 DoD,它有三个不同的网络对应于三个安全级别:绝密、保密和不保密。虽然这不需成本效益,但是却是安全的。 Unisys是一个系统集成商,它准备为DoD和其它政府机构创建一个策略来保证相同网络上不同数据集合的安全和隔离,使每一组数据只对它指定的用户组开放访问。
公司的解决方案是 Unisys Stealth Solution,它包括用来创建虚拟网络片段的VPN、加密和数据解析技术。Stealth不仅加密数据……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
U.S. Department of Defense (DoD) 与许多联邦政府机构一样,对实际的数据安全有复杂规定——那就是要创建多个独立的网络,每一个都服务于自己的机构或特定用户组。对于 DoD,它有三个不同的网络对应于三个安全级别:绝密、保密和不保密。虽然这不需成本效益,但是却是安全的。
Unisys是一个系统集成商,它准备为DoD和其它政府机构创建一个策略来保证相同网络上不同数据集合的安全和隔离,使每一组数据只对它指定的用户组开放访问。公司的解决方案是 Unisys Stealth Solution,它包括用来创建虚拟网络片段的VPN、加密和数据解析技术。Stealth不仅加密数据,它还管理数据并使它在网络传输过程中不可识别。
“我们正在寻求方法在使用共享网络时实现这种数据隔离,”Unisys 的安全产品主管 Scott Sanchez 说。“可以将它看作是一种能够应用于不同机构、国家或洲的 VLAN 技术。”
现在 Unisys 希望将这个解决方案销售给公共云供应商和大型企业,帮助他们建立自己的内部或混合云,或者给一些只是需要在一个完整网络中隔离数据集的公司。但是 Unisys 可能不是很容易就能让网络安全专家信任这个新的算法——或者让他们认同不应该使用现有的 VPN和防火墙技术来解决他们的问题。
Unisys Stealth Solution是如何工作的?
Stealth包括硬件设计和客户端软件。这个设备在 TCP/IP 数据包中增加私有报头,并对它们进行加密,然后将数据在网络传输过程中进行分隔切片。在解析数据时,它只有在用户或设备使用正确的密钥访问时才会被重新组合。这些用户和设备包括了各种有意共享相同工作组密钥的社区。Unisys 的数据解析和验证技术是在 OSI 协议栈的数据链路层和网络层之间实现的。
U.S. Joint Forces Command (USJFCOM) 的 Joint Intelligence Laboratory (JIL) 目前正在测试 Stealth。
“我们的分析师和技术人员最近完成了[在 Cryptographic Bit-Splitting Technology/CBST 上]第一阶段的概念和重组活动的验证。在一个完全独立封闭的网络中测试的结果,充分证明了继续下一阶段测试的必要性——一个广域网络配置在某种程度上更能代表操作概念,”U.S. Joint Forces Command 的 CBST 任务监察 Vincent A. Murdock 说。Murdock 并没有对团队在测试中是否遇到重大问题发表评论。
Unisys Stealth Solution:使用信息传播算法
Unisys Stealth Solution 并不是唯一使用数据解析的产品,它只是一种叫做 Information Dispersal Algorithms (IDAs) 的网络安全技术的其中一种形式,Wikibon Project 伙伴和分析师 Michael Versace 说。
“Stealth 是一种形式的IDA —— 或者是一种以非常安全的方式将数据分散到许多节点的功能,如果一个节点受到攻击,数据也不会泄露,”Versace 说。“我们了解到许多人将 IDA 看作一种传统数据加密的替换方法。”
在存储和云中使用信息分散算法
Unisys希望将Stealth作为一种云网络安全产品销售,因为它可以在一个共享环境中的存储阵列、数据中心和用户之间保护数据和应用。
在云中,Unisys将一个Stealth设备部署在存储阵列、数据中心服务器以及每一台连接路由器和互联网的物理服务器之前的设备之间。这样做的目的是从存储到用户的整个数据流中加密和分散数据。
“存储[阵列]似乎是在与服务器进行交互,但实际上它是与Stealth交互;而服务器似乎是直接与存储连接,但实际上它也是与Stealth连接的,”Sanchez 说。“甚至开发人员也不知道中间有 Stealth 存在。”
Unisys希望Stealth能够在云中实现一种安全性和分片或数据隔离,这将说服客户将更多敏感应用迁移到公共主机环境中。
“Amazon [cloud]是通过配置一组VPN和防火墙实现实现近似的隔离……这只能在一个数据中心中实现。而Stealth一般可以隔离任何地方的数据。”
通过这种安全性,银行原本只将市场应用而不敢将敏感的报表应用迁移到云中的状况将彻底改变,他补充说。
数据解析:可能的问题
虽然许多人认同数据解析与VPN组合的方法。但是也存在问题。
在安全性领域,即使是一个非常好的技术也会遇到质疑的声音——IDA 也一样。而且,安全团队可能不太愿意接受 IDA 的私有本性。
“安全人员认为最好的安全性是开放的安全性。如果使用加密,那么加密算法应该是完全开放的,”Versace 说。“但是这些IDA不是这样的。”
Unisys也会要求客户购买一组定制的硬件和软件,这是一笔昂贵的预投入,并且需要长期的日常管理费用。Stealth并不能作为现有VPN功能的增强。
Unisys还没发布Stealth Solution的完整价格体系,这很大程度取决于所需要的Stealth网络通道的数量。软件/硬件的总价从 $17,350 起。Unisys 也希望在产品销售时加上服务,这部分价格还没有列出。
此外,这里还有一个可能的延迟问题,因为Stealth增加了另一个数据包传输关卡。用户必须在Stealth Solution上进行大量延迟测试。这也是质疑Stealth能否与WAN加速方案兼容的方面,其中WAN回来是用来降低敏感应用的延迟时间的。
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
贝尔实验室将在硅谷新设专注于云和SDN的第三家研究中心
贝尔实验室新设立的该研究中心将同阿尔卡特朗讯旗下的Nuage Networks以及IP路由业务部门同地协作,共同致力于探索云和软件定义网络(SDN)新方法。
-
Riverbed推出面向亚马逊政府云服务AWSGovCloud的流量管理器软件Stingray9.5
Riverbed推出面向亚马逊政府云服务AWSGovCloud的Riverbed Stingray 9.5流量管理器软件。通过推出针对AWS GovCloud的Stingray,美国联邦政府部门可以优化、扩展、保护并提高云端关键业务应用程序的性能。
-
Radware Alteon ADC为OpenStack私有及公共云应用提供本地化负载均衡服务
Radware公司的Alteon应用交付控制器(ADC)可以提供本地化负载均衡即服务(LBaaS)解决方案,该解决方案能够内置在OpenStack的Neutron LBaaS driver的Havana版本中。
-
Infoblox为VMware vCloud Automation Center集成IPAM插件 为云部署提速
Infoblox面向VMware的IPAM插件现已集成至VMware vCloud Automation Center。该插件可以按需提供云基础设施资源,从而提供最大的业务灵活性。