IT認證

Mindblown: a blog about philosophy.

  • 可組合架構與微服務:哪個比較優?

    岱军 云云众生s 兩種軟體開發架構都有各自的優缺點。 以下是如何決定可組合架構還是微服務架構哪一種比較適合你的方法。 譯自Composable Architectures vs. Microservices: Which Is Best?,作者 Michel Murabito。 單體架構幾十年來一直是軟體開發的基石。 儘管其簡單易開發的特點,但隨著應用程式複雜度的增加,傳統架構往往會遇到效能瓶頸和可擴展性挑戰。 微服務很快就成為一種解決方案,透過提供效能優化、靈活性和容錯性來應對這些挑戰。 從行業巨頭如Atlassian和Netflix成功從單體技術遷移的經驗中我們可以學到的一課是,速度、敏捷性和可擴展性在當今市場上獲勝。 可組合架構作為一種與軟體開發不斷發展的需求相契合的補充方法已經出現。 這種設計方法在科技業引起了許多關注,在2021年,Gartner預測採用可組合方法的公司將能夠比競爭對手更快實現新功能,提高了80%。 儘管可組合架構可以增強企業的敏捷性、可擴展性和適應性,但許多IT和DevOps團隊想知道這對微服務意味著什麼。 他們關心這些方法之間的關係、相似之處和差異,以及可組合架構是否會讓微服務過時。 可組合架構:模組化系統的崛起 可組合架構是一種模組化的軟體設計和開發方法,建構了靈活、可重複使用且適應性強的軟體架構。 它涉及將龐大的、單體平台分解為小型、專業化、可重複使用和獨立的組件。 這種架構模式包括一系列可插拔的模組化元件,如微服務、打包的業務能力(PBC)、無頭架構和API-優先開發,這些元件可以無縫地替換、組裝和配置,以滿足 業務需求。 在可組合應用中,每個元件都是獨立開發的,使用最適合應用功能和目的的技術。 這使企業能夠建立可以迅速適應業務需求的客製化解決方案。 由於這種架構模式是基於API-優先原則,資訊在服務和系統之間共享,無需了解底層技術。 這種方法提供了一系列好處,包括: 它幫助團隊輕鬆快速地擴展規模,充分利用成長機會獲得競爭優勢。 它使維護和系統更新變得更容易,因為模組化組件可以單獨修改和替換,減少認知負擔。 它透過允許團隊重複使用和重新利用現有組件來滿足不斷變化的需求和要求,加快了開發過程。 它允許添加新的API和工具以支援成長,而不必擔心它們是否能很好地配合使用。 它使組織能夠跟上數位管道的業務趨勢,同時提供一致的體驗,提高客戶滿意度。 在電子商務應用和網站開發中,可組合方法已經得到了顯著的普及,為開發人員、客戶和零售商增強了數位體驗,像Shopify和Amazon這樣的行業領導者正充分利用其優勢。 微服務:仍然強大的經過驗證的方法 微服務架構仍然被用於開發、部署和擴展簡化的模組化軟體解決方案,這些解決方案可以被其他應用程式重複使用。 它包括一組較小的獨立組件或服務,每個組件負責特定的業務功能。 微服務是與傳統的單體架構有重大差異的,傳統架構中,使用者介面和後端通常緊密耦合,設計為作為單一功能一起工作。 微服務架構是一種分散化的方法,可讓團隊開發、維護和持續改進單一服務,而不會中斷整個應用程式。 這些技術通常利用API來外部公開訊息,以實現與外部服務、應用程式和系統的無縫整合。 微服務架構非常適合具有多個功能組件的複雜系統,許多大型科技公司,包括eBay、X(以前被稱為Twitter)和Netflix,已將其傳統的單體應用程式遷移到了小型、獨立的、專業 化的應用程式。 在2023年,Stack Overflow的開發者調查報告稱,49%的開發者正在其組織中使用微服務。 微服務為軟體開發組織提供了明顯的好處,例如: 增強了故障隔離,並確保單一模組的失敗對較大的應用程式影響最小。 提供了靈活性,可以根據需要添加、替換或移除單一微服務,同時嘗試新的技術堆疊。 使團隊能夠採用小型且頻繁的發布,利用CI/CD自動化開發、測試和發布流程。 將軟體組件隔離,以便進行效能和健康監控。 然而,與每一項新興技術一樣,使用微服務也有其缺點。 大量獨立的服務引入了複雜性,可能會使得管理每個服務變得艱鉅。 DevOps和維運團隊也可能會遇到分散式追蹤的挑戰。 多個服務之間的通訊也會產生操作開銷,使系統設計變得複雜。…

  • 私有雲環境下三種類型儲存適用場景的比較分析

    原创 陈萍春 twt企业IT社区 一、關鍵技術需求 金融業機構對於資料中心儲存都有高效能、高可靠性、彈性擴展、易管理的技術需求。 對於企業私有環境下的雲端平台儲存來說,這些技術需求又會存在一些差異: 高效能 雲端平台的彈性伸縮特性可支撐超大規模的運算節點部署,也帶來了超大規模的資料存取請求,這就給儲存系統帶來了相當大的負載壓力;而不同的業務系統對儲存設備的效能 又有明顯的差異,如何承接這些儲存負載,如何儲存分級分層、保障儲存服務品質是雲端平台儲存架構設計的首要目標。 高可靠性 雲端運算的虛擬化特性大大提高了IT資源的使用效率,也帶來了很高的耦合性,極易造成問題群發,故障影響半徑往往更大。 而金融資料安全的重要性不言而喻,有著嚴格的RTO、RPO要求,那麼如何做好資料隔離,如何滿足儲存系統的高可用和容災復原需求成為雲端平台儲存架構設計最關鍵目標。 彈性擴展 雲端平台儲存可以有效提高儲存使用效率,儲存精簡配置和自動供給能一定程度滿足儲存資源的彈性供給。 隨著業務規模的增加、業務資料增量龐大,雲端平台儲存資源池也不可避免地需要頻繁調整。 另外,雲端運算技術也處於蓬勃發展階段,技術更迭速度較快,因此一個支援平滑升級適配、平滑擴充、無需中斷業務即可無縫擴展的雲端平台儲存架構也是迫切需求。 易於管理 雲端平台儲存的易管理性體現在兩個方面,一方面是統一儲存管理,另一方面則是儲存自動化和視覺化能力。 統一儲存管理既能對外提供豐富的標準接口,如文件系統接口、塊存儲接口或對象接口等,又能異構存儲納管,將各類存儲資源統一管理、靈活配置;自動化可簡化部署,對 日常工作進行自動化管理,視覺化可深入洞察儲存與應用的關係,掌握儲存使用與容量成長趨勢。 二、關鍵技術元素 雲端平台儲存架構圖 雲端平台儲存主要是資料儲存層、儲存抽象層、儲存介面層和儲存資源管理這樣的分層架構,包括以下的關鍵技術元素: 底層資料儲存:可分為企業儲存、分散式物件儲存和分散式檔案系統這三種類型; 儲存資源虛擬化:儲存資源虛擬化是透過虛擬化技術將底層資料儲存虛擬化為儲存資源池,對雲端平台屏蔽底層資料儲存實作細節; 儲存介面:儲存介麵包括提供給業務應用的資料存取介面和儲存資源管理介面。 其中底層資料儲存是雲端平台儲存的基礎,與其他技術元素的實現方式息息相關,下文將分別剖析不同的底層資料儲存及其適用場景。 三、企業儲存及其適用情境分析 企業儲存使用專用硬體和儲存控制器,儲存控制器採用雙控製或多控互連架構,包含Raid功能和大容量Cache。 控制器後端連接到磁碟櫃,磁碟櫃包含了多個Raid組,每個Raid組又包含多塊磁碟,這就組成了磁碟陣列,如圖3所示。 圖3:企業儲存硬體架構示意圖 企業儲存一般可提供區塊儲存或文件儲存介面服務,其優點可總結為: 效能:IO分片粒度小,資料IO傳輸路徑短,表現為低時延和高IOPS; 可靠性高:專有硬體和儲存控制器的可靠性高,基於RAID和硬體冗餘等技術也較成熟; 資料強一致性:控制器、磁碟間的集中式互聯架構最大限度地保證了資料的強一致性。 一般來說,企業儲存在私有雲平台的適用場景如下: 雲端主機硬碟:透過iSCSI介面對接雲端平台,為雲端主機提供儲存; 文件共享:提供NFS或CIFS的檔案系統接口,滿足業務系統的文件共享儲存需求; 關鍵業務系統和交易類資料庫:由於企業儲存具有優異的IO效能和高可靠特性,可以很好地契合關鍵業務系統和OLTP資料庫。 四、分散式物件儲存及其適用場景分析 分散式物件儲存(Key-Value)是一種無中心化架構,透過資料佈局演算法均衡分佈在不同節點上。 Ceph是一種典型基於分散式鍵值的儲存系統,其object資料分佈採用的是crush演算法,是在一致性hash演算法基礎上,充分考慮多副本、故障域隔離等約束設計而來,其實現原理 如圖4所示。 圖4:分散式物件儲存底層原理示意圖 分散式物件儲存可以支援更好的擴充性,其適用場景如下: 雲端平台硬碟:Ceph可透過RBD、iSCSI方式對接OpenStack雲端平台,支援大規模部署; 海量資料儲存:由於分散式物件儲存的高擴充性,可以很好地滿足海量資料儲存需求。 五、分散式檔案系統及其適用情境分析 分散式檔案系統遵循map-reduce的設計思路,分而治之再合併。 分散式檔案系統(DFS)本質上是一種虛擬檔案系統,本身有著檔案目錄結構特徵。 而DFS對外提供的儲存單元則由檔案組成,這些檔案會被邏輯分片,再依照多重資料副本分佈演算法分佈到不同資料節點上,如圖5所示。 圖5:分散式檔案系統的儲存底層原理示意圖 基於DFS的雲端儲存邏輯清晰,也有著比較廣的應用範圍,例如GFS、HDFS等典型應用,包括部分超融合方案的底層儲存也是基於DFS來實現的。 透過IO效能優化,分散式檔案系統具有較好的儲存IO效能、擴充性,其適用場景如下: 雲端主機硬碟:可透過iSCSI介面對接雲端平台,為雲端主機提供儲存;…

  • 如何設定交換器SSH遠端登入

    通訊弱電交流學習 2024-01-13 07:35 山東 如何設定交換器SSH遠端登錄,本期我們就來了解下ssh遠端登陸的方式,以銳捷交換機為例。 如何設定銳捷SSH遠端登陸? 一、配置思路 配置ssh遠端登陸,一般是有四個步驟: 1.首先選擇Console方式登陸交換機 2、開啟交換器的SSH服務功能並設定IP 3、產生加密金鑰 4、配置SSH管理的登入口令 二、設定步驟(以銳捷交換器的配置為例) 1.首先選擇Console方式登陸交換機 2、開啟交換器的SSH服務功能並設定IP switch>enable //進入特權模式 switch#configure terminal //進入全域設定模式 switch(config)#enable service ssh-server //開啟ssh-server switch(config)#interface vlan 1 //進入vlan 1接口 switch(config-if)#ip address 192.168.1.1 255.255.255.0 //為vlan 1介面上設定管理ip 192.168.1.1 switch(config-if)#exit //退回全域設定模式 3、產生加密金鑰 switch(config)#crypto key generate dsa //加密方式有兩種:DSA和RSA,可以隨意選擇 然後等待密鑰生成,然後直接敲回車就好 4、配置SSH管理的登入口令 switch(config)#line vty 0 4 //進入SSH密碼設定模式,0 4表示允許共5個使用者同時SSH登入交換機 switch(config-line)#login local //啟用SSH時使用本機使用者和密碼功能…

  • 思科、華為、H3C交換器巡檢命令全整理

    通信弱电交流学习 01.思科交換器巡檢命令 1、show interface stats:查看交換器所有介面目前介面流量 2、show running-config:查看目前設備配置 3、show version:查看IOS版資訊及設備正常運作時間 4、show clock:查看設備時鐘訊息 5、show vtp status:查看交換器vtp設定模式 6、show vtp password:查看交換器vtp設定口令 7、show env all:查看設備溫度,電源與風扇運轉參數及是否警報 8、show inventory:調取設備內部闆卡出廠模組型號及序號 9、show spanning-tree root:查看交換器產生樹根位置 10、show cdp neighbors:查看鄰接cisco設備基本資訊 11、show cdp neighbors detail:查看鄰接cisco設備詳細信息 13、show interface summary:查看交換器所有介面目前介面流量 14、show interface |ierrors|FastEthernet|GigabitEthernet:查看介面是否有大量input或output errors套件錯誤 15、show processes cpu:查看設備cpu負載 16、show processes mem:查看設備mem負載 17、show access-list:查看存取控制清單配置及匹配資料包數量 18、show logging:查看本機內部日誌記錄狀況 19、show ip route:查看路由表 20、show firewall:檢查防火牆的工作模式 21、show…

  • 思科收購Cilium對開發者的意義

    原创 岱军 云云众生s 思科收購Isovalent,取得開源專案Cilium。 Cilium利用eBPF(擴展伯克利包過濾器)技術,實現核心級網路與安全。 譯自Cisco Gets Cilium: What It Means for Developers,作者 Torsten Volk。 2023年底,思科宣布意圖收購Isovalent,這是Cilium開源專案背後的公司。 Cilium利用eBPF(擴充伯克利包過濾器)進行核心級網路與安全,是2023年雲端原生空間中值得注意的重要進展之一。 Cilium利用eBPF提供進階網路和安全控制。 eBPF是一項Linux核心技術,可讓動態插入強大的安全、可見性和網路控制邏輯。 這項技術在Cilium中被用來提供高效能網路、多叢集和多雲能力以及進階負載平衡。 Isovalent由一批享譽盛名的投資者支持,如Google、安德森·霍洛威茨(Andreessen Horowitz)、微軟、Grafana以及思科本身。 但是思科為什麼真的要進行這項收購,它對應用程式開發者和DevOps專業人員意味著什麼呢? 讓我們從頭開始 Dan Wendlandt,CEO,和Thomas Graf(CTO)都參與了Open vSwitch和Nicira的網路虛擬化平台(NVP)的誕生,後來成為VMware最重要的產品之一:軟體定義網路(SDN)的NSX平台 。 SDN的全部意義在於將網路交換器轉換為軟體。 這使得應用程式開發者能夠快速迭代和部署網路配置,例如微分段,與應用開發週期同步。 DevOps人員可以自動化和簡化網路供應和管理流程,使其與CI/CD管線保持一致。 安全專業人員可以以程式方式強制細粒度的安全策略和隔離網路流量,以增強整體安全態勢。 這一切聽起來都很棒,那我們為什麼需要Cilium和eBPF呢? SDN和帶有eBPF的Cilium 網路中SDN和eBPF的詳細集成 SDN透過可程式介面在第1、2和3層提供對網路配置和管理的控制。 另一方面,利用eBPF的Cilium將此可程式控制擴展到傳輸層(第4層)和應用層(第7層)。 這允許透過TCP、UDP、ATP和MTCP等協定強制網路策略,這些協定為應用程式提供端到端的通訊服務。 eBPF,一個起源於Linux核心的革命性技術,允許沙箱化的程式在作業系統內運行,為雲端原生環境中的網路和安全性提供更細粒度和更靈活的控制。 與傳統的用戶空間網路相比,這種核心級網路消耗更少的資源並且運行更快,主要是由於Linux核心和用戶空間之間的通訊減少,以及直接存取系統資源。 作為Kubernetes叢集上每個節點的守護程式集部署的Cilium,強制執行使用者定義的網路策略,並將這些定義轉換為eBPF程式。 這種方法使Cilium能夠提供一個簡單的平面Layer 3網絡,並能夠在第3、4和7層(應用程式層級)為HTTP、gRPC或Kafka等協定強制執行網路策略。 總之,雖然SDN在較低層提供對網路配置和管理的可程式控制,但帶有eBPF的Cilium將此控制擴展到傳輸層和應用層。 這為網路和安全性提供了更細微和更靈活的控制,特別適合雲端原生環境。 對應用程式開發者的優勢 SDN與eBPF的集成,特別是透過像Cilium這樣的工具,為應用程式開發者帶來許多優勢,尤其是在雲端原生環境中。 以下是這些優勢的詳細分析: 增強的可程式性和適應性: eBPF的可程式性質使開發者能夠快速適應雲端原生格局的變化。 這種靈活性在一個以不斷演進和需要快速迭代為特徵的領域至關重要。 簡化的開發過程: Cilium抽象化了eBPF的複雜性,使開發者能夠利用其功能而不需要深入探究編寫eBPF程式碼的複雜性。 這種抽象降低了學習曲線和開發時間,使其更容易被廣泛的開發者所接受。…

  • 「裸奔」的容器,安全問題迫在眉睫

    汪照辉 twt企业IT社区 【摘要】容器本身就是弱安全的,容易帶來越權逃逸等問題,同時容器應用研發人員對容器技術又缺乏了解,缺乏相應的安全意識和安全知識,這就帶來了比較嚴重的潛在的安全 問題,有很多的事項迫在眉睫。 【作者】汪照輝,中國銀河證券架構師,專注於容器雲、微服務、DevOps、資料治理、數位轉型等領域,對相關技術有獨特的理解與見解。 擅長於軟體規劃和設計,提出的「平台融合」的觀點越來越被認同和事實證明。 發表了許多技術文章探討容器平台建置、微服務技術、DevOps、數位轉型、資料治理、中台建置等內容,受到了廣泛關注與肯定。 最近測容器安全,才發現部署的容器雲平台和容器應用幾乎在裸奔,每個鏡像和容器都有各種各樣的漏洞,平臺本身也不少問題,真是不測不知道,一測嚇一跳 。 容器本身就是弱安全的,容易帶來越權逃逸等問題,同時容器應用研發人員對容器技術又缺乏了解,缺乏相應的安全意識和安全知識,這就帶來了比較嚴重的潛在的安全問題。 容器安全問題涉及內容很多,比如說鏡像安全、容器運行時安全(入侵偵測監控、入侵攔截和隔離)、容器平臺本身的安全、容器網路安全、微隔離等,任何一項內容做好都不容易 ,而且可能涉及多個部門和團隊,需要協作,所以我們也在討論容器安全應該由安全團隊來負責還是容器雲平台團隊來負責,在安全左移的趨勢下,是否應該更多關注pre- runtime安全性等等。 安全問題無所不在,有很多的事項迫在眉睫。 一、 容器安全的核心在哪? 最近的測試讓我一直在思考容器安全的核心到底該在哪裡。 是鏡像安全? 還是容器運作時安全? 還是主機安全? 網路安全? 雖然都在鼓吹安全左移,但我覺得容器運行時安全依然是核心,要能及時的檢測到安全威脅並自動實現入侵攔截,網絡微隔離或者網絡阻斷可能是最後的手段了。 不過為了減少安全漏洞,降低安全威脅程度,前期的安全準備及安全措施也是至關重要,例如鏡像安全掃描和修補程式修復,平台和網路本身的安全能力等等,都是密切相關。 任何環節都有漏洞,都可能帶來嚴重的問題。 二、 安全左移 安全左移目的就是要提前採取措施修復潛在的漏洞,盡可能在後期的運作過程中增強抗攻擊能力。 對於容器雲端平台來說,基礎鏡像的維護就非常重要。 雖然目前說可以很方便的從網路上下載各種各樣的鏡像文件,但許多鏡像文件都存在這樣那樣的眾多漏洞,如果不加區分的部署在自己的容器雲環境,勢必會帶來很多潛在 的問題。 所以這就需要在容器雲平台提供企業業務應用開發所需的基礎鏡像,例如jdk、tomcat、nginx、mysql、kafka、nodejs、CentOs等等,這些鏡像需要容器團隊來維護並及時的更新,在發現 新的漏洞之後先更新基礎鏡像,然後在適當時間適當的方式用新鏡像更新存量運行時的容器。 基礎鏡像的安全維護可能是一個不小的工作量。 但是這是一個值得做的事情。 許多容器雲廠商也提供像製品庫、應用程式商店一樣的功能來管理鏡像,但缺乏對鏡像的深度維護和安全措施。 這些鏡像往往存在著許多漏洞,在公司內部網路可能還好,一旦運作在網路環境,就面臨極大的威脅。 依照安全左移的思想,最好的方法就是所有部署的鏡像都是安全的鏡像,在部署前解決掉安全問題。 在測試中我們震驚於一個鏡像竟然存在數百個高風險漏洞,如果讓業務應用團隊去修復,基本上是不可能的。 所有的業務應用鏡像最好來自於平台所提供的安全的基礎鏡像。 這樣,至少統一的安全的基礎鏡像會減少安全漏洞,也減少業務團隊自行下載、產生鏡像所帶來的安全隱患。 三、 Pre-Runtime鏡像掃描 提供安全的基礎鏡像應該是容器雲端平台的基本職責之一。 不過業務團隊也需要載入業務應用程式及對應的工具庫等到基礎鏡像,然後產生業務鏡像。 這就可能引入新的安全威脅。 在鏡像部署之前或在鏡像進入鏡像倉庫之前需要進行必要的安全掃描,以偵測鏡像檔案可能存在的漏洞和問題,在部署之前修復鏡像存在的漏洞。 我們在建造容器雲端平台時,“以鏡像倉庫為媒介”,隔離開發和部署,我們不向終端用戶提供Docker和Kubernetes CLI命令,所有的操作都透過平台UI完成。 也就是說要部署鏡像,需上傳鏡像到鏡像倉庫,上傳鏡像倉庫裡的鏡像可以自動被安全掃描。 如果存在高風險漏洞,則可以透過設定的規則禁止部署。 我們測試的容器安全廠商提供Jenkins外掛程式來實現高風險漏洞鏡像阻斷部署,用於CD持續部署流程。 由於思路的不同,實作方式有差別。 不過我個人覺得可以再安全左移一點,把部署阻斷放在鏡像倉庫。 高風險漏洞的鏡像禁止出鏡像倉庫或甚至禁止進鏡像倉庫,在upload時實現鏡像的安全掃描和高危險阻斷。 四、…

  • SD-WAN 如何解決多雲複雜性

    思科联天下 作者:JL Valente Vice President, Product Management, Enterprise Routing and SD-WAN 《2023 年全球網路趨勢報告》系列部落格文章(二) 在支援分散式員工方面,雲端是毋庸置疑的重點。 但是,在規模不斷擴大的多雲環境中管理安全連線卻變得日益複雜、耗時且費用高昂。 軟體定義廣域網路 (SD-WAN) 應運而生。 這種強大的抽象軟體層可以用作集中控制平面,讓組織得以實現從任何應用到任何雲端的網路傳輸自動化、簡化和最佳化。 您是否已經準備好基於集中策略、網路洞察和預測性 AI 按需引導流量並透過端到端可視性進一步增強流量引導能力? 在管理此流量和運行網路時,您想變得被動為主動嗎? 如果是的話,請繼續往下看! 消除多雲複雜性 在疫情期間,為了支援在家中和途中辦公的分散式員工,企業加快了轉型為雲端和軟體即服務 (SaaS) 的步伐。 這使得多雲環境成為常態。 我們的《2023 年全球網路趨勢報告》發現,92% 的受訪者在基礎設施中使用多個公有雲,69% 的受訪者使用的 SaaS 應用程式超過五個。 在多雲環境中連接到不同的供應商和網路層導致基礎設施和管理控制器零星分散。 因此,如果組織希望確保提供安全、一致的使用者體驗,則會面臨更高的複雜性和成本。 網路複雜性貫穿從第一英里到最後一英里的全程 下面,讓我們研究一下這些網路層,看看為什麼 IT 簡化對於當今移動性極強的員工存取業務關鍵型應用至關重要。 在第一英里,使用者使用各種設備,或從靠近資料中心的辦公室和園區存取服務,或從不受受控設施遠端存取服務(圖 1)。 員工透過多協議標籤交換 (MPLS)、寬頻、Wi-Fi 和蜂窩網路建立連線。 遠端員工透過網際網路業者 (ISP) 連接到位於地區性入網點 (PoP) 的集中器。 圖 1. 分散式工作場所的新架構 中間一英里是長途傳輸層,隨著組織向雲端遷移,其複雜性也增加。…

  • 網路資訊安全設計及防護策略總結

    原创 twt社区 【摘要】隨著網路+科技的快速發展,網路DDOS攻擊、勒索病毒、SQL注入、暴力破解、資料洩密等等網路安全事件經常發生,網路資訊安全面臨嚴重的挑戰,為保障客戶的資訊資產安全 ,保障客戶業務系統安全穩定運行,實現“高效預防、高效檢測,快速處理”,本文對網絡信息安全規劃及防護策略進行梳理、總結,希望對大家在實際工作起到借鑒與參考作用。 【作者】陳勇,從事IT產業10多年的老兵,熟悉各類系統,曾分別獲得IBM CATE、HP CSA、SUN SCSA、VMware VCP、HUAWEI HCNP等多項專業認證。 網路資訊安全的運作與防護不僅關係到整個資料中心業務系統穩定運行,同時,由於網路系統的多樣性、複雜性、開放性、終端分佈的不均勻性,致使網路極易遭到駭客、惡性軟體 或非法授權的入侵與攻擊。 鑑於資料資訊的嚴肅性和敏感性,為了保障和加強系統安全,防止偶然因素和惡意原因破壞、更改、洩密,保障工作正常持續進行,同時,提高系統應對威脅和抵禦攻擊的對抗能力和恢復能力 ,需要建置安全保障系統,滿足資訊安全等級保護的要求。 使系統具有抵禦和防範大規模、較強惡意攻擊、較為嚴重的自然災害、電腦病毒和惡意程式碼危害的能力;具有檢測、發現、警報、記錄入侵行為的能力;具有對安全事件進行回應處置, 並且能追蹤安全責任的能力;在系統遭到損害後具有能夠較快恢復正常運作狀態的能力,對於服務保障性要求高的系統,應能快速恢復正常運作狀態;具有對系統資源、使用者、安全 機制等進行集中控管的能力。 1.網路資訊安全範圍 網路資訊安全範圍主要包括:網路結構、網路邊界以及網路設備本身安全等,具體的控制點包括:結構安全、存取控制、安全稽核、邊界完整性檢查、入侵防範、惡意程式碼防範、網路設備防護等 ,透過網路安全的防護,為使用者資訊系統運作提供一個安全的環境。 1.1、結構安全 結構安全範圍包括: 1) 應確保主要網路設備的業務處理能力具備冗餘空間,滿足業務高峰期需求; 2) 應確保網路各部分的頻寬滿足業務高峰期需求; 3) 應在業務終端與業務伺服器之間進行路由控制,建立安全的存取路徑; 4) 應依各業務系統類型、重要性及所涉及資訊的重要程度等因素,劃分不同的子網或網段,並依方便管理及控制的原則為各子網、網段分配位址段; 5) 應避免將重要網段部署在網路邊界處且直接連接外部資訊系統,重要網段與其他網段之間採取可靠的技術隔離手段; 6) 應依照對業務服務的重要次序來指定頻寬分配優先級別,並保證在網路發生擁堵的時候優先保護重要主機。 1.2、門禁控制 存取控制範圍包括: 1)、應在網路邊界部署存取控制設備,啟用存取控制功能; 2)、應能根據會話狀態資訊為資料流提供明確的允許/拒絕存取的能力,控製粒度為連接埠級; 3)、 應對進出網路的資訊內容進行過濾,實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協定命令級的控制; 4)、 應在會話處於非活躍一定時間或會話結束後終止網路連線; 5)、 應限製網路最大流量數及網路連線數; 6)、 重要網段應採取技術手段防止地址欺騙; 7)、 應依使用者和系統之間的允許存取規則,決定允許或拒絕使用者對受控系統進行資源訪問,控製粒度為單一使用者; 8)、 應限制具有撥號存取權限的使用者數量。 1.3、安全審計 安全審計範圍包括: 1) 應對網路系統中的網路設備運作狀況、網路流量、使用者行為等進行日誌記錄;…

  • 報告|借助理想的 SASE 架構實現網路與安全的融合

    報告|借助理想的 SASE 架構實現網路與安全的融合 思科聯天下 作者:Omri Guelfand Cisco VP, Product Management 《2023 年全球網路趨勢報告》系列部落格文章(一) IT 理念正經歷一場重大轉變。 這種轉變是從相互獨立的網路和安全運維孤島、工具和管理控制面板,轉變為基於以雲端為中心的運維模式融合策略、技術、工具和維運工作流程。 在這場轉變過程中,安全存取服務邊緣 (SASE) 成為安全多雲存取的首選融合架構。 我們的《2023 年全球網路趨勢報告》發現,在 2577 名來自世界各地的受訪者中,47% 的受訪者計劃在 2025 年前採用 SASE 模式連接分行和遠端客戶端。 然而,並非所有 SASE 都一般無二。 SASE 主要以服務的形式提供,可以作為一組模組化或分散化的元件進行部署,以單獨的軟體定義廣域網路(SD-WAN)、新一代防火牆(NGFW) 和其他安全解決方案構成基於雲端的安全 服務邊緣(SSE)。 或者,SASE 也可以作為統一的預先整合軟體即服務(SaaS) 提供,讓管理員能夠透過高度簡化和統一的方式來實現SASE 環境,並管理員工對應用程式的端到端安全多雲訪問,擺脫員工辦公 位置帶來的限制。 為什麼說網路與安全融合是一種致勝策略? 如何在分散化、模組化和統一 SASE 解決方案之間做出抉擇? 下文給了答案。 目前狀況的由來 長久以來,為了應對各種網路威脅,組織已經增添了許多單點安全產品。 隨著雲端技術的採用不斷增加並因此使敏捷性和彈性得到保證,組織開始將更多應用程式從傳統資料中心遷移到私有雲、公有雲和 SaaS,導致環境高度分散。 除此之外,現今分散式混合辦公員工使得傳統的邊界不復存在,在這種超分散式 IT 環境中,受攻擊面急劇擴大。 顯然,基於邊界的傳統解決方案已不敷使用。 此外,根據《2023 年全球網路趨勢報告》的數據,51% 的受訪者認為技能差距是所在組織在使用雲端原生技術時面臨的主要挑戰。…

  • Huawei Certified ICT Professional – 5G- RNP&RNO

    培養與認證能對5G網路原理與訊號流程深入理解、對5G網路規劃原則與網路特性深入理解、對5G網路特性部署與系統化調優、對無線網路效能最佳化與複雜問題分析處理、對 5G產業專網指標需求分析,旨在建構5G無線網路規劃優化專業人才技能標準的5G無線網規網優高階工程師 通過認證驗證的能力 獨立完成華為5G無線網路的規劃與小區參數設計,對網優相關特性進行評估與應用、管理無線網路效能,完成效能問題的分析與最佳化 建議掌握的知識 5G空中介面原理、5G協定與訊號分析、5G無線網路規劃、5G無線網路特性應用、5G無線網路效能管理與最佳化、5G 無線網路最佳化、5G 產業應用與解決方案 物件導向 準備參加華為認證5G無線網規網優高階工程師認證的人員、希望掌握5G深入原理及網路詳細規劃與效能最佳化的人員 認證前提 掌握2G/3G/4G之一的行動通訊網路基礎、了解5G的基本概念及華為5G基地台產品、能夠完成5G網路的基本操作與業務測試 考試科目 考試代碼:H35-581 HCIP-5G-RNP&RNO 認證考試目前版本:V2.0, 推薦您學習新版本 版本說明:HCIP-5G-RNP&RNO V1.0 認證考試將於2022年9月10日正式下線。 考試大綱 考試內容 HCIP-5G-RNP&RNO V2.0 5G無線網路深入原理,5G無線網路特性應用,5G無線網路最佳化,5G 產業應用與解決方案。 知識點 1.5G 無線網路深入原理30% 2.5G 無線網路規劃10% 3.5G 無線網路特性應用35% 4.5G 無線網路優化20% 5.5G 產業應用與解決方案5%

Got any book recommendations?

Get In Touch