企业考虑虚拟环境中企业网络安全时,或者使用虚拟化来提供安全服务时,可以选择物理设备模式、虚拟设备模式或者组合模式。
企业IT组织的工作往往是围绕计算、网络、存储和安全领域的维护和支持。这些队伍的进一步专业化是由影响力和技能领域所带动的,带着责任和资源,转变成业务、建筑和工程的角色。
这些组织结构是分层的,也是标准化和流程驱动的,在环境变得高度虚拟化时,它不能与所需要的敏捷方法相契合。当一个系统管理员要负责所有虚拟化功能时,技术领域就显得综合而且抽象。
尽管这些结构和IT类整合迫使新的运营模式的出现,而我们保护虚拟环境的方法并没有和新的运营模式一起进化。
保护工作负载的最先进模式
当团队考虑虚拟环境中企业网络安全时,或者使用虚拟化来提供安全服务时,可以选择物理设备模式、虚拟设备模式或者组合模式:
物理设备强制安全。网络队伍使用虚拟LANs和IP子网路由来管理物理网络,将其进行逻辑分段。这就可以使用路由器或防火墙将物理空气间隙和界面或基于区域的隔离结合起来。在这种情况下,会有一个专门的团队维护独立虚拟交换,网络拓扑来管理虚拟主机。在同一个区域内(物理或虚拟),一般不存在专门应用于工作负载安全方面的技术。如果工作负载企图跨越区域边界,通信必须经过虚拟计算基础设施之外的一个物理防火墙/路由器。这就是经典的“马蹄”周边安全设计模式。
虚拟设备强制安全。虚拟设备强制安全情况中,系统管理员使用逻辑虚拟“边缘”安全设备和放置在逻辑区域的前端工作负载集合的路由设备。这些虚拟设备(虚拟机工作负载)取代了物理设备,但是和所保护的工作负载更接近。当流量需要跨越区域边界,跨越相对应工作负载的位置,在靠近一个虚拟设备的同时决定如何转发和怎样确保安全。在物理网络中进行逻辑分段很方便,但是因为在虚拟网络中很多的流量是东西走向,物理防火墙从来没有遇到过这么多的网络流量。这种架构意味着这些政策仅仅只是在网络底部的物理分离或分段中的松散耦合。
物理和虚拟设备。结合这两种模型,就可以提供带有虚拟主机的工作负荷集群的逻辑分段和区域物理隔离。这种方法提供了虚拟工作负载的优化本地分割和转发(带有上下文),随着虚拟化集群被他们所提供的服务所限制,往往意味着更少的最佳虚拟化计算率。然而,这种模式获得合规,审计和风险团队的认可。
超级管理器中带有安全强制的基于工作负载隔离,超级管理器和虚拟设备的组合。起草好政策,然后将其附加在工作负载上,和工作负载一起穿越虚拟化“结构”本身,并且在超级管理器或超级管理器和集成虚拟设备的组合中执行。由于虚拟环境和虚拟化平台的集成,这种方法提供了非常高的性能,而且不管是在物理或逻辑网络中,或移动工作负载中,真正考虑到保护工作负载。
混合模式。这个模式是以上任意选项,或全部选项的组合。这个模式有提供一个真正均匀方法的潜力,这个方法可以提供最灵活的执行能力。但是这种方法的平衡是非常复杂的。混合模式需要跨职能团队的集成方法,而且依赖于高水平的工作流程自动化。
好文章,需要你的鼓励
YouTube开始推出肖像检测工具,帮助创作者识别和举报使用其面部特征的AI生成视频。该系统类似于版权检测机制,目前处于测试阶段,仅向部分创作者开放。用户需要提供政府身份证件照片和面部视频来验证身份。系统会标记疑似包含用户肖像的视频,但无法保证100%准确识别AI内容。YouTube将根据多项因素决定是否移除举报的视频。
华中科技大学研究团队发现,通过让AI模型学习解决几何问题,能够显著提升其空间理解能力。他们构建了包含约30000个几何题目的Euclid30K数据集,使用强化学习方法训练多个AI模型。实验结果显示,几何训练在四个空间智能测试基准上都带来显著提升,其中最佳模型达到49.6%准确率,超越此前最好成绩。这项研究揭示了基础几何知识对培养AI空间智能的重要价值。
谷歌宣布在AI Studio平台中引入"氛围编程"体验,让编程和非编程用户都能更轻松地开发应用程序。用户可通过简单提示生成可运行的应用,新功能包括应用画廊、模型选择器、安全变量存储等。平台还添加了模块化"超能力"功能和"手气不错"按钮来激发创意。完成的原型应用可一键部署到谷歌云运行平台。此次更新正值业界期待谷歌即将发布Gemini 3.0大语言模型。
中国人民大学研究团队开发了Tool-Light框架,通过信息熵理论解决AI工具使用中的过度调用、调用不足和过度思考问题。该框架采用熵引导采样和两阶段自演化训练,让AI学会合理使用外部工具。在10个推理任务测试中,Tool-Light显著提升了AI的效率和准确性,为AI工具集成推理提供了新的解决方案。