云計算數(shù)據(jù)中心網(wǎng)絡安全防護部署

　　關于云計算數(shù)據(jù)中心的安全防護，CSA(Cloud Security Alliance，云安全聯(lián)盟)在《云計算關鍵領域建設指南》的D7中一共提出8條建議，其中與網(wǎng)絡安全相關的安全風險建議有4條：

　　· 云服務提供商提供獲得承諾或授權進行客戶方或外部第三方審計的權利;

　　· 云服務提供商技術架構和基礎設施如何滿足服務水平SLA的能力;

　　· 云服務提供商為了符合安全要求，必須能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡、管理、部署和人員方面的全方位相互“隔離”;

　　· 云服務提供商在業(yè)務發(fā)生波動時調動資源提供系統(tǒng)可用性和性能。

　　如何去實現(xiàn)上述網(wǎng)絡安全防護的具體部署，各個云計算服務和基礎設施提供商，根據(jù)自己的建設方案要求和擅長出發(fā)，提出了相應安全解決方案，以此來達到相關的要求。我們從傳統(tǒng)的數(shù)據(jù)中心安全建設出發(fā)，向云數(shù)據(jù)中心遷移中，結合云計算建設和風險建議原則，探討云計算數(shù)據(jù)中心的安全部署。

　　1 傳統(tǒng)數(shù)據(jù)中心的安全建設模型

　　傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是：分區(qū)規(guī)劃、分層部署。

　　1.1 分區(qū)規(guī)劃

　　分區(qū)規(guī)劃，就是在網(wǎng)絡中存在不同價值和易受攻擊程度不同的應用或業(yè)務單元，按照這些應用或業(yè)務單元的情況制定不同的安全策略和信任模型，將網(wǎng)絡劃分為不同區(qū)域，以滿足以下需求。

　　· 業(yè)務需求：以邏輯或數(shù)據(jù)中心物理區(qū)域進行業(yè)務規(guī)劃，有助于業(yè)務在企業(yè)的開展與管理, 同一業(yè)務劃分在一個安全域內(nèi)。

　　· 數(shù)據(jù)流：根據(jù)數(shù)據(jù)流特征進行分區(qū)規(guī)劃，盡量使得數(shù)據(jù)中心業(yè)務流流向可控、同一區(qū)域相似性強、流量可監(jiān)測，便于對數(shù)據(jù)流進行安全審計和訪問控制。

　　· 應用的邏輯功能：不同應用的部署方式有區(qū)別，對網(wǎng)絡配置需求不同，按應用邏輯特點進行分區(qū)模塊化，便于維護管理差異性應用，安全等級一致的應用邏輯可以在安全域上進行歸并。

　　· IT安全的需求：數(shù)據(jù)中心分區(qū)，有助于區(qū)域的統(tǒng)一安全要求標準化管理。

　　根據(jù)上述需求，一般情況下，數(shù)據(jù)中心網(wǎng)絡劃分為以下的分區(qū)(如圖1所示)：

　　• 核心區(qū)：提供各分區(qū)模塊互聯(lián)

　　• 外聯(lián)業(yè)務區(qū)：企業(yè)對外業(yè)務、互聯(lián)網(wǎng)業(yè)務部署區(qū)

　　• Intranet區(qū)： 企業(yè)內(nèi)部業(yè)務系統(tǒng)部署區(qū)域

　　• 測試區(qū)：企業(yè)新應用上線測試區(qū)

　　• 運營管理區(qū) ：企業(yè)IT運營中心

　　• 集成區(qū)： 企業(yè)應用系統(tǒng)之間信息交換區(qū)域、信息共享區(qū)域

　　• 存儲區(qū)： 企業(yè)數(shù)據(jù)存儲專區(qū)

　　• 容災備份區(qū)： 提供企業(yè)容災、業(yè)務一致性

　　圖1 數(shù)據(jù)中心分區(qū)圖

　　1.2 分層部署

　　在分區(qū)基礎上，按照全面的安全防護部署要求，在每個區(qū)域的邊界處，根據(jù)實際情況進行相應的安全需求部署，一般的安全部署包括，防DDoS攻擊、流量分析與控制，異構多重防火墻、VPN、入侵防御以及負載均衡等需求。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]