|
我們從傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)出發(fā),向云數(shù)據(jù)中心遷移中�����,結(jié)合云計(jì)算建設(shè)和風(fēng)險(xiǎn)建議原則��,探討云計(jì)算數(shù)據(jù)中心的安全部署�����。
關(guān)于云計(jì)算數(shù)據(jù)中心的安全防護(hù)�����,CSA(Cloud Security Alliance�����,云安全聯(lián)盟)在《云計(jì)算關(guān)鍵領(lǐng)域建設(shè)指南》的D7中一共提出8條建議�,其中與網(wǎng)絡(luò)安全相關(guān)的安全風(fēng)險(xiǎn)建議有4條:
· 云服務(wù)提供商提供獲得承諾或授權(quán)進(jìn)行客戶方或外部第三方審計(jì)的權(quán)利;
· 云服務(wù)提供商技術(shù)架構(gòu)和基礎(chǔ)設(shè)施如何滿足服務(wù)水平SLA的能力;
· 云服務(wù)提供商為了符合安全要求,必須能夠展示系統(tǒng)��、數(shù)據(jù)��、網(wǎng)絡(luò)����、管理、部署和人員方面的全方位相互“隔離”;
· 云服務(wù)提供商在業(yè)務(wù)發(fā)生波動(dòng)時(shí)調(diào)動(dòng)資源提供系統(tǒng)可用性和性能�����。
如何去實(shí)現(xiàn)上述網(wǎng)絡(luò)安全防護(hù)的具體部署,各個(gè)云計(jì)算服務(wù)和基礎(chǔ)設(shè)施提供商���,根據(jù)自己的建設(shè)方案要求和擅長(zhǎng)出發(fā)�����,提出了相應(yīng)安全解決方案,以此來(lái)達(dá)到相關(guān)的要求�。我們從傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)出發(fā),向云數(shù)據(jù)中心遷移中�,結(jié)合云計(jì)算建設(shè)和風(fēng)險(xiǎn)建議原則,探討云計(jì)算數(shù)據(jù)中心的安全部署��。
1 傳統(tǒng)數(shù)據(jù)中心的安全建設(shè)模型
傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是:分區(qū)規(guī)劃�����、分層部署�����。
1.1 分區(qū)規(guī)劃
分區(qū)規(guī)劃����,就是在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的應(yīng)用或業(yè)務(wù)單元�����,按照這些應(yīng)用或業(yè)務(wù)單元的情況制定不同的安全策略和信任模型���,將網(wǎng)絡(luò)劃分為不同區(qū)域,以滿足以下需求����。
· 業(yè)務(wù)需求:以邏輯或數(shù)據(jù)中心物理區(qū)域進(jìn)行業(yè)務(wù)規(guī)劃,有助于業(yè)務(wù)在企業(yè)的開(kāi)展與管理, 同一業(yè)務(wù)劃分在一個(gè)安全域內(nèi)�。
· 數(shù)據(jù)流:根據(jù)數(shù)據(jù)流特征進(jìn)行分區(qū)規(guī)劃,盡量使得數(shù)據(jù)中心業(yè)務(wù)流流向可控�����、同一區(qū)域相似性強(qiáng)�����、流量可監(jiān)測(cè)�,便于對(duì)數(shù)據(jù)流進(jìn)行安全審計(jì)和訪問(wèn)控制。
· 應(yīng)用的邏輯功能:不同應(yīng)用的部署方式有區(qū)別�����,對(duì)網(wǎng)絡(luò)配置需求不同,按應(yīng)用邏輯特點(diǎn)進(jìn)行分區(qū)模塊化�����,便于維護(hù)管理差異性應(yīng)用��,安全等級(jí)一致的應(yīng)用邏輯可以在安全域上進(jìn)行歸并�。
· IT安全的需求:數(shù)據(jù)中心分區(qū),有助于區(qū)域的統(tǒng)一安全要求標(biāo)準(zhǔn)化管理����。
根據(jù)上述需求�,一般情況下,數(shù)據(jù)中心網(wǎng)絡(luò)劃分為以下的分區(qū)(如圖1所示):
• 核心區(qū):提供各分區(qū)模塊互聯(lián)
• 外聯(lián)業(yè)務(wù)區(qū):企業(yè)對(duì)外業(yè)務(wù)��、互聯(lián)網(wǎng)業(yè)務(wù)部署區(qū)
• Intranet區(qū): 企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)部署區(qū)域
• 測(cè)試區(qū):企業(yè)新應(yīng)用上線測(cè)試區(qū)
• 運(yùn)營(yíng)管理區(qū) :企業(yè)IT運(yùn)營(yíng)中心
• 集成區(qū): 企業(yè)應(yīng)用系統(tǒng)之間信息交換區(qū)域��、信息共享區(qū)域
• 存儲(chǔ)區(qū): 企業(yè)數(shù)據(jù)存儲(chǔ)專區(qū)
• 容災(zāi)備份區(qū): 提供企業(yè)容災(zāi)�、業(yè)務(wù)一致性
圖1 數(shù)據(jù)中心分區(qū)圖
1.2 分層部署
在分區(qū)基礎(chǔ)上,按照全面的安全防護(hù)部署要求����,在每個(gè)區(qū)域的邊界處,根據(jù)實(shí)際情況進(jìn)行相應(yīng)的安全需求部署,一般的安全部署包括�,防DDoS攻擊、流量分析與控制���,異構(gòu)多重防火墻����、VPN����、入侵防御以及負(fù)載均衡等需求。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
