讨论云计算技术数据信息管理中心的安全性布署

有关云计算技术数据信息管理中心的安全性安全防护，CSA云安全性同盟在《云计算技术重要行业基本建设指南》中1共提出8条提议，在其中与互联网安全性有关的安全性风险性提议有4条：

• 云服务出示商出示得到服务承诺或受权开展顾客方或外界第3方财务审计的支配权;
• 云服务出示商技术性构架和基本设备怎样考虑服务水平SLA的工作能力;
• 云服务出示商以便合乎安全性规定，务必可以展现系统软件、数据信息、互联网、管理方法、布署和人员层面的全方向互相“防护”;
• 云服务出示商在业务流程产生起伏时调动資源出示系统软件能用性和特性。

怎样去完成上述互联网安全性安全防护的实际布署，各个云计算技术服务和基本设备出示商，依据自身的基本建设计划方案规定和善于考虑，提出了相应安全性处理计划方案，以此来做到有关的规定。大家从传统式的数据信息管理中心安全性基本建设考虑，向云数据信息管理中心转移中，融合云计算技术基本建设日风险提议标准，讨论云计算技术数据信息管理中心的安全性布署。

1 传统式数据信息管理中心的安全性基本建设实体模型

传统式数据信息管理中心安全性布署的1般关键思路是：总体规划、分层布署。

1.1 总体规划

总体规划，便是在互联网中存在不一样使用价值和易受进攻水平不一样的运用或业务流程模块，依照这些运用或业务流程模块的状况制订不一样的安全性对策和信赖实体模型，将互联网区划为不一样地区，以考虑下列要求。

• 业务流程要求：以逻辑性或数据信息管理中心物理学地区开展业务流程整体规划，有助于业务流程在公司的进行与管理方法, 同1业务流程区划在1个安全性域内。
• 数据信息流：依据数据信息流特点开展总体规划，尽可能使得数据信息管理中心业务流程流流向可控性、同1地区类似性强、总流量可监测，便于对数据信息流开展安全性财务审计和浏览操纵。
• 运用的逻辑性作用：不一样运用的布署方法有差别，对互联网配备要求不一样，按运用逻辑性特性开展分区控制模块化，便于维护保养管理方法差别性运用，安全性级别1致的运用逻辑性能够在安全性域勤奋行归并。
• IT安全性的要求：数据信息管理中心分区，有助于地区的统1安全性规定规范化管理方法。

依据上述要求，1般状况下，数据信息管理中心互联网区划为下列的分区：

• 关键区：出示各分区控制模块互联
• 外联业务流程区：公司对外业务流程、互联网技术业务流程布署区
• Intranet区： 公司內部业务流程系统软件布署地区
• 检测区：公司新运用上线检测区
• 经营管理方法区 ：公司IT经营管理中心
• 集成化区： 公司运用系统软件之间信息内容互换地区、信息内容共享资源地区
• 储存区： 公司数据信息储存专区
• 容灾备份数据区： 出示公司容灾、业务流程1致性

1.2 分层布署

在分区基本上，依照全面的安全性安全防护布署规定，在每一个地区的界限处，依据具体状况开展相应的安全性要求布署，1般的安全性布署包含，防ddos进攻、总流量剖析与操纵，对映异构多种防火墙、VPN、侵入防御力和负载平衡等要求。

值得1提的是，在业务流程的布署全过程中，因为机器设备的作用单独性，常常必须开展糖葫芦串式的布署(以下图左所示)，这类布署方法常常会提升布署的繁杂性，另外构架的靠谱性也大大减少，为此，1些厂商提出互联网安全性结合计划方案，能够将单独机器设备组网简化为互联网安全性的集成化业务流程，大大简化设计方案和提升管理方法(以下图右所示)。

2 云计算技术数据信息管理中心的安全性基本建设实体模型

较传统式数据信息管理中心，云计算技术的基本数据信息管理中心基本建设无显著区别，一样必须分区规范化、控制模块化布署，1般都选用旁挂关键或会聚互换机的布署。考虑到到云计算技术的特性，其最大要求是完成测算、储存等IT資源灵便生产调度，让資源获得最充足运用，而完成这1要求的基本是以数据信息管理中心的虚似机做为关键的测算資源为顾客出示服务。在这类方式下，数据信息管理中心基本建设出現了新的要求。

2.1 高特性规定

较传统式互联网，云计算技术互联网的总流量实体模型产生了两个转变：1、由外部到內部的纵向总流量加大；2、云业务流程內部虚似机之间的横向总流量加大。为确保将来业务流程进行，全部云计算技术数据信息管理中心务必具备高的吞吐量工作能力和解决工作能力，在数据信息转发和操纵的各个连接点上不可以存在堵塞，另外具有突发总流量的承担工作能力，实际反映在下列两个层面：

• 参考云计算技术数据信息管理中心针对关键互换机机器设备的规定，即务必具有高密度的10G插口出示工作能力，安全性机器设备接入数据信息管理中心，也务必以万兆级接入、万兆级特性解决为基本，而且要具有依据业务流程要求灵便拓展的工作能力;
• 伴随着服务器的虚似化及多租户业务流程布署，云计算技术自然环境下的互联网总流量无序突发冲击性会愈来愈比较严重，为确保云计算技术服务的服务品质，安全性机器设备务必具有突发总流量时的解决工作能力，特别1些对延迟时间规定严苛的业务流程。

在实际的机器设备挑选上，数据信息管理中心的防火墙能够挑选单独的机器设备形状，还可以布署好几个Sec blade插卡来做特性拓展。在必须布署高特性防火墙时，能够在互换机布署好几个插卡完成特性拓展，并能够完成比多台同样特性的单独机器设备组成环保节能50%以上。

2.2 虚似化

虚似資源池化是IT資源发展趋势的关键发展趋势，能够巨大水平提升資源运用率，减少经营成本费。现阶段服务器、储存器的虚似資源池化技术性早已日益完善，互联网机器设备的虚似資源池化也早已变成发展趋势，对应的云计算技术数据信息管理中心的防火墙、负载平衡等安全性操纵机器设备，也务必适用虚似化工作能力，像测算和储存、互联网1样能按需出示服务。防止火墙为例，防火墙的虚似化应用1般运用3种情景。

1、 1般性运用：不开启虚似防火墙：机器设备依据运用种类，依照业务流程将防火墙区划成好几个安全性域，再依据运用的防护互访规定，完成域间安全性操纵。

2、 VPN组网自然环境下，开启虚似防火墙，投射到VRF完成转发防护：要完成对好几个业务流程VPN的单独安全性对策布署，1种方法是选用多台物理学防火墙，此外1种是选用虚似防火墙技术性，将1台物理学机器设备根据虚似机器设备資源区划，并完成重要特点的多案例配备(如NAT多案例)，从而完成不一样VPN下的不一样转发和操纵对策。

3、 多租户运用自然环境(云计算技术服务出示商 )：每一个虚似机器设备具有单独的管理方法员管理权限，能够随时监管、调剂对策的配备完成状况;好几个虚似机器设备的管理方法员能够另外实际操作。机器设备具有好几个配备文档，容许每一个虚似机器设备的配备能够单独储存，虚似机器设备系统日志能够单独管理方法。将1台安全性机器设备虚似成多台安全性机器设备(如防火墙)，分派给不一样业务流程系统软件应用，而且各业务流程系统软件能够独立管理方法各有的虚似机器设备，配备各有的安全性对策，确保业务流程系统软件之间的安全性防护，此时的防火墙做为資源池方法布署在数据信息管理中心，与互联网、服务器和储存1起完成云计算技术管理中心端到端虚似化資源池。

2.3 VM之间安全性安全防护要求

与传统式的安全性安全防护不一样，虚似机自然环境下，同台物理学服务器虚似成多台VM之后，VM之间的总流量互换根据服务器內部的虚似互换，管理方法员针对该一部分总流量既不能控也不能见，但具体上依据必须，不一样的VM之间必须区划到不一样的安全性域，开展防护和浏览操纵。

要处理虚似化內部之间的安全性安全防护，可根据EVB协议书(如VEPA协议书)将虚似机內部的不一样VM之间互联网总流量所有交由与服务器相连的物理学互换机开展解决，这将使得安全性布署变得同传统式界限安全防护1样简易。

必须关键提出，云计算技术中针对云计算技术数据信息管理中心内服务器/虚似机的网关挑选难题，1般有两种计划方案(如图所示)。

• 计划方案1能够完成租户内不一样服务器(如Web、APP、DB)的安全性域防护，还可以完成租户间的安全性防护。因为防火墙为诸多总流量的操纵点，因而规定它具备较高的转发特性。
• 计划方案2只能完成不一样租户间的安全性防护，没法在防火墙上完成租户内的不一样服务器安全性域防护，针对同1租户内的不一样服务器浏览操纵，只能借助接入互换机(DC Acc)上的ACL来完成。因为网关在互换机上，因此转发特性较高。

可见，计划方案1规定防火墙具有十分高的转发特性，计划方案2转发特性高，但没法考虑安全性防护操纵规定。因而，针对云计算技术数据信息管理中心服务网关的挑选上，提议依据不一样租户的安全性要求开展区别对待，分散化防火墙的工作压力，另外考虑租户内的安全性域防护，实际标准以下：

• 针对必须布署防火墙的出示更高級服务的租户，网关布署在vFW上;
• 针对不必须防火墙安全防护的一般租户，网关布署在关键互换机上。

完毕语

云计算技术数据信息管理中心互联网安全性布署仅仅是云基本构架中基础的基本建设阶段，要确保云计算技术管理中心的安全性，还要考虑到数据信息数据加密、备份数据，信息内容的验证受权浏览和法律法规、政策法规合规性规定，仅有全面的开展整体规划，才可以创建全面、健全的云数据信息管理中心安全性综合性防御力管理体系。