云計算數據中心網絡安全防護部署

　　關于云計算數據中心的安全防護，CSA(Cloud Security Alliance，云安全聯盟)在《云計算關鍵領域建設指南》的D7中一共提出8條建議，其中與網絡安全相關的安全風險建議有4條：

　　· 云服務提供商提供獲得承諾或授權進行客戶方或外部第三方審計的權利;

　　· 云服務提供商技術架構和基礎設施如何滿足服務水平SLA的能力;

　　· 云服務提供商為了符合安全要求，必須能夠展示系統、數據、網絡、管理、部署和人員方面的全方位相互“隔離”;

　　· 云服務提供商在業務發生波動時調動資源提供系統可用性和性能。

　　如何去實現上述網絡安全防護的具體部署，各個云計算服務和基礎設施提供商，根據自己的建設方案要求和擅長出發，提出了相應安全解決方案，以此來達到相關的要求。我們從傳統的數據中心安全建設出發，向云數據中心遷移中，結合云計算建設和風險建議原則，探討云計算數據中心的安全部署。

　　1 傳統數據中心的安全建設模型

　　傳統數據中心安全部署的一般核心思路是：分區規劃、分層部署。

　　1.1 分區規劃

　　分區規劃，就是在網絡中存在不同價值和易受攻擊程度不同的應用或業務單元，按照這些應用或業務單元的情況制定不同的安全策略和信任模型，將網絡劃分為不同區域，以滿足以下需求。

　　· 業務需求：以邏輯或數據中心物理區域進行業務規劃，有助于業務在企業的開展與管理, 同一業務劃分在一個安全域內。

　　· 數據流：根據數據流特征進行分區規劃，盡量使得數據中心業務流流向可控、同一區域相似性強、流量可監測，便于對數據流進行安全審計和訪問控制。

　　· 應用的邏輯功能：不同應用的部署方式有區別，對網絡配置需求不同，按應用邏輯特點進行分區模塊化，便于維護管理差異性應用，安全等級一致的應用邏輯可以在安全域上進行歸并。

　　· IT安全的需求：數據中心分區，有助于區域的統一安全要求標準化管理。

　　根據上述需求，一般情況下，數據中心網絡劃分為以下的分區(如圖1所示)：

　　• 核心區：提供各分區模塊互聯

　　• 外聯業務區：企業對外業務、互聯網業務部署區

　　• Intranet區： 企業內部業務系統部署區域

　　• 測試區：企業新應用上線測試區

　　• 運營管理區 ：企業IT運營中心

　　• 集成區： 企業應用系統之間信息交換區域、信息共享區域

　　• 存儲區： 企業數據存儲專區

　　• 容災備份區： 提供企業容災、業務一致性

　　圖1 數據中心分區圖

　　1.2 分層部署

　　在分區基礎上，按照全面的安全防護部署要求，在每個區域的邊界處，根據實際情況進行相應的安全需求部署，一般的安全部署包括，防DDoS攻擊、流量分析與控制，異構多重防火墻、VPN、入侵防御以及負載均衡等需求。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]