毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

探討云計(jì)算數(shù)據(jù)中心的安全部署

關(guān)于云計(jì)算數(shù)據(jù)中心的安全防護(hù)，CSA云安全聯(lián)盟在《云計(jì)算關(guān)鍵領(lǐng)域建設(shè)指南》中一共提出8條建議，其中與網(wǎng)絡(luò)安全相關(guān)的安全風(fēng)險(xiǎn)建議有4條：云服務(wù)提供商提供獲得承諾或授權(quán)進(jìn)行客戶(hù)方或外部第三方審計(jì)的權(quán)利； 云服務(wù)提供商技術(shù)架構(gòu)和基礎(chǔ)設(shè)施如何滿足服務(wù)水平SLA的能力； 云服務(wù)提供商為了符合安全要求，必須能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、管理、部署和人員方面的全方位相互“隔離”； 云服務(wù)提供商在業(yè)務(wù)發(fā)生波動(dòng)時(shí)調(diào)動(dòng)資源提供系統(tǒng)可用性和性能。如何去實(shí)現(xiàn)上述網(wǎng)絡(luò)安全防護(hù)的具體部署，各個(gè)云計(jì)算服務(wù)和基礎(chǔ)設(shè)施提供商，根據(jù)自己的建設(shè)方案要求和擅長(zhǎng)出發(fā)，提出了相應(yīng)安全解決方案，以此來(lái)達(dá)到相關(guān)的要求。我們從傳統(tǒng)的數(shù)據(jù)中心安全建設(shè)出發(fā)，向云數(shù)據(jù)中心遷移中，結(jié)合云計(jì)算建設(shè)和風(fēng)險(xiǎn)建議原則，探討云計(jì)算數(shù)據(jù)中心的安全部署。1 傳統(tǒng)數(shù)據(jù)中心的安全建設(shè)模型 傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是：分區(qū)規(guī)劃、分層部署。 1.1 分區(qū)規(guī)劃 分區(qū)規(guī)劃，就是在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的應(yīng)用或業(yè)務(wù)單元，按照這些應(yīng)用或業(yè)務(wù)單元的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域，以滿足以下需求。業(yè)務(wù)需求：以邏輯或數(shù)據(jù)中心物理區(qū)域進(jìn)行業(yè)務(wù)規(guī)劃，有助于業(yè)務(wù)在企業(yè)的開(kāi)展與管理， 同一業(yè)務(wù)劃分在一個(gè)安全域內(nèi)。 數(shù)據(jù)流：根據(jù)數(shù)據(jù)流特征進(jìn)行分區(qū)規(guī)劃，盡量使得數(shù)據(jù)中心業(yè)務(wù)流流向可控、同一區(qū)域相似性強(qiáng)、流量可監(jiān)測(cè)，便于對(duì)數(shù)據(jù)流進(jìn)行安全審計(jì)和訪問(wèn)控制。 應(yīng)用的邏輯功能：不同應(yīng)用的部署方式有區(qū)別，對(duì)網(wǎng)絡(luò)配置需求不同，按應(yīng)用邏輯特點(diǎn)進(jìn)行分區(qū)模塊化，便于維護(hù)管理差異性應(yīng)用，安全等級(jí)一致的應(yīng)用邏輯可以在安全域上進(jìn)行歸并。 IT安全的需求：數(shù)據(jù)中心分區(qū)，有助于區(qū)域的統(tǒng)一安全要求標(biāo)準(zhǔn)化管理。根據(jù)上述需求，一般情況下，數(shù)據(jù)中心網(wǎng)絡(luò)劃分為以下的分區(qū)：核心區(qū)：提供各分區(qū)模塊互聯(lián) 外聯(lián)業(yè)務(wù)區(qū)：企業(yè)對(duì)外業(yè)務(wù)、互聯(lián)網(wǎng)業(yè)務(wù)部署區(qū) Intranet區(qū)： 企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)部署區(qū)域 測(cè)試區(qū)：企業(yè)新應(yīng)用上線測(cè)試區(qū) 運(yùn)營(yíng)管理區(qū) ：企業(yè)IT運(yùn)營(yíng)中心 集成區(qū)： 企業(yè)應(yīng)用系統(tǒng)之間信息交換區(qū)域、信息共享區(qū)域 存儲(chǔ)區(qū)： 企業(yè)數(shù)據(jù)存儲(chǔ)專(zhuān)區(qū) 容災(zāi)備份區(qū)： 提供企業(yè)容災(zāi)、業(yè)務(wù)一致性1.2 分層部署 在分區(qū)基礎(chǔ)上，按照全面的安全防護(hù)部署要求，在每個(gè)區(qū)域的邊界處，根據(jù)實(shí)際情況進(jìn)行相應(yīng)的安全需求部署，一般的安全部署包括，防DDoS攻擊、流量分析與控制，異構(gòu)多重防火墻、VPN、入侵防御以及負(fù)載均衡等需求。 值得一提的是，在業(yè)務(wù)的部署過(guò)程中，由于設(shè)備的功能獨(dú)立性，往往需要進(jìn)行糖葫蘆串式的部署(如下圖左所示)，這種部署方式往往會(huì)增加部署的復(fù)雜性，同時(shí)架構(gòu)的可靠性也大大降低，為此，一些廠商提出網(wǎng)絡(luò)安全融合方案，可以將獨(dú)立設(shè)備組網(wǎng)簡(jiǎn)化為網(wǎng)絡(luò)安全的集成業(yè)務(wù)，大大簡(jiǎn)化設(shè)計(jì)和優(yōu)化管理(如下圖右所示)。2 云計(jì)算數(shù)據(jù)中心的安全建設(shè)模型 較傳統(tǒng)數(shù)據(jù)中心，云計(jì)算的基礎(chǔ)數(shù)據(jù)中心建設(shè)無(wú)明顯差別，同樣需要分區(qū)標(biāo)準(zhǔn)化、模塊化部署，一般都采用旁掛核心或者匯聚交換機(jī)的部署?？紤]到云計(jì)算的特點(diǎn)，其最大需求是實(shí)現(xiàn)計(jì)算、存儲(chǔ)等IT資源靈活調(diào)度，讓資源得到最充分利用，而實(shí)現(xiàn)這一需求的基礎(chǔ)是以數(shù)據(jù)中心的虛擬機(jī)作為主要的計(jì)算資源為客戶(hù)提供服務(wù)。在這種模式下，數(shù)據(jù)中心建設(shè)出現(xiàn)了新的需求。 2.1 高性能要求 較傳統(tǒng)網(wǎng)絡(luò)，云計(jì)算網(wǎng)絡(luò)的流量模型發(fā)生了兩個(gè)變化：一、從外部到內(nèi)部的縱向流量加大；二、云業(yè)務(wù)內(nèi)部虛擬機(jī)之間的橫向流量加大。為保證未來(lái)業(yè)務(wù)開(kāi)展，整個(gè)云計(jì)算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力，在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個(gè)節(jié)點(diǎn)上不能存在阻塞，同時(shí)具備突發(fā)流量的承受能力，具體體現(xiàn)在以下兩個(gè)方面：參照云計(jì)算數(shù)據(jù)中心對(duì)于核心交換機(jī)設(shè)備的要求，即必須具備高密度的10G接口提供能力，安全設(shè)備接入數(shù)據(jù)中心，也必須以萬(wàn)兆級(jí)接入、萬(wàn)兆級(jí)性能處理為基礎(chǔ)，并且要具備根據(jù)業(yè)務(wù)需求靈活擴(kuò)展的能力； 隨著服務(wù)器的虛擬化及多租戶(hù)業(yè)務(wù)部署，云計(jì)算環(huán)境下的網(wǎng)絡(luò)流量無(wú)序突發(fā)沖擊會(huì)越來(lái)越嚴(yán)重，為保證云計(jì)算服務(wù)的服務(wù)質(zhì)量，安全設(shè)備必須具備突發(fā)流量時(shí)的處理能力，尤其一些對(duì)延遲要求嚴(yán)格的業(yè)務(wù)。在具體的設(shè)備選擇上，數(shù)據(jù)中心的防火墻可以選擇獨(dú)立的設(shè)備形態(tài)，也可以部署多個(gè)Sec blade插卡來(lái)做性能擴(kuò)展。在需要部署高性能防火墻時(shí)，可以在交換機(jī)部署多個(gè)插卡實(shí)現(xiàn)性能擴(kuò)展，并可以實(shí)現(xiàn)比多臺(tái)同等性能的獨(dú)立設(shè)備組合節(jié)能50%以上。 2.2 虛擬化 虛擬資源池化是IT資源發(fā)展的重要趨勢(shì)，可以極大程度提高資源利用率，降低運(yùn)營(yíng)成本。目前服務(wù)器、存儲(chǔ)器的虛擬資源池化技術(shù)已經(jīng)日趨成熟，網(wǎng)絡(luò)設(shè)備的虛擬資源池化也已經(jīng)成為趨勢(shì)，對(duì)應(yīng)的云計(jì)算數(shù)據(jù)中心的防火墻、負(fù)載均衡等安全控制設(shè)備，也必須支持虛擬化能力，像計(jì)算和存儲(chǔ)、網(wǎng)絡(luò)一樣能按需提供服務(wù)。以防火墻為例，防火墻的虛擬化使用一般應(yīng)用三種場(chǎng)景。 1、 一般性應(yīng)用：不啟用虛擬防火墻：設(shè)備根據(jù)應(yīng)用類(lèi)型，按照業(yè)務(wù)將防火墻劃分成多個(gè)安全域，再根據(jù)應(yīng)用的隔離互訪要求，實(shí)現(xiàn)域間安全控制。 2、 VPN組網(wǎng)環(huán)境下，啟用虛擬防火墻，映射到VRF實(shí)現(xiàn)轉(zhuǎn)發(fā)隔離：要實(shí)現(xiàn)對(duì)多個(gè)業(yè)務(wù)VPN的獨(dú)立安全策略部署，一種方式是采用多臺(tái)物理防火墻，另外一種是采用虛擬防火墻技術(shù)，將一臺(tái)物理設(shè)備基于虛擬設(shè)備資源劃分，并實(shí)現(xiàn)關(guān)鍵特性的多實(shí)例配置(如NAT多實(shí)例)，從而實(shí)現(xiàn)不同VPN下的不同轉(zhuǎn)發(fā)和控制策略。 3、 多租戶(hù)應(yīng)用環(huán)境(云計(jì)算服務(wù)提供商 )：每個(gè)虛擬設(shè)備具備獨(dú)立的管理員權(quán)限，可以隨時(shí)監(jiān)控、調(diào)整策略的配置實(shí)現(xiàn)情況；多個(gè)虛擬設(shè)備的管理員可以同時(shí)操作。設(shè)備具備多個(gè)配置文件，允許每個(gè)虛擬設(shè)備的配置可以獨(dú)立保存，虛擬設(shè)備日志可以獨(dú)立管理。將一臺(tái)安全設(shè)備虛擬成多臺(tái)安全設(shè)備(如防火墻)，分配給不同業(yè)務(wù)系統(tǒng)使用，并且各業(yè)務(wù)系統(tǒng)可以自主管理各自的虛擬設(shè)備，配置各自的安全策略，保證業(yè)務(wù)系統(tǒng)之間的安全隔離，此時(shí)的防火墻作為資源池方式部署在數(shù)據(jù)中心，與網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)一起實(shí)現(xiàn)云計(jì)算中心端到端的虛擬化資源池。 2.3 VM之間安全防護(hù)需求 與傳統(tǒng)的安全防護(hù)不同，虛擬機(jī)環(huán)境下，同臺(tái)物理服務(wù)器虛擬成多臺(tái)VM以后，VM之間的流量交換基于服務(wù)器內(nèi)部的虛擬交換，管理員對(duì)于該部分流量既不可控也不可見(jiàn)，但實(shí)際上根據(jù)需要，不同的VM之間需要?jiǎng)澐值讲煌陌踩颍M(jìn)行隔離和訪問(wèn)控制。 要解決虛擬化內(nèi)部之間的安全防護(hù)，可通過(guò)EVB協(xié)議(如VEPA協(xié)議)將虛擬機(jī)內(nèi)部的不同VM之間網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機(jī)進(jìn)行處理，這將使得安全部署變得同傳統(tǒng)邊界防護(hù)一樣簡(jiǎn)單。 需要重點(diǎn)提出，云計(jì)算中對(duì)于云計(jì)算數(shù)據(jù)中心內(nèi)服務(wù)器/虛擬機(jī)的網(wǎng)關(guān)選擇問(wèn)題，一般有兩種方案(如圖所示)。方案1可以實(shí)現(xiàn)租戶(hù)內(nèi)不同服務(wù)器(如Web、APP、DB)的安全域隔離，也可以實(shí)現(xiàn)租戶(hù)間的安全隔離。由于防火墻為眾多流量的控制點(diǎn)，因此要求它具有較高的轉(zhuǎn)發(fā)性能。 方案2只能實(shí)現(xiàn)不同租戶(hù)間的安全隔離，無(wú)法在防火墻上實(shí)現(xiàn)租戶(hù)內(nèi)的不同服務(wù)器安全域隔離，對(duì)于同一租戶(hù)內(nèi)的不同服務(wù)器訪問(wèn)控制，只能依靠接入交換機(jī)(DC Acc)上的ACL來(lái)實(shí)現(xiàn)。由于網(wǎng)關(guān)在交換機(jī)上，所以轉(zhuǎn)發(fā)性能較高?？梢?jiàn)，方案一要求防火墻具備非常高的轉(zhuǎn)發(fā)性能，方案二轉(zhuǎn)發(fā)性能高，但無(wú)法滿足安全隔離控制要求。因此，對(duì)于云計(jì)算數(shù)據(jù)中心服務(wù)網(wǎng)關(guān)的選擇上，建議根據(jù)不同租戶(hù)的安全需求進(jìn)行區(qū)分對(duì)待，分散防火墻的壓力，同時(shí)滿足租戶(hù)內(nèi)的安全域隔離，具體原則如下：對(duì)于需要部署防火墻的提供更高級(jí)服務(wù)的租戶(hù)，網(wǎng)關(guān)部署在vFW上； 對(duì)于不需要防火墻防護(hù)的普通租戶(hù)，網(wǎng)關(guān)部署在核心交換機(jī)上。結(jié)束語(yǔ) 云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全部署僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié)，要保證云計(jì)算中心的安全，還要考慮數(shù)據(jù)加密、備份，信息的認(rèn)證授權(quán)訪問(wèn)以及法律、法規(guī)合規(guī)性要求，只有全面的進(jìn)行規(guī)劃，才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。