数据中心云安全建设方案
数据中心安全建设方案
数据中心安全建设方案一、背景介绍随着互联网的快速发展和科技的进步,数据中心作为重要的信息存储和处理中心,承载了大量的敏感数据和关键业务。
保障数据中心的安全性成为企业发展和运营的首要任务。
本文将针对数据中心的安全建设进行详细探讨,提出一套完善的数据中心安全建设方案。
二、安全风险评估在进行数据中心安全建设之前,首先需要对数据中心的安全风险进行评估,以便了解当前存在的问题和潜在的威胁。
评估内容包括但不限于以下几个方面:1.物理安全评估:对数据中心的周边环境、建筑结构、门禁系统、监控设备等进行评估,防止未经授权的人员进入数据中心。
2.网络安全评估:对数据中心网络设备、防火墙、入侵检测系统等进行评估,确保网络安全防护能力。
3.系统安全评估:对数据中心服务器、操作系统、数据库等进行评估,发现并修复软件漏洞,加强系统的安全性。
4.应急响应能力评估:评估数据中心的应急响应机制、备份策略和灾备方案,确保在发生安全事件时能够及时应对。
三、安全建设方案基于前期的安全风险评估,我们可以提出以下的数据中心安全建设方案:1.物理安全措施:(1)加强门禁管理:确保只有经过授权的人员才能进入数据中心,采用刷卡、指纹等多重身份认证方式,监控人员进出记录,实现全面控制。
(2)视频监控系统:在数据中心内部设置视频监控设备,实时监控整个数据中心的情况,对异常行为进行及时报警和处理。
(3)防火墙与UPS电源:安装防火墙系统,对外部恶意攻击进行拦截和防范;配备UPS电源,确保数据中心在停电情况下能够正常运行。
2.网络安全措施:(1)网络防火墙:在数据中心的网络出入口处设置防火墙设备,对入侵和攻击进行监测和拦截,确保网络交互的安全。
(2)网络隔离:根据数据中心的业务需要,将不同安全等级和敏感程度的系统进行网络隔离,确保数据的安全性。
(3)入侵检测系统:部署入侵检测系统,监测数据中心内部网络的异常行为,并及时采取措施进行防御。
3.系统安全措施:(1)及时更新与修复:定期更新操作系统和软件,并及时修复已知的漏洞,提高系统的安全性。
数据中心云安全建设方案
数据中心云安全建设方案数据中心云安全建设方案1. 简介1.1 背景随着云计算技术的发展,越来越多的企业将数据和应用迁移到云平台上进行存储和处理。
然而,随之而来的云安全问题也日益凸显。
为了确保数据中心云安全,本文提供了一套全面的建设方案。
1.2 目的本文的目的是在保证数据中心云环境的安全的前提下,提供技术和策略的指导,以帮助企业建立健全的云安全体系,保护数据的机密性、完整性和可用性。
2. 建设方案2.1 云安全架构设计2.1.1 多层防御体系建立多层次的安全防御体系,包括边界防护、内部防护以及数据加密等措施,以确保云环境的安全性。
2.1.2 身份认证和访问控制采用强大的身份认证和访问控制机制,如多因素身份验证、访问令牌等,限制用户对云资源的访问权限,防止未经授权的访问。
2.1.3 安全网络设计建立安全网络架构,包括网络隔离、安全子网、网络防火墙等,以保护云环境中的数据传输安全和网络通信安全。
2.2 数据保护与备份策略2.2.1 定期备份规划数据备份策略,设置定期的备份计划,确保云中的重要数据在意外情况下可以及时恢复。
2.2.2 数据加密对敏感数据进行加密,在数据传输和存储的过程中确保数据的机密性。
2.2.3 安全审计和监控建立完善的日志审计和监控机制,对云环境中的操作和事件进行实时监控和记录,及时发现异常行为并采取相应措施。
2.3 事件响应与应急处理2.3.1 安全事件响应计划制定完善的安全事件响应计划,明确安全事件的分类和级别,规定相应的应对措施和流程。
2.3.2 应急响应团队组建应急响应团队,明确成员职责和工作流程,确保在发生安全事件时能够迅速响应和处理。
3. 附件本文档涉及的附件请参见附件1:云安全架构图示。
4. 法律名词及注释4.1 数据保护法数据保护法是指对个人和组织的个人信息进行保护的法律法规。
4.2 访问控制访问控制是指控制用户对系统、资源或数据的访问权限的一种安全措施。
4.3 多因素身份验证多因素身份验证是指通过多种不同的因素(如密码、指纹、虹膜等)来确定用户的身份。
数据中心云安全建设方案
数据中心云安全建设方案在当今数字化时代,数据中心作为企业信息存储和处理的核心枢纽,其安全性至关重要。
随着云计算技术的广泛应用,数据中心的架构和运营模式发生了巨大变化,云安全问题也日益凸显。
为了保障数据中心在云环境下的安全稳定运行,制定一套全面有效的云安全建设方案势在必行。
一、云安全建设的背景和目标随着企业业务的快速发展和数字化转型,越来越多的应用和数据迁移到了云端。
数据中心云化带来了诸多优势,如灵活性、可扩展性和成本效益等,但同时也面临着一系列安全挑战。
黑客攻击、数据泄露、恶意软件感染等威胁不断增加,给企业的业务运营和声誉带来了严重风险。
云安全建设的主要目标是确保数据中心在云环境中的保密性、完整性和可用性。
具体包括保护企业的敏感数据不被未经授权的访问、篡改或泄露;确保云服务的持续稳定运行,避免因安全事件导致业务中断;以及满足合规性要求,遵守相关法律法规和行业标准。
二、云安全风险评估在制定云安全建设方案之前,需要对数据中心的云安全现状进行全面的风险评估。
这包括对云服务提供商的安全性评估、对企业自身的安全策略和流程的审查,以及对潜在威胁和漏洞的分析。
(一)云服务提供商评估评估云服务提供商的安全能力,包括其基础设施的安全性、数据保护措施、访问控制机制、合规性认证等。
了解云服务提供商的安全责任和义务,以及在发生安全事件时的响应和处理流程。
(二)企业自身安全评估审查企业内部的安全策略和流程是否与云环境相适应。
评估员工的安全意识和培训情况,检查网络架构、系统配置和应用程序是否存在安全漏洞。
同时,分析企业的数据分类和保护策略,确保敏感数据在云端得到恰当的保护。
(三)威胁和漏洞分析通过使用安全扫描工具、渗透测试等手段,对数据中心的网络、系统和应用进行全面的漏洞扫描和分析。
识别潜在的威胁,如网络攻击、恶意软件、内部人员违规等,并评估其可能造成的影响。
三、云安全架构设计基于风险评估的结果,设计合理的云安全架构是保障数据中心安全的关键。
云数据中心安全建设与运维
云数据中心安全建设与运维云数据中心是当今数字化时代中不可或缺的一部分,它承载了海量的数据和应用,为企业的业务提供了无限的可能性。
然而,随着云计算技术的不断发展,云数据中心的安全建设与运维也面临着不断提升的挑战。
本文将就云数据中心的安全建设与运维展开讨论。
一、云数据中心的安全建设云数据中心的安全建设是保证云计算服务安全性的必要条件。
云数据中心的安全建设包括以下几个方面。
1.物理安全云数据中心的物理安全是指保证云数据中心硬件设备的安全性。
物理安全包括对设备的保密、完整性、可用性等方面。
云数据中心的物理安全可以通过加强门禁控制、安装视频监控、加强设备维护等措施来实现。
2.网络安全云数据中心的网络安全是指保证云计算网络的安全性。
网络安全包括对网络的保密、完整性、可用性等方面。
云数据中心的网络安全可以通过加强网络防火墙、加强网络监控、加强设备维护等措施来实现。
3.数据安全云数据中心的数据安全是指保证云计算服务所存储的数据的安全性。
数据安全包括对数据的保密、完整性、可用性等方面。
云数据中心的数据安全可以通过加强数据备份、加强数据加密、加强数据恢复等措施来实现。
二、云数据中心的运维云数据中心的运维是保证云计算服务可靠性的必要条件。
云数据中心的运维包括以下几个方面。
1.硬件设备维护云数据中心的硬件设备需要定期进行维护。
维护包括设备的检查、清洁、更换和升级等工作。
硬件设备维护可以有效地提高设备的可用性和稳定性。
2.网络设备维护云数据中心的网络设备需要定期进行维护。
维护包括设备的检查、清洁、更换和升级等工作。
网络设备维护可以有效地提高网络的可用性和稳定性。
3.应用程序维护云数据中心的应用程序需要定期进行维护。
维护包括应用程序的检查、清洁、更换和升级等工作。
应用程序维护可以有效地提高应用程序的可用性和稳定性。
4.安全事件响应云数据中心需要建立安全事件响应机制。
当云数据中心出现安全事件时,需要及时响应并采取相应的措施。
云数据中心安全等级保护建设方案
云数据中心安全等级保护建设方案首先,物理安全方面,云数据中心应采取严格的门禁控制措施,包括指纹识别、智能卡等技术,限制未授权人员进入数据中心区域。
此外,还应配备监控摄像头,在全天候监控数据中心的运行情况,防范不法侵入行为。
其次,网络安全方面,云数据中心需要建立完善的防火墙系统,对外部网络进行监控和过滤,有效防范网络攻击、黑客入侵等安全威胁。
此外,数据中心还应采用加密技术,保护数据在传输和存储过程中的安全性,避免数据泄露、窃取等风险。
再者,数据安全方面,云数据中心应建立健全的权限管理机制,采用身份认证、访问控制等技术,限制用户对敏感数据的访问权限,确保数据的保密性。
同时,数据中心还应制定完善的备份和恢复策略,保障数据在意外情况下的完整性和可靠性。
总之,云数据中心安全等级保护建设方案需要综合考虑物理安全、网络安全、数据安全等多个方面,采取一系列有效的措施和技术手段,以确保云数据中心的安全运行,保护数据资产的安全性。
同时,数据中心管理者还应注重安全意识的培养,加强员工培训,提高员工对安全保护的重视程度,形成全员参与的安全保护氛围。
只有这样,才能为云数据中心的安全保护建设提供更可靠的保障。
随着云计算技术的飞速发展,云数据中心作为重要的基础设施之一,其安全等级保护建设成为了重中之重。
在当前云安全形势下,实施多层次、多角度的综合安全措施,已经成为了云数据中心安全保护必然的选择。
现就云数据中心安全等级保护建设方案进行探讨。
首先,物理安全方面是保障云数据中心安全的第一道防线。
在设施方面,要选择地理位置优越、周边环境安全稳定的场所,满足地震抵御、防洪排涝等自然灾害的要求。
在建筑设计、材料采购、装修施工等环节需严格遵循相关安全标准,确保云数据中心建筑的结构稳定、防火性能良好。
此外,还应设立多重门禁系统,采取身份认证、刷卡等技术手段,限制未授权人员进入数据中心区域。
同时,安装监控摄像头,全天候监控数据中心的运行情况,防范不法侵入行为。
XX云数据中心安全等级保护建设方案
XX云数据中心安全等级保护建设方案
1.物理安全建设:确保数据中心的物理环境安全,包括建筑结构的稳
固性、电力供应的可靠性以及防火、防水等措施的设施建设。
此外,要加
强对于数据中心的进出口控制,使用严格的身份验证手段,并配备高效的
监控系统和安全告警装置。
2.网络安全建设:建设多层次的网络安全体系,包括网络边界防火墙、入侵检测与防御系统、安全审计及监控系统等。
同时,加强网络设备的安
全管理,定期进行漏洞修复和补丁更新,并应用安全加密手段保护数据在
传输过程中的安全性。
3.数据安全建设:加强数据的备份与存储,确保数据的可靠性和完整性。
建立完善的数据备份策略,采用分布式数据存储和冗余技术,防止数
据丢失和损坏。
此外,要设立严格的权限管理机制,限制数据中心内部人
员的访问权限,并对外部攻击进行监控和检测,及时发现并阻止恶意攻击。
5.人员培训与管理:加强对数据中心人员的安全培训,提高其对安全
风险的识别能力和应对能力。
建立完善的人员管理制度,加强对内部人员
的背景调查和审查,并签署保密协议。
此外,要加强与外部安全机构和专
业安全团队的合作交流,共同研究解决安全问题,并及时分享安全威胁情报。
综上所述,针对XX云数据中心的安全等级保护建设,需要从物理安全、网络安全、数据安全、应急响应和人员培训与管理等多个方面进行综
合建设。
通过提高硬件设施的安全性、加强网络设备和数据的安全管理、
建立完善的应急响应机制以及加强人员培训和管理,可以有效提升数据中
心的安全等级保护能力,确保用户数据的安全和数字经济的稳定运行。
云数据中心安全等级保护建设方案
1项目综述1.1项目背景为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX 数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。
1.2安全目标XX的信息安全等级保护建设工作的总体目标是:“遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。
”具体目标包括(1)体系建设,实现按需防御。
通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。
(2)安全运维,确保持续安全。
通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。
(3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设范围本方案的设计范围覆盖XX的新建云平台基础设施服务系统。
安全对象包括:●云内安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护;●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。
1.4建设依据1.4.1国家相关政策要求(1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);(2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号);(3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);(4)《信息安全等级保护管理办法》(公通字[2007]43号);(5)《信息安全等级保护备案实施细则》(公信安[2007]1360号);(6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号);(7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。
云数据中心安全等级保护建设方案
1项目综述1.1项目背景为了保障基于“健康云”、“智慧云”的XX数据中心,天融信公司依据公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1389号)的要求,贯彻“通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益”的方针,为XX 数据中心需要在规划、建设和使用相关信息系统的同时对信息安全也要同步建设,全面开展信息安全等级保护建设整改工作。
1.2安全目标XX的信息安全等级保护建设工作的总体目标是:“遵循国家信息安全等级保护有关法规规定和标准规范,通过全面开展信息安全等级保护定级备案、建设整改和等级测评工作,进一步实现对整个新建云平台的信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高系统信息安全防护能力,为整个云平台的顺利建设和信息化健康发展提供可靠保障。
”具体目标包括(1)体系建设,实现按需防御。
通过体系设计制定等级方案,进行安全技术体系、安全管理体系和安全运维体系建设,实现按需防御。
(2)安全运维,确保持续安全。
通过安全监控、安全加固等运维手段,从事前、事中、事后三个方面进行安全运行维护,实现持续性按需防御的安全需求。
(3)通过合规性建设,提升XX云平台安全防护能力,保障系统信息安全,同时满足国家等级保护的合规性要求,为信息化工作的推进保驾护航。
1.3建设范围本方案的设计范围覆盖XX的新建云平台基础设施服务系统。
安全对象包括:●云内安全:虚拟化环境中的虚拟化平台及其相关虚拟化网络、虚拟化主机的安全防护;●云外安全:虚拟化环境以外的网络接入,核心交换,存储备份环境。
1.4建设依据1.4.1国家相关政策要求(1)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);(2)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号);(3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);(4)《信息安全等级保护管理办法》(公通字[2007]43号);(5)《信息安全等级保护备案实施细则》(公信安[2007]1360号);(6)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号);(7)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
若水公司2017-3-23目录1项目建设背景 (2)2云数据中心潜在安全风险分析 (2)2.1从南北到东西的安全 (2)2.2数据传输安全 (2)2.3数据存储安全 (3)2.4数据审计安全 (3)2.5云数据中心的安全风险控制策略 (3)3数据中心云安全平台建设的原则 (3)3.1标准性原则 (3)3.2成熟性原则 (4)3.3先进性原则 (4)3.4扩展性原则 (4)3.5可用性原则 (4)3.6安全性原则 (4)4数据中心云安全防护建设目标 (5)4.1建设高性能高可靠的网络安全一体的目标 (5)4.2建设以虚拟化为技术支撑的目标 (5)4.3以集中的安全服务中心应对无边界的目标 (5)4.4满足安全防护与等保合规的目标 (6)5云安全防护平台建设应具备的功能模块 (6)5.1防火墙功能 (6)5.2入侵防御功能 (7)5.3负载均衡功能 (7)5.4病毒防护功能 (8)5.5安全审计 (8)6结束语 (8)1项目建设背景2云数据中心潜在安全风险分析云数据中心在效率、业务敏捷性上有明显的优势。
然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。
传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面:2.1从南北到东西的安全在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。
在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。
多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。
传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。
这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。
2.2数据传输安全通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。
在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
2.3数据存储安全数据存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。
在云数据中心模式下,云数据中心在高度整合的大容量存储空间上,开辟出一部分存储空间提供给租户使用。
但客户并不清楚自己的数据被放置在哪台服务器上;云数据中心服务商在存储资源所在国是否会存在信息安全等问题,能否确保租户数据不被泄露;同时,在这种数据存储资源共享的环境下,即使采用了安全隔离与安全资源按需部署的方式,实现云数据中心各个租户之间的有限隔离。
2.4数据审计安全在云数据中心环境下,云数据中心服务商如何在确保不对其他租户的数据计算带来风险的同时,又提供必要的信息支持,以便协助第三方机构对数据的产生进行安全性和准确性的审计,实现租户的合规性要求,也是安全建设方面需要考虑的维度。
2.5云数据中心的安全风险控制策略为了更好的消除潜在的安全风险,让更多用户享受到云数据中心服务的优点,在云环境中,如果某虚机由于某种原因中了病毒,从内部向其它虚机和外部网络发起端口扫描和DoS等攻击,缺少安全控制策略的的情况下,只能将有问题的虚机从网络中移除,让问题虚机的管理员线下解决问题后,才允许连接回网络,这样的处理方案简单粗暴,虽然隔离了攻击,但也同时断掉了问题虚机的对外服务。
对于云环境,虽然外部可能部署入侵防御设施,但可能存在这样的情况,某虚机由于弱口令之类的漏洞被远程控制,然后黑客以此虚机为跳板,再对其它虚机进行漏洞扫描和利用入侵,DoS攻击会产生大量的会话,可能通过云管理平台发现,然而从内部发起的漏洞入侵的过程在网络层面上与正常访问无异,无法被发现,因此对于虚拟之间的安全防护一定要做到安全风险与安全事件的可控、可视、可溯源。
3数据中心云安全平台建设的原则3.1标准性原则云数据中心的云安全建设必须符合安全建设的标准,做到安全风险可控的效果,能够提供防火墙、入侵防御、防病毒、抗DDOS、负载均衡、审计、流量分析等安全资源模块,对安全资源可进行模块化选择,基于不同的租户选择不同的安全策略服务;对有安全管理需求的,必须提供独立的安全策略管理界面,方便租户进行按需的安全策略部署。
3.2成熟性原则应支持主流的虚拟化技术且安全可控,可根据业务需要进行灵活定制开发与功能扩展,在选择云安全建设的提供方,需具备相关的云安全应用案例与成熟配套的解决方案。
3.3先进性原则在实用和安全的基础上,平台设计要有一定的前瞻性,必须考虑应用和需求的发展以及技术的进步,从而确保系统具备可持续发展能力。
云安全平台需支持虚拟化技术,能够将安全资源模块,进行虚拟化部署,形成安全资源池,将安全资源与数据中心的虚机业务深度融合,实现东西向的流量防护,主要安全设备需支持TRILL、VxLAN、OpenFlow等标准化协议,具备国际标准的SDN功能,兼容第三方标准的SDN控制系统,能够与其他软硬件系统配合使用。
3.4扩展性原则考虑到未来发展的需要,云安全平台必须具备高扩展性,能在不影响现有业务正常使用的情况下平滑扩展。
本次建设完成后,随着业务需求的增长,后期可单独扩展对应的安全资源,使得性能与容量都呈线性上升,并保证设备可以充分利旧。
3.5可用性原则需通过对安全资源,例如防火墙、入侵防御、防病毒、VPN、负载均衡、流量分析、审计等安全资源模块,实现简化管理、高效运维的目的。
云安全平台能提供丰富的监控管理界面与工具,实现统一管理,所有的安全日志统一收集、展示、存储。
3.6安全性原则云安全设备选型需符合国家分保技术要求,系统安全可靠,建立完善的冗余备份和安全防范体系,保障平台高可靠和端到端的安全,具有多重安全防护,无单一崩溃点,应急手段丰富。
4数据中心云安全防护建设目标4.1建设高性能高可靠的网络安全一体的目标为了应对云数据中心环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。
在现阶段多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的10GE甚至100G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云数据中心的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS 等特性,真正实现大流量汇聚情况下的基础安全防护。
4.2建设以虚拟化为技术支撑的目标目前,虚拟化已经成为云数据中心服务商提供“按需服务”的关键技术手段,包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。
安全无论是作为基础的网络架构,还是基于安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。
从网络基础架构的角度(如状态防火墙的安全隔离和访问控制),需要考虑支持虚拟化的防火墙,不同用户可以基于VLAN等映射到不同的虚拟化实例中,每个虚拟化实例具备独立的安全控制策略,以及独立的管理职能。
4.3以集中的安全服务中心应对无边界的目标和传统的安全建设模型强调边界防护不同,存储计算等资源的高度整合,使得不同的租户用户在申请云数据中心服务时,只能实现基于逻辑的划分隔离,不存在物理上的安全边界。
在这种情况下,已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。
因此安全服务部署应该从原来的基于各子系统的安全防护,转移到基于整个云数据中心网络的安全防护,建设集中的安全服务中心,以适应这种逻辑隔离的物理模型。
云数据中心服务商或租户私有云管理员可以将需要进行安全服务的用户流量,通过合理的技术手段引入到集中的安全服务中心,完成安全服务后再返回到原有的转发路径。
这种集中的安全服务中心,既可以实现用户安全服务的单独配置提供,又能有效的节约建设投资,考虑在一定收敛比的基础上提供安全服务能力。
4.4满足安全防护与等保合规的目标云数据中心的应用带来了极大的便利,在降低采购、运维等成本的同时,极大的提升了系统的效率,简化了管理,并使得应用具有了非常简便的弹性扩展的能力。
但是,云计算也模糊了安全的边界,使得传统的信息安全防护手段不再适用。
事实上,信息安全问题已经成为企业用户使用云资源的主要障碍,因此安全防护应为云建设的重中之重。
安全防护需求又可以细分为云基础架构的安全防护以及租户自身的安全防护。
同时信息安全等级保护制度作为我国信息安全建设的基本国策,是必须要满足的。
按照等保定级指南进行评估,一般的云数据中心至少应该达到等保三级的要求。
5云安全防护平台建设应具备的功能模块云安全系统平台需支持按需提供各种安全服务,并支持安全管理模块的虚拟化功能,能够为不同的业务及租户之间提供独立的管理操作界面。
各项安全服务应全部支持安全虚拟化功能,可提供定制化的业务处理流程,各虚拟系统之间转发平面隔离,一个虚拟系统资源耗尽不影响其他虚拟系统正常运行,且逻辑隔离,确保各虚拟系统内部业务的数据安全。
虚拟化安全设备应具有以下的安全功能:5.1防火墙功能需提供基于物理硬件的防火墙和安全隔离与访问控制功能,实现按照租户和各类业务的重要性、应用对象的不同,在基础资源虚拟化平台内部不同业务之间进行安全隔离管控。
1)端口级访问控制:可对不同安全域间的数据包进行管控,可实时监控数据包的状态,可制定基于IP、端口、出入接口、数据流方向的控制策略,实现通过防火墙的数据流的安全控制。
2)支持安全域划分、访问隔离、攻击防范、NAT、IPSec/SSL/PPTP/L2TP VPN等功能;支持静态路由、RIP、OSPF、BGP、ISIS、MPLS、PBR等IPv4单播路由协议,支持IGMP、PIM、MSDP等IPv4组播路由协议。