中国移动云计算网络安全域划分技术要求
网络安全域划分
网络安全域划分网络安全是当前互联网时代的一个重要议题,而网络安全域的划分是一种常见的安全措施,旨在确保网络系统的安全性和稳定性。
本文将对网络安全域划分的概念、目的、方法以及相关技术进行详细论述。
一、概念网络安全域划分指的是将网络系统划分为不同的安全区域,每个安全区域拥有独立的网络边界和安全策略。
不同的安全区域之间通过安全设备和安全策略进行严格的访问控制,以降低网络系统遭受安全攻击的风险。
二、目的1.隔离风险:通过划分网络安全域,可以根据系统的安全等级和敏感性,将具有相似安全需求的资源和服务划分到同一安全区域内,从而有效隔离网络攻击和风险。
2.限制传播:在网络安全域划分的基础上,可以在每个安全区域之间设置严格的访问控制策略,以限制横向攻击的传播范围,提高网络系统的安全性。
3.提高响应能力:通过将网络系统划分为不同的安全域,可以更好地控制安全事件的范围,提高对安全事件的响应速度和准确性,降低威胁对整个系统的影响。
三、方法1.划分安全策略:根据网络系统的安全需求,制定相应的安全策略。
依据业务需求和安全等级,确定不同安全域的划分方式,如按照功能、地理位置、用户权限等进行划分。
2.实施网络隔离:在网络安全域之间设置安全设备,如防火墙、入侵检测系统等,确保不同安全域之间的通信符合安全策略,并且阻止未经授权的访问和攻击。
3.加密通信传输:为了保证网络数据传输的安全性,可以在网络安全域之间建立加密通信通道,如VPN(虚拟专用网络),以保障数据的机密性和完整性。
4.访问控制策略:在每个安全域内部,设置细粒度的访问控制策略,包括访问权限、认证和授权等,确保只有经过身份验证和授权的用户才能访问和操作资源。
四、相关技术1.虚拟局域网(VLAN):通过VLAN技术,可以将不同的主机、网络设备和服务器划分到不同的安全域内,实现物理隔离、逻辑连通的网络结构。
2.子网划分:将网络系统的IP地址划分为多个子网,不同的子网可以划分到不同的安全域内,通过路由器或三层交换机进行通信,实现网络隔离。
09X017 中国移动管理信息系统安全防护体系总体技术要求V1.0.0
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
云计算安全技术要求 csa
云计算安全技术要求 csa云计算安全技术要求(CSA)云计算安全技术要求(CSA)是指为保障云计算环境中数据和系统的安全性而需要满足的一系列技术要求和措施。
随着云计算的快速发展,安全问题已成为云计算面临的重要挑战之一。
为了解决这一问题,CSA提出了一系列的技术要求,以确保云计算环境的安全性。
CSA要求云计算服务提供商必须采取适当的身份认证和访问控制机制,以防止未经授权的用户访问云计算资源。
这包括使用强密码策略、多因素身份验证等技术手段,确保用户的身份和权限得到正确的识别和管理。
CSA要求云计算环境中的数据传输必须采用安全的通信协议和加密方式。
这可以通过使用SSL/TLS协议、IPSec VPN等技术手段来实现,保证数据在传输过程中的机密性和完整性。
CSA还强调了云计算环境中数据的隔离和保护要求。
云计算服务提供商应采取适当的技术手段,确保不同用户之间的数据得到隔离,防止数据泄露和篡改。
同时,云计算服务提供商还应备份和恢复用户数据,以应对意外情况和数据丢失的风险。
CSA要求云计算服务提供商应建立完善的监控和日志记录机制,以便及时发现和应对安全事件。
这包括实时监控云计算环境中的网络流量、系统日志和用户行为等,并建立相应的告警和应急响应机制,以提高对安全事件的响应能力。
CSA还强调了云计算服务提供商的物理安全要求。
云计算数据中心应采取适当的物理访问控制措施,如门禁系统、视频监控等,以保证数据中心的安全性和可靠性。
CSA还强调了云计算服务提供商的安全审计和合规性要求。
云计算服务提供商应定期进行安全审计,发现和解决可能存在的安全问题。
同时,云计算服务提供商还应确保其符合相关的法律法规和行业标准,如ISO 27001等,以提供符合合规性要求的云计算服务。
云计算安全技术要求(CSA)提出了一系列的技术要求和措施,以确保云计算环境的安全性。
这些要求包括身份认证和访问控制、数据传输安全、数据隔离和保护、监控和日志记录、物理安全、安全审计和合规性等方面。
中国移动研究院云计算平台 安全评估报告
内部资料 注意保密
系列1
扫描发现的漏洞
系统存在弱口令。一台主机存在root/password弱口令,可以 导致恶意人员登录系统并破坏系统。 FTP Server配置存在严重安全隐患,可以导致跳转攻击,并 且能够匿名FTP登录,存在任意可写目录。 SNMP存在缺省口令。很多主机开启了SNMP服务,并且采 用缺省community字符串,导致泄露主机的关键信息。 MySQL等软件没有进行及时升级,存在严重漏洞。 DNS没有及时升级,并且配置不合理。可以导致多种攻击。 SSH没有及时升级,可以导致恶意人员列举用户名。
(一)跨站漏洞
搜索引擎在实现的过程中,代码编写不严格对用户输入的信息没有进 行进行严格的过滤,导致搜索国移动云计 算平台搜索引擎跨站漏洞如下图所示,恶意人员通过输入特殊的脚本 可以来控制搜索结果显示,如:
内部资料 注意保密
内部资料 注意保密
验证结果图示
内部资料 注意保密
(二)缺乏对用户任务的入网检查与审计
在获取帐号后,用户可以在服务器上运行各种程 序,但是目前缺乏对这些程序的入网检查与代码 审计。用户的程序可能是病毒程序、其他恶意程 序或者攻击他人或者其他服务器的程序,这些程 序的运行可能给云计算平台或者其他用户带来严 重影响。
存在跨站攻击漏洞 配置不合理,导致敏感信息泄漏 敏感信息明文传输
内部资料 注意保密
(一)跨站漏洞
该用户管理平台在实现时编码不严格,存在跨站漏洞
内部资料 注意保密
跨站漏洞的影响
对公司声誉带来严重的影响。
国内外的很多知名企业的门户网站曾经都出现过跨站 漏洞,并被恶意人员利用,虽然难以对公司造成利益 损失,但会对公司声誉造成很大影响。如果云计算平 台对外提供服务并利用该用户管理平台,则也会面临 恶意人员利用跨站漏洞对公司声誉造成影响的风险。
网络安全域划分
网络安全域划分
网络安全域划分是指将一个大的网络系统划分为多个相互隔离的安全子网络,以提高网络安全性。
通过安全域划分,可以将网络系统按照不同的安全级别进行划分,从而对敏感数据和关键系统进行更细粒度的保护。
一般来说,网络安全域划分可以按照以下几个原则进行:
1. 分级划分:根据数据的重要性和敏感程度,将网络划分为多个不同层级的安全域。
比如,可以将某些非关键数据和系统划分到一个低安全级别的域,而将关键数据和系统划分到高安全级别的域。
2. 隔离划分:通过网络隔离技术,将不同安全域之间实现物理或逻辑上的隔离。
这样可以防止攻击者从一个域进入到另一个域,从而减少攻击面和风险。
3. 权限控制:在每个安全域中设置适当的访问控制策略,限制用户对资源的访问权限。
这样可以确保只有经过授权的用户才能够访问到相应的资源,提高系统的安全性。
4. 安全策略管理:在每个安全域中设置相应的安全策略,比如防火墙策略、入侵检测策略等。
这些策略可以根据域内的具体需求进行定制,以提供更全面的安全保护。
5. 监控和日志管理:在每个安全域中设置相应的监控和日志管理机制,及时发现和记录异常事件。
这样可以帮助及时发现潜
在的安全威胁,并进行相应的应对措施。
总之,网络安全域划分是一个重要的网络安全管理手段,可以提高网络系统的安全性和可管理性。
通过合理的划分,可以有效降低网络被攻击的风险,并保护企业的敏感数据和关键系统。
中国移动网络门户系统技术规范
中国移动网络门户系统技术规范中国移动通信企业标准QB-W-028-中国移动网络门户系统技术规范(第一版)NMS Portal Technical Specification版本号 1.0.0-××-××发布-××-××实施中国移动通信有限公司发布目录1 范围........................................ 错误!未定义书签。
2 引用标准.................................... 错误!未定义书签。
3 术语定义和缩略语............................ 错误!未定义书签。
4 系统概述与建设范围.......................... 错误!未定义书签。
5 ”总部-省”两级架构......................... 错误!未定义书签。
6 组网与设备配置要求.......................... 错误!未定义书签。
7 系统功能要求................................ 错误!未定义书签。
7.1 单点登录.............................. 错误!未定义书签。
7.1.1 基本要求 ........................... 错误!未定义书签。
7.1.2 具备4A的情况 ...................... 错误!未定义书签。
7.1.3 对于未接入4A的情况 ................ 错误!未定义书签。
7.2 接入服务.............................. 错误!未定义书签。
7.2.1 B/S与C/S应用统一接入.............. 错误!未定义书签。
7.2.2 公网接入 ........................... 错误!未定义书签。
网络安全安全域划分策略(Ⅱ)
网络安全安全域划分策略随着互联网的快速发展,网络安全问题也日益突出。
在企业和个人用户中,网络安全已经成为一项重要的议题。
在网络安全领域,安全域划分策略是非常关键的一部分,它能够帮助用户有效地保护自己的网络安全。
本文将就网络安全安全域划分策略进行探讨。
一、安全域划分的概念安全域划分是指将网络划分成若干个不同的区域,每个区域有不同的安全级别和访问控制策略。
通俗地说,就是将网络划分成内部网络、外部网络和DMZ (Demilitarized Zone)等不同的区域,以便进行有效的安全管理和控制。
安全域划分的目的是为了提高网络的安全性,减少潜在的安全风险。
二、安全域划分的原则在进行安全域划分时,需要遵循一些基本原则。
首先,要根据业务需求和安全策略来划分安全域。
例如,将内部网络、外部网络和DMZ区域进行合理划分,根据业务需求设置相应的访问控制规则。
其次,安全域划分要尽量简单和清晰,避免出现过于复杂的网络结构和安全策略。
最后,要根据实际情况进行动态调整和优化,随着业务的发展和安全威胁的变化,需要不断地对安全域划分进行调整和优化。
三、安全域划分的策略在进行安全域划分时,需要制定相应的策略。
首先,要根据业务需求和安全风险来确定安全域划分的范围和级别。
例如,对于一些核心业务系统和重要数据,可以划分为高安全级别的内部网络,对外部网络进行访问控制;对于一些公共服务和非核心业务系统,可以划分为低安全级别的DMZ区域,提供一定程度的对外访问权限。
其次,要根据网络拓扑和设备配置来制定安全策略。
例如,可以通过防火墙、路由器和交换机等网络设备,对不同安全级别的网络进行访问控制和流量过滤。
最后,要进行安全域划分的监控和管理。
例如,可以通过安全管理平台和日志审计系统,对安全域划分的实施情况和安全事件进行监控和管理。
四、安全域划分的实施在进行安全域划分的实施过程中,需要注意一些关键问题。
首先,要进行网络安全风险评估和安全域划分设计。
例如,可以通过安全风险评估工具和专业的网络安全团队,对网络进行全面的风险评估和安全域划分设计。
网络安全域:如何划分网络安全域
随着互联网的发展,网络安全问题变得越来越重要。
在大型企业和组织中,划分网络安全域是保护网络安全的重要手段之一。
本文将介绍如何划分网络安全域并提供一些划分网络安全域的最佳实践。
一、什么是网络安全域网络安全域是指由相同的安全策略和控制措施所保护的计算机网络或子网络。
每个网络安全域都有其自己的边界,内部的计算机和设备可以互相通信,而与其他网络安全域的通信则需要经过安全控制点进行批准。
二、为什么需要划分网络安全域划分网络安全域有以下几个原因:1. 隔离网络流量:通过划分不同的网络安全域,可以将不同类型的流量隔离开来,以便更好地控制和监测网络流量。
2. 加强访问控制:不同的网络安全域可以有不同的访问控制策略和安全措施,以确保只有授权用户才能访问敏感数据和资源。
3. 提高网络可靠性:通过将网络划分成多个安全域,可以减少网络故障的影响范围,提高网络可靠性和稳定性。
4. 简化安全管理:划分网络安全域可以使安全管理更加简单和有效,便于管理员快速识别和解决问题。
三、如何划分网络安全域1. 根据业务需求划分:根据企业或组织的各项业务需求,将网络划分为不同的安全域。
例如,可以将财务、人力资源和研发等不同的业务划分为不同的网络安全域,并根据其涉及的数据和资源进行访问控制。
2. 根据安全级别划分:将网络按照安全级别进行划分,例如,将内部网络和外部网络分开,并在两者之间设置防火墙和其他安全措施。
还可以将网络按照敏感程度进行划分,例如,将涉及国家安全的信息和数据单独放在一个安全域中。
3. 根据地理位置划分:如果企业或组织有多个地点,可以根据地理位置将网络安全域进行划分。
例如,将总部和分支机构分别放在不同的网络安全域中,并根据需要进行访问控制。
4. 根据技术特点划分:将网络按照不同的技术特点进行划分,例如,将移动设备和固定设备分开,并在两者之间设置安全网关和其他安全措施。
四、划分网络安全域的最佳实践1. 限制网络通信:每个网络安全域应该有一个安全边界,以限制对其它网络安全域的访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动云计算网络安全域划分技术要求Technical Specification of Centralized Security Protectionfor Cloud Computing版本号: 1.0.0中国移动通信集团公司网络部2013年12月目录前言 (1)1综述 (2)2云计算网络安全域划分 (2)2.1安全域划分的原则 (3)2.2云计算平台的主要安全域 (4)2.2.1云计算平台组网的基本架构 (4)2.2.2云计算平台基础网络安全域划分方法 (5)2.2.3云计算平台所承载业务系统组网安全域划分方法 (7)3云计算网络的安全防护要求 (8)3.1.1云计算平台与互联网之间互联安全要求 (8)3.1.2云计算平台与支撑系统之间互联安全要求 (8)3.1.3云计算平台上承载的业务系统之间互联安全要求 (8)4云计算平台安全运维要求 (9)4.1安全维护要求 (9)4.2安全管理要求 (9)5编制历史 (10)附录A 引用标准与依据 (10)附录B 相关术语与缩略语 (11)前言针对数据业务系统向云计算平台承载方式演进的需求,按照等级保护和集中化要求,本要求明确了在云计算网络环境下组网规划,实施安全域划分的基本原则,并进一步提出了云计算环境安全防护的基本要求。
本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。
并在此基础上,以业务系统为单位,每个业务系统划分不同的VLAN,实现云计算网络环境下业务系统间的安全隔离。
本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。
本技术要求主要包括以下3个方面内容:1、云计算平台安全域划分;2、云计算平台边界整合;3、云计算平台的安全防护。
起草单位:中国移动通信有限公司网络部、中国移动通信研究院。
主要起草人:柏洪涛、任兰芳、刘斐、魏来、徐海东、周智。
1综述本要求从规范云计算平台整体组网入手,明确了公、私有云安全域划分的基本原则,以及云计算平台上所部署的不同数据业务系统间、数据业务系统和支撑系统间,数据业务系统内部各安全域之间互联的安全要求,并在此基础上明确了各类防护手段部署的基本要求。
本要求的主要内容包括:(1)第2章:云计算网络安全域划分:明确了根据私有云以及云计算平台上所承载的各业务系统之间的威胁等级、保护等级,划分安全域的基本原则,域间互联的基本要求。
(2)第3章:云计算网络的安全防护:在安全域划分的基础上,进一步明确了域间互联的安全要求以及各类基础安全技术防护手段的部署原则。
(3)第4章:云计算平台安全运维要求:从维护要求和管理要求两个方面,分别对私有云和公有云提出安全运维要求。
2云计算网络安全域划分在云计算网络中,主要包括如下三大类网络:1.处于云计算外部的用户(含PAAS服务模式下的能力调用者)与云计算平台内部业务系统间的Client-Server互联网络(network1);2.处于同一云计算平台中不同服务器间的Server-Server互联网络。
该类网络中又包含同物理主机上的不同VM间的互联网络(network2)以及不同物理主机上VM间的互联网络(network3);3.在不同物理主机间的虚拟机迁移互联网络。
该类网络中又包含同一计算平台上不同物理主机间的虚拟机迁移网络(network4)和跨云计算平台物理主机间的虚拟机迁移网络(network5)。
图2.1 云计算网络环境由于现阶段中国移动公、私有云计算平台对虚拟机迁移尚无明确要求,故本技术要求主要考虑network1、network2和network3。
针对network1,同传统IT网络环境一样,云计算平台同样面临着来自互联网的各种攻击,对云计算平台内的各类设备物理资源和数据信息资源造成威胁,需要实现云计算平台对来自云计算平台外的网络安全控制。
而云计算平台内部,不同的设备物理资源和数据信息资源,因其所承担的功能的不同,在资产价值、安全威胁、安全弱点等方面又有所不同,为避免网络安全的木桶效应,不同安全属性的物理资源和信息资源间也应做好安全隔离和防护。
在该类网络下,云计算网络环境与传统IT网络面临的安全问题一致,仍可借鉴传统IT网络环境安全防护技术和手段来实施。
针对network2、network3,在云计算网络环境中,不同业务系统共享云计算网络资源,而每个业务系统同样面临资产价值、安全威胁、安全弱点等不同问题,为避免某一业务系统的安全问题影响到其他业务系统,不同业务系统间也需要做好安全域划分,实现网络安全隔离和防护。
安全域是一个网络的逻辑范围或区域,同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等,同一安全域内的系统有着较高的互信关系,并具有相同或者相近安全访问控制策略。
通过在网络和系统层面安全域的划分,将云计算平台、业务系统、安全技术有机结合,形成完整的防护体系,这样既可以对同一安全域内的设备、资源进行统一规范的保护,又可以限制安全风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。
2.1安全域划分的原则对云计算网络的安全域划分,应以云计算具体应用为导向,充分考虑云计算平台系统生命周期内从网络系统规划设计、部署、维护管理到运营全过程中的各因素。
云计算网络安全域划分的基本原则包括:(1)业务保障原则:进行安全域划分的根本目标是能够更好地保障网络上承载的业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
(2)结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。
比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难,实际操作过于困难。
(3)等级保护原则:安全域划分和边界整合遵循业务系统等级防护要求,使具有相同等级保护要求的数据业务系统共享防护手段。
(4)生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
(5)立体协防原则:安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次。
同时,在部署安全域防护体系的时候,要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。
2.2云计算平台的主要安全域2.2.1云计算平台组网的基本架构云计算平台在组网方面按其功能可分为接口层,交换层、资源层和管理维护层4层。
接口层设备负责与外部的其它系统、用户终端交互;交换层是整个云计算网络的枢纽,设备负责连接云计算平台内部其它各层的设备,承担了内部数据流量和对外数据流量;资源层负责提供承载业务系统所需要的虚拟机、X86物理机等计算能力以及数据存储设备;管理维护层负责整个云计算平台的安全、可靠运行。
图2.2 云计算平台组网的基本架构示意图云计算基础网络安全域划分方法基本依据了上述分层情况。
2.2.2云计算平台基础网络安全域划分方法根据组网基本架构,云计算基础网络可划分以下为六类主要的安全子域:核心交换区、核心生产区、DMZ区、测试区、接入维护区以及互联网络区,如图2.3所示。
图2.3 云计算网络安全域划分(1)核心交换区是数据中心网络的核心,连接内部各个计算资源区域、管理区域、合作单位的网络、和外部用户接入的网络等。
(2)核心生产区部署计算资源的核心区域,安全防护等级最高。
(3)DMZ区部署可通过公网访问的应用。
(4)测试区:部署各类测试系统,指针对各应用系统日常开发测试,不包括提供软件测试的测试平台及测评中心等系统。
(5)接入维护区:部署资源池及其上承载的各应用系统的管理维护终端,用于应用系统管理员远程接入及厂商现场代维等。
仅提供网络设备,不部署计算、存储资源。
(6)互联网络区:出于安全和扩展性的考虑,根据互联的用户类型分为:内部互联网络,外部互联网络。
−内部互联网络通过IP 专网进行互联。
− 外部互联网络通过CMNET 实现用户的接入。
每类安全子域内部,根据实际需要,可进一步划分下级安全子域,如在内部互联接口区为和网管、计费互联分别设单独的子域。
2.2.3 云计算平台所承载业务系统组网安全域划分方法2.2.3.1 私有云所承载业务系统组网安全域划分方法私有云计算平台上所承载的各业务系统部署在同一物理主机服务器甚至多个物理主机服务器上的多个VM 中;同时,同一物理主机服务器上也可能部署了多个不同的业务系统。
而这些隶属于不同业务系统的VM 间需要进行隔离和访问控制。
云计算平台上的各业务系统间的隔离和访问控制可选择划分VLAN 、VRF 以及VFW 安全隔离等其中一种或几种的组合的方式进行。
不同的业务系统,划分不同的VLAN 、VRF 或者VFW 。
采用VLAN 划分方式时,VLAN 还应按照云计算平台基础网络的不同安全域成段分配,不同安全域使用不同的VLAN 段,每个安全域内不同的业务系统使用不同的VLAN ,所有VLAN 之间缺省互相隔离的。
如果有互访需求需要在防火墙上做策略允许其互访,包括同一业务系统内部不同安全域的互访,也包括不同业务系统之间的互访。
同一VLAN 内还可通过PVLAN 技术划分子VLAN ,实现同一业务系统内不同安全级别的虚拟机隔离。
VLAN 1VLAN 2VLAN 1001VLAN 1002VLAN 2001VLAN 2002VLAN 3001VLAN 3002VM VM VM VM VMVM VM VM VM VM图5.3 VLAN 隔离示意图2.2.3.2 公有云所承载业务系统组网安全域划分方法在公有云计算平台上,应以租户为单位,每个租户划分不同VLAN 或VRF ,所有VLAN 之间缺省互相隔离,以保证不同租户间设备是互相隔离。
不同租户间设备或系统如有互访需求,应通过网络路由实现。
3云计算网络的安全域边界互联安全要求本部分技术要求主要明确云计算平台与互联网之间、云计算平台与内部支撑系统之间、云计算平台上所承载的业务系统之间,以及传统域与云计算平台之间互联的安全要求。
3.1.1云计算平台与互联网之间互联安全要求云计算平台与互联网需通过互联网接口区进行互联。
具体原则如下其中:●来自互联网的访问请求需通过部署在互联网接口区的设备进行处理或转发,通过VLAN或VRF方式,将不同类型的数据映射到云计算平台内部对应域。
互联网设备不能直接访问云计算平台的核心生产区。
●互联网接口区与互联网之间需要通过防火墙防护。
●核心生产区与互联网接口区之间需要通过防火墙防护,实现双层异构防火墙防护。