数据中心云安全建设方案
云数据中心机房规划与建设
云数据中心机房规划与建设随着云计算的不断发展,云数据中心逐渐成为了企业重要的IT基础设施之一,它可以帮助企业实现数据中心的虚拟化、高性能资源的共享、多维度灵活的扩容等优势,成为企业在数字化转型中的不可或缺的一部分。
为了实现高效、安全、智能的云数据中心建设,我们需要考虑以下方面的规划和建设:1、机房规划和设计在机房规划和设计方面,我们需要考虑机房的位置、机房大小、机房安全性、机房防火性能、机房的供电和供水等问题。
需要根据实时的业务需求和计算机框架的特性进行规划和设计,以确保机房满足业务服务最优的要求。
2、安全控制方案安全控制方案是保护机房数据安全的关键,必须首先考虑其保障措施的有效性。
我们需要建立湿度、从而达到最优室内温度、空气质量、灾害预警、备份等系统,以保障机房数据的安全。
3、电力系统电力系统是构建机房基础设施的重要组成部分,一个稳定和高效的供电系统可以确保数据中心的稳定性和可靠性。
我们需要考虑电源电压的稳定性、架构的灵活性、电线故障检测和排除等问题。
4、网络系统网络系统是数据中心的核心,是数据中心运营的关键。
我们需要建立一套高效的网络系统,以确保数据传输的稳定性和传输速度。
在网络系统方面,我们需要考虑带宽要求、交换机数量、网络拓扑、网络延迟等问题。
5、机柜布局机柜布局是机房设计的一个重要组成部分,它关系到整个数据中心的布局,以及数据关键部分的安全。
我们需要考虑机柜的数量、安全性能、布局等问题,确保每个机柜的安全和稳定运行。
总之,云数据中心的规划和建设需要考虑很多方面,每个方面都需要经过精密的规划和设计,以确保机房系统的可靠性、安全性和高效性。
通过上述的措施和方法,可以帮助企业建立高效、安全、智能的云数据中心,进而更好的支持企业数字化转型。
简述云计算中心安全建设的思路
简述云计算中心安全建设的思路
云计算中心安全建设的思路主要包括以下几个方面:
1. 建立完善的物理安全措施:包括严格的门禁制度、监控摄像、入侵报警系统等,确保物理设施的安全。
2. 强化网络安全防护:通过建立防火墙、入侵检测系统、反病毒软件等技术手段,确保网络的安全,阻止未经授权的访问。
3. 严格的身份验证和访问控制机制:通过使用身份验证技术、多层次的访问控制策略等措施,确保只有经过授权的人员可以访问云计算中心。
4. 加强数据安全保护:通过数据加密、备份与恢复、数据隔离等手段,确保数据的机密性、完整性和可用性,防止数据泄露、损坏或丢失。
5. 建立灾备和容灾机制:通过制定灾难恢复计划和容灾方案,确保在出现灾难性事件时能够及时恢复云计算服务。
6. 定期的安全演练和评估:定期进行模拟攻击和安全演练,评估安全防护措施的有效性和完整性,及时发现和修复安全漏洞。
7. 建立安全管理制度:建立完善的安全管理体系和规范,明确安全责任分工,
并定期进行安全培训,提高人员的安全意识和技能。
通过以上思路和措施,可以有效保障云计算中心的安全性,为用户提供可靠的云计算服务。
数据中心建设方案.ppt
➢ 建设高适应性、具有应变能力的开发环境
➢ 具有综合性强、具有前瞻性的综合业务管理能力
➢ 建设便于新业务增长发展的环境
➢ 建设舒适、轻松、人性化的办公生活环境
6
数据中心的总体设计原则
安全性
建立安全等级 按照安全等级建立安全分区 按照安全分区选择安全功能
先进性和实用性
创造舒适的空间
建立24小时都使用的设备功能 采用先进的技术
求的资源动态调度,同时实现资源的优化配置,从而提高计算资源的利用率,节约IT基础设施成本,降 低能耗
17
鹏达控股系统数据备份存储目标
备份解决的核心问题:数据不丢失。
目标: Ⅰ 满足321原则:至少备份3份副本,至少采用2种不同的存储媒介,确保有至少1份异地备份。 Ⅱ 备份的统一计划安排,充分利用系统资源,加强管理。合理设置备份周期,确保备份效率,兼顾 数据安全。 Ⅲ 为虚拟化提供最有效的基础架构,实现可共享、易扩展的统一备份存储平台。
数据库
数据库
统一管理 弹性扩展
系统管理
系统管理
服务器 服务器整合服虚务器拟化
存储备份 网络安全
存储整合 存统储一备份备份
网络安全
BI 中间件 数据库 系统管理 服务器 存储备份 网络安全
其它 中间件 数据库 系统管理 服务器 存储备份 网络安全
PPAaAaSS IaaS
运维
运维
运维
运维
运维
运维
实现计算资源的虚拟化与共享 ➢以虚拟化的方式提供应用运行平台,可以充分实现计算资源共享,并提升系统灵活性,实现面向应用需
较低。
10
国际规范数据中心设计指标依据
✓ 《电子信息系统机房设计规范》 ✓ 《电子信息系统机房施工及验收规范》 ✓ 《电子计算机场地通用规范》 ✓ 《计算站场地安全要求》 ✓ 《防静电活动地板通用规范》 ✓ 《建筑用安全玻璃防火玻璃》 ✓ 《建筑内部装修设计防火规范》 ✓ 《低压配电设计规范》 ✓ 《建筑照明设计标准》 ✓ 《综合布线系统工程设计规范》 ✓ 《视频安防监控系统技术要求》 ✓ 《安全防范工程技术规范》 ✓ 《出入口控制系统工程设计规范》 ✓ 《其他灭火系统设计规范》 ✓ ……
2023-云计算数据中心整体建设方案V2-1
云计算数据中心整体建设方案V2随着科技发展和信息化越来越重要,更多企业正在转向云计算及其数据中心,这也需要确保安全和完整性的整体建设方案。
下面,将会介绍一个云计算数据中心整体建设方案V2。
一、架构以及总体规划首先,必须评估云计算所需的基础设施,包括硬件、软件和网络,并构建根据这些需求制定的可满足设计的总体规划。
此外,也需要考虑有关位置、数据安全性等方面的考虑。
二、网络架构其次,云计算中的网络架构是极为重要的,应该设计出符合企业需求的交换机和路由器等网络设备,建立网络安全策略,以及流量防火墙和合适的vpn应用,确保网络安全和完整性,并且可保证性能和可扩展性。
三、存储架构存储架构对于云计算来说非常重要,因为这是存储和管理数据的方式。
企业应该选择能够满足他们需求的数据存储方式,并保持数据的完整性和保密性。
四、服务器架构服务器是整个云计算环境中最为关键的基础设施之一。
云计算数据中心中的服务器架构通常是根据应用程序和数据库的需求,构建具有大容量存储、高速 CPU 和内存性能的服务器。
需要协调与网络和存储之间的协调,确保流畅的集群交互和高效的内部连接。
五、虚拟化架构虚拟化环境可以最大程度地提高服务器利用率并实现快速动态的服务器创建和灵活的资源部署。
通过虚拟化,企业能够在一个服务器上运行多个虚拟计算机。
为实现这一目标,需要实现虚拟网络和虚拟存储,以便可以将实体服务器的物理资源分配给虚拟机。
虚拟机管理软件确保每个虚拟机的资源都可以得到优化,从而实现最佳性能。
六、安全奉劝广大云计算数据中心的操作人员必须认识到自己面临的数据中心安全威胁的严重性。
因此,针对这些威胁,需要提供多层保护,包括网络和数据安全、访问和身份管理等。
在完成上述步骤之后,企业将能够建立一个高度可靠、灵活、安全和完整的云计算数据中心。
这个方案提供了一整套完整的解决方案,保证企业能够实现其主要目标,包括灵活性、可扩展性和高效性。
电信行业云服务与数据中心建设方案
电信行业云服务与数据中心建设方案第1章项目背景与需求分析 (3)1.1 电信行业发展趋势 (3)1.2 云服务与数据中心建设需求 (4)1.3 技术与业务挑战 (4)第2章云服务架构设计 (5)2.1 总体架构 (5)2.1.1 基础设施 (5)2.1.2 平台服务 (5)2.1.3 应用服务 (5)2.2 服务架构 (5)2.2.1 IaaS层服务架构 (5)2.2.2 PaaS层服务架构 (5)2.2.3 SaaS层服务架构 (6)2.3 技术选型 (6)2.3.1 虚拟化技术 (6)2.3.2 分布式存储技术 (6)2.3.3 软件定义网络(SDN)技术 (6)2.3.4 分布式数据库 (6)2.3.5 分布式计算框架 (6)2.3.6 安全防护技术 (6)第3章数据中心基础设施规划 (6)3.1 场地选择与规划 (6)3.1.1 场地选择原则 (7)3.1.2 场地规划要求 (7)3.2 供电与散热系统设计 (7)3.2.1 供电系统设计 (7)3.2.2 散热系统设计 (7)3.3 网络与通信设施 (7)3.3.1 网络系统设计 (7)3.3.2 通信设施设计 (8)第4章云计算平台建设 (8)4.1 虚拟化资源池建设 (8)4.1.1 资源池规划 (8)4.1.2 虚拟化技术选型 (8)4.1.3 虚拟化资源池部署 (8)4.1.4 资源池优化与调整 (8)4.2 云管理平台选型与部署 (8)4.2.1 云管理平台功能需求 (8)4.2.2 云管理平台选型 (9)4.2.3 云管理平台部署 (9)4.3 云计算服务类型与配置 (9)4.3.1 计算服务 (9)4.3.2 存储服务 (9)4.3.3 网络服务 (9)4.3.4 数据库与大数据服务 (9)4.3.5 应用服务 (9)第5章数据中心网络安全 (9)5.1 安全体系架构 (9)5.1.1 物理安全 (9)5.1.2 网络安全 (10)5.1.3 主机安全 (10)5.1.4 应用安全 (10)5.2 防火墙与入侵检测系统 (10)5.2.1 防火墙 (10)5.2.2 入侵检测系统(IDS) (11)5.3 数据加密与备份 (11)5.3.1 数据加密 (11)5.3.2 数据备份 (11)第6章业务支撑系统建设 (11)6.1 OSS系统设计与部署 (11)6.1.1 系统架构设计 (11)6.1.2 系统功能模块 (11)6.1.3 系统部署策略 (12)6.2 BSS系统设计与部署 (12)6.2.1 系统架构设计 (12)6.2.2 系统功能模块 (12)6.2.3 系统部署策略 (12)6.3 业务流程优化 (12)6.3.1 业务流程梳理 (12)6.3.2 业务流程优化措施 (12)6.3.3 业务流程优化效果 (12)第7章云服务运营与维护 (12)7.1 运维管理体系构建 (12)7.1.1 组织架构 (13)7.1.2 管理制度 (13)7.1.3 运维流程 (13)7.1.4 人员培训 (13)7.2 监控与故障排查 (13)7.2.1 监控体系 (13)7.2.2 故障排查 (14)7.3 服务质量保障 (14)7.3.1 服务级别协议(SLA) (14)7.3.2 功能优化 (14)7.3.3 容灾备份 (14)7.3.4 安全防护 (14)第8章数据中心绿色节能 (14)8.1 节能技术选型与评估 (14)8.1.1 高效供电与配电技术 (15)8.1.2 服务器节能技术 (15)8.1.3 冷却系统节能技术 (15)8.1.4 存储节能技术 (15)8.1.5 节能评估指标 (15)8.2 能耗监测与优化 (15)8.2.1 能耗监测系统 (15)8.2.2 能耗数据分析 (15)8.2.3 能耗优化策略 (15)8.3 环保与可持续发展 (15)8.3.1 绿色能源应用 (15)8.3.2 废热利用 (16)8.3.3 环保材料与设备 (16)8.3.4 生态环境保护 (16)第9章项目实施与进度管理 (16)9.1 项目组织与团队建设 (16)9.1.1 项目组织架构 (16)9.1.2 团队建设 (16)9.2 项目进度计划与监控 (16)9.2.1 进度计划制定 (16)9.2.2 进度监控 (17)9.3 风险管理 (17)9.3.1 风险识别 (17)9.3.2 风险评估 (17)9.3.3 风险应对 (17)第10章案例分析与未来发展 (18)10.1 电信行业云服务成功案例 (18)10.1.1 案例一:某运营商云服务助力企业数字化转型 (18)10.1.2 案例二:某电信企业基于云服务的网络切片技术实践 (18)10.2 数据中心建设经验总结 (18)10.2.1 资源规划与选址 (18)10.2.2 技术选型与设备采购 (18)10.2.3 绿色节能与可持续发展 (18)10.3 未来发展趋势与挑战 (18)10.3.1 未来发展趋势 (18)10.3.2 面临的挑战 (19)第1章项目背景与需求分析1.1 电信行业发展趋势信息技术的飞速发展,电信行业正面临着深刻的变革。
IT云数据中心安全解决方案
区域
接入DDOS
主干防火墙
数据中心 (旁路监控)
运维管理区
办公区
型号
DP4412
大包吞吐
4Gbps(应用层吞吐, 网络层吞吐可达20G)
混合IMIX吞吐现实 (模拟现实)
4Gbps
并发
4,000,000 (用户数)
新建
洪水攻击阻截率:
10,000,000 时延:<60 micro seconds
台数
安全设备 方案
本次项目 Check Point 建议部署下一代防火墙,整合基本 防火墙功能与高级安全刀片防护功能具体参数如下:
1. 共部署6台Check Point防火墙、2台抗DDoS设备以及数据中心级Smart-1 集中 管理服务器;
2. 高级安全功能:Firewall、IDS/IPS、VPN、防病毒、防僵尸网络、安全事件集 中管理;
2
CP 13500 77 Gbps 23.6Gbps 28,000,000 178,000
2
CP 12400 25Gbps 9.1Gbps 5,000,000 110,000
1
CP 4800 CP 12400 11Gbps 25Gbps 5.8Gbps 9.1Gpbs 3,300,000 5,000,000
5
办公上网区域 安全方案
办公区域部署防火墙有效的防御本区 域的数据泄露,病毒入侵,并拦截来 自内部网络数据的异常攻击以及目前 风险最高的僵尸网络通讯流量。由于 该区域存在重要文档及资产,并且存 在诸如外来人员、外包开发等各类场 景,所以在Internet出口处需部署对 应安全防护刀片,如防病毒、防僵尸 网络、防入侵。
Cha跟n踪ge整sR个He变ivgi更ehwl操iga作hnte,dd确Ain保ppS所rmo有va细ert节CDh满aas足nhgb合eo规sar性d要求
简述云计算中心安全建设的思路
简述云计算中心安全建设的思路云计算中心是一个大规模的数据中心,托管着许多企业和个人的敏感数据和业务应用。
因此,云计算中心的安全建设至关重要,以保护存储在其中的数据免受未经授权的访问和攻击。
云计算中心安全建设的思路可以从以下几个方面展开:1. 设计安全的网络架构:云计算中心应该采用分层的网络架构,将不同的网络区域进行隔离,以防止攻击者从一个区域渗透到另一个区域。
此外,云计算中心还应该使用虚拟专用网络(VLAN)和安全隔离技术来保护不同用户之间的数据隔离。
2. 强化身份认证和访问控制:云计算中心应该使用强密码策略,并通过使用多因素身份认证(例如密码、令牌、生物特征等)来增加身份验证的安全性。
此外,还应该实施严格的访问控制策略,限制用户对敏感数据和系统的访问权限。
3. 加密数据传输和存储:云计算中心应该使用安全的传输协议(如HTTPS)来加密数据在网络传输过程中的安全性。
对于存储在云计算中心的数据,应该使用加密算法对其进行加密,以保护数据在不受授权的访问时的安全性。
4. 实施安全监控和日志记录:云计算中心应该建立完善的安全监控系统,实时监测系统和网络的安全状态,并及时发现和应对潜在的安全威胁。
此外,还应该进行详细的日志记录,以便进行安全事件的审计和调查。
5. 定期进行安全评估和演练:云计算中心应该定期进行安全评估,发现可能的漏洞和安全风险,并及时采取措施进行修复。
此外,还应该进行安全演练,以测试和验证安全响应计划的有效性。
综上所述,云计算中心安全建设需要综合考虑网络架构、身份认证、访问控制、数据加密、安全监控和日志记录等多个方面。
只有通过综合的安全措施,才能确保云计算中心的安全性,保护用户的数据和业务应用。
云数据中心建设解决方案-ppt课件精选全文
数据中心(集成)是一种环境技术,数据中心同时是一种综合性产业,
它包括温度、湿度、防尘、有害气体、电磁干扰、屏蔽、防静电、防漏水、隔热、保温、防火、美学、光学、噪声、振动等方面综合的考虑设计。
它涉及到多种专业:空调、配电、照明、自动检测与控制技术、抗干扰技术、综合布线技术、净化、消防、建筑、装潢等。
地面工程 整个机房区的地面在铺设地板之前,需作防尘、防潮处理,活动地板下的建筑面应平整、光滑并做保温防尘处理,机房内防静电地板需做等电位体,
机房装修系统
隔断工程 无框玻璃隔断,应采用槽钢、全钢结构框架。 石膏板、吸音板等隔断墙的沿地、沿顶及沿墙龙骨建筑围护结构内表面之间应衬垫弹性密封材料后固定。 竖龙骨准确定位并校正垂直后与沿地、沿顶龙骨可靠固定。 全钢防火大玻璃隔断,钢管架刷防火漆,玻璃厚度不小于12mm,无气泡。
数据中心机房等级划分
Tier I 基本
Tier II 冗余单元
Tier III 可并行维护
Tier IV 容错
可用性
99.671%
99.749%
99.982%
99.995%
每年IT 服务 中断时间
28.8小时
22.0小时
1.6小时
0.4小时
建筑类型
租用
租用
自建
自建
线路冗余
N
N+1
1主+1备
双主
面积功率(w/ft)
Private IaaS
Private PaaS
虚拟私有云
混合云
PaaS
SaaS
IaaS
私有云
自助服务 策略资源管理 扣款 能力规划
Private IaaS
Private PaaS
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据中心云安全建设方案[文档标题]2017-3-23目录1项目建设背景 (4)2云数据中心潜在安全风险分析 (4)2.1从南北到东西的安全42.2数据传输安全52.3数据存储安全52.4数据审计安全62.5云数据中心的安全风险控制策略63数据中心云安全平台建设的原则 (7)3.1标准性原则73.2成熟性原则73.3先进性原则73.4扩展性原则3.5可用性原则83.6安全性原则94数据中心云安全防护建设目标 (9)4.1建设高性能高可靠的网络安全一体的目标 (9)4.2建设以虚拟化为技术支撑的目标94.3以集中的安全服务中心应对无边界的目标 (10)4.4满足安全防护与等保合规的目标115云安全防护平台建设应具备的功能模块.. 115.1防火墙功能125.2入侵防御功能135.3负载均衡功能135.4病毒防护功能5.5安全审计146结束语 (14)1项目建设背景2云数据中心潜在安全风险分析云数据中心在效率、业务敏捷性上有明显的优势。
然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。
传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面:2.1从南北到东西的安全在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。
在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。
多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。
传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。
这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。
2.2数据传输安全通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。
在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
2.3数据存储安全数据存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。
在云数据中心模式下,云数据中心在高度整合的大容量存储空间上,开辟出一部分存储空间提供给租户使用。
但客户并不清楚自己的数据被放置在哪台服务器上;云数据中心服务商在存储资源所在国是否会存在信息安全等问题,能否确保租户数据不被泄露;同时,在这种数据存储资源共享的环境下,即使采用了安全隔离与安全资源按需部署的方式,实现云数据中心各个租户之间的有限隔离。
2.4数据审计安全在云数据中心环境下,云数据中心服务商如何在确保不对其他租户的数据计算带来风险的同时,又提供必要的信息支持,以便协助第三方机构对数据的产生进行安全性和准确性的审计,实现租户的合规性要求,也是安全建设方面需要考虑的维度。
2.5云数据中心的安全风险控制策略为了更好的消除潜在的安全风险,让更多用户享受到云数据中心服务的优点,在云环境中,如果某虚机由于某种原因中了病毒,从内部向其它虚机和外部网络发起端口扫描和DoS等攻击,缺少安全控制策略的的情况下,只能将有问题的虚机从网络中移除,让问题虚机的管理员线下解决问题后,才允许连接回网络,这样的处理方案简单粗暴,虽然隔离了攻击,但也同时断掉了问题虚机的对外服务。
对于云环境,虽然外部可能部署入侵防御设施,但可能存在这样的情况,某虚机由于弱口令之类的漏洞被远程控制,然后黑客以此虚机为跳板,再对其它虚机进行漏洞扫描和利用入侵,DoS 攻击会产生大量的会话,可能通过云管理平台发现,然而从内部发起的漏洞入侵的过程在网络层面上与正常访问无异,无法被发现,因此对于虚拟之间的安全防护一定要做到安全风险与安全事件的可控、可视、可溯源。
3数据中心云安全平台建设的原则3.1标准性原则云数据中心的云安全建设必须符合安全建设的标准,做到安全风险可控的效果,能够提供防火墙、入侵防御、防病毒、抗DDOS、负载均衡、审计、流量分析等安全资源模块,对安全资源可进行模块化选择,基于不同的租户选择不同的安全策略服务;对有安全管理需求的,必须提供独立的安全策略管理界面,方便租户进行按需的安全策略部署。
3.2成熟性原则应支持主流的虚拟化技术且安全可控,可根据业务需要进行灵活定制开发与功能扩展,在选择云安全建设的提供方,需具备相关的云安全应用案例与成熟配套的解决方案。
3.3先进性原则在实用和安全的基础上,平台设计要有一定的前瞻性,必须考虑应用和需求的发展以及技术的进步,从而确保系统具备可持续发展能力。
云安全平台需支持虚拟化技术,能够将安全资源模块,进行虚拟化部署,形成安全资源池,将安全资源与数据中心的虚机业务深度融合,实现东西向的流量防护,主要安全设备需支持TRILL、VxLAN、OpenFlow等标准化协议,具备国际标准的SDN功能,兼容第三方标准的SDN控制系统,能够与其他软硬件系统配合使用。
3.4扩展性原则考虑到未来发展的需要,云安全平台必须具备高扩展性,能在不影响现有业务正常使用的情况下平滑扩展。
本次建设完成后,随着业务需求的增长,后期可单独扩展对应的安全资源,使得性能与容量都呈线性上升,并保证设备可以充分利旧。
3.5可用性原则需通过对安全资源,例如防火墙、入侵防御、防病毒、VPN、负载均衡、流量分析、审计等安全资源模块,实现简化管理、高效运维的目的。
云安全平台能提供丰富的监控管理界面与工具,实现统一管理,所有的安全日志统一收集、展示、存储。
3.6安全性原则云安全设备选型需符合国家分保技术要求,系统安全可靠,建立完善的冗余备份和安全防范体系,保障平台高可靠和端到端的安全,具有多重安全防护,无单一崩溃点,应急手段丰富。
4数据中心云安全防护建设目标4.1建设高性能高可靠的网络安全一体的目标为了应对云数据中心环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。
在现阶段多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的10GE甚至100G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云数据中心的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。
4.2建设以虚拟化为技术支撑的目标目前,虚拟化已经成为云数据中心服务商提供“按需服务”的关键技术手段,包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。
安全无论是作为基础的网络架构,还是基于安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。
从网络基础架构的角度(如状态防火墙的安全隔离和访问控制),需要考虑支持虚拟化的防火墙,不同用户可以基于VLAN等映射到不同的虚拟化实例中,每个虚拟化实例具备独立的安全控制策略,以及独立的管理职能。
4.3以集中的安全服务中心应对无边界的目标和传统的安全建设模型强调边界防护不同,存储计算等资源的高度整合,使得不同的租户用户在申请云数据中心服务时,只能实现基于逻辑的划分隔离,不存在物理上的安全边界。
在这种情况下,已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。
因此安全服务部署应该从原来的基于各子系统的安全防护,转移到基于整个云数据中心网络的安全防护,建设集中的安全服务中心,以适应这种逻辑隔离的物理模型。
云数据中心服务商或租户私有云管理员可以将需要进行安全服务的用户流量,通过合理的技术手段引入到集中的安全服务中心,完成安全服务后再返回到原有的转发路径。
这种集中的安全服务中心,既可以实现用户安全服务的单独配置提供,又能有效的节约建设投资,考虑在一定收敛比的基础上提供安全服务能力。
4.4满足安全防护与等保合规的目标云数据中心的应用带来了极大的便利,在降低采购、运维等成本的同时,极大的提升了系统的效率,简化了管理,并使得应用具有了非常简便的弹性扩展的能力。
但是,云计算也模糊了安全的边界,使得传统的信息安全防护手段不再适用。
事实上,信息安全问题已经成为企业用户使用云资源的主要障碍,因此安全防护应为云建设的重中之重。
安全防护需求又可以细分为云基础架构的安全防护以及租户自身的安全防护。
同时信息安全等级保护制度作为我国信息安全建设的基本国策,是必须要满足的。
按照等保定级指南进行评估,一般的云数据中心至少应该达到等保三级的要求。
5云安全防护平台建设应具备的功能模块云安全系统平台需支持按需提供各种安全服务,并支持安全管理模块的虚拟化功能,能够为不同的业务及租户之间提供独立的管理操作界面。
各项安全服务应全部支持安全虚拟化功能,可提供定制化的业务处理流程,各虚拟系统之间转发平面隔离,一个虚拟系统资源耗尽不影响其他虚拟系统正常运行,且逻辑隔离,确保各虚拟系统内部业务的数据安全。
虚拟化安全设备应具有以下的安全功能:5.1防火墙功能需提供基于物理硬件的防火墙和安全隔离与访问控制功能,实现按照租户和各类业务的重要性、应用对象的不同,在基础资源虚拟化平台内部不同业务之间进行安全隔离管控。
1)端口级访问控制:可对不同安全域间的数据包进行管控,可实时监控数据包的状态,可制定基于IP、端口、出入接口、数据流方向的控制策略,实现通过防火墙的数据流的安全控制。
2)支持安全域划分、访问隔离、攻击防范、NAT、IPSec/SSL/PPTP/L2TP VPN等功能;支持静态路由、RIP、OSPF、BGP、ISIS、MPLS、PBR 等IPv4单播路由协议,支持IGMP、PIM、MSDP 等IPv4组播路由协议。
3)内容过滤策略:设置基于HTTP、SMTP、FTP、TELNET、SMTP、POP3等协议的过滤,控制级别到命令级别,针对邮件进行主题、正文、收发件人、附件名等的过滤。