我的世界服务器论坛:关于云计算数据中心的安全防护,CSA云安全联盟

发布于: 2021-08-06 09:56

有关云计算数据中心的安全防范,CSA云网站安全检测在《云计算重要行业基本建设手册》中一共明确提出8条提议,在其中与网络信息安全有关的安全隐患提议有4条:
如何去完成以上网络信息安全安全防护的实际部署,每个云计算服务项目和基础设施建设服务提供商,依据自身的建设规划规定和善于考虑,明确提出了相对应安全性解决方法,为此来做到有关的规定。大家从传统式的数据中心安全性基本建设考虑,向云数据中心转移中,融合云计算基本建设和风险性提议标准,讨论云计算数据中心的安全性部署。
1 传统式数据中心的安全性基本建设实体模型
传统式数据中心安全性部署的一般关键构思是:总体规划、分层次部署。
1.1 总体规划
总体规划,便是在互联网中存有不一样使用价值和易受攻击水平不一样的运用或业务流程模块,依照这种运用或业务流程模块的状况制订不一样的安全设置和信赖实体模型,将互联网区划为不一样地区,以达到下列要求。
依据上述要求,一般状况下,数据中心互联网区划为下列的系统分区:
1.2 分层次部署
在系统分区基本上,依照全方位的安全防范部署规定,在每一个地区的界限处,依据具体情况开展相对应的安全性要求部署,一般的安全性部署包含,防ddos攻击、流量统计与操纵,对映异构多种防火墙、VPN、侵入防御力及其web服务等要求。
值得一提的是,在业务流程的部署全过程中,因为设备的作用自觉性,通常必须 开展冰糖葫芦串式的部署(如下图左所显示),这类部署方法通常会提升部署的多元性,与此同时构架的稳定性也大幅度降低,因此,一些生产商明确提出网络信息安全结合计划方案,能够将单独设备组网方案简单化为网络信息安全的集成化业务流程,大大简化设计方案和提升管理方法(如下图右所显示)。
2 云计算数据中心的安全性基本建设实体模型
较传统式数据中心,云计算的基本数据中心基本建设无显著区别,一样必须 系统分区规范化、模块化设计部署,一般都选用旁挂关键或是汇聚交换机的部署。充分考虑云计算的特性,其较大 要求是完成测算、储存等IT資源灵便生产调度,让資源获得最灵活运用,而完成这一要求的基本是以数据中心的虚拟机做为关键的云计算服务器为顾客给予服务项目。在这类方式下,数据中心基本建设发生了新的要求。
2.1 性能卓越规定
较传统式互联网,云计算互联网的总流量实体模型发生了2个转变:一、从外界到內部的竖向总流量增加;二、云业务流程內部虚拟机中间的横着总流量增加。为确保将来业务流程进行,全部云计算数据中心务必具备高的吞吐量和解决工作能力,在数据信息分享和操纵的每个连接点上不可以存有堵塞,与此同时具有突发性总流量的承受力,实际反映在下列2个层面:
在实际的设备挑选上,数据中心的防火墙能够挑选单独的设备形状,还可以部署好几个Sec blade装卡来做特性拓展。在必须 部署性能卓越防火墙时,能够在网络交换机部署好几个装卡完成特性拓展,并能够完成比几台同样特性的单独设备组成环保节能50%之上。
2.2 虚拟化
虚拟資源池化是IT資源发展趋势的关键发展趋势,能够巨大水平提升資源使用率,减少经营成本。现阶段网络服务器、储存器的虚拟資源池化技术性早已日趋完善,互联网设备的虚拟資源池化也早已变成发展趋势,相匹配的云计算数据中心的防火墙、web服务等安全管理设备,也务必适用虚拟化工作能力,像测算和储存、互联网一样能按需给予服务项目。以防火墙为例子,防火墙的虚拟化应用一般运用三种情景。
1、 一般性运用:不开启虚拟防火墙:设备依据运用种类,依照业务流程将防火墙区划成好几个网络虚拟化,再依据运用的防护互相访问规定,完成域间安全管理。
2、 VPN组网方案自然环境下,开启虚拟防火墙,投射到VRF完成分享防护:要完成对好几个业务流程VPN的单独安全设置部署,一种方法是选用几台物理学防火墙,此外一种是选用虚拟防火墙技术性,将一台物理学设备根据虚拟设备資源区划,并完成重要特点的多案例配备(如NAT多案例),进而完成不一样VPN下的不一样分享和控制方法。
3、 多租户应用场景(云计算服务供应商 ):每一个虚拟设备具有单独的访问权限,能够随时随地监管、调节对策的配备完成状况;好几个虚拟设备的管理人员能够与此同时实际操作。设备具有好几个环境变量,容许每一个虚拟设备的配备能够单独储存,虚拟设备日志能够单独管理方法。将一台安全性设备虚拟成几台安全性设备(如防火墙),分派给不一样业务管理系统应用,而且各业务管理系统能够自主管理分别的虚拟设备,配备分别的安全设置,确保业务管理系统中间的安全性防护,这时的防火墙做为资源池方法部署在数据中心,与互联网、网络服务器和储存一起完成云计算管理中心端到端的虚拟化资源池。
2.3 VM中间安全防范要求
与传统式的安全防范不一样,虚拟机自然环境下,同场物理服务器虚拟成几台VM之后,VM中间的流量交换根据网络服务器內部的虚拟互换,管理人员针对该一部分总流量既不可控性都不由此可见,但事实上依据必须 ,不一样的VM中间必须 区划到不一样的网络虚拟化,开展防护和密钥管理。
要处理虚拟化內部中间的安全防范,可根据EVB协议书(如VEPA协议书)将虚拟机內部的不一样VM中间数据流量所有交给与网络服务器相接的物理学网络交换机开展解决,这将促使安全性部署越来越同传统式界限安全防护一样简易。
必须 关键明确提出,云计算中针对云计算数据中心内网络服务器/虚拟机的网关ip选择问题,一般有二种计划方案(如下图所示)。
由此可见,计划方案一规定防火墙具有十分高的分享特性,计划方案二分享特性高,但不能满足安全性防护操纵规定。因而,针对云计算数据中心服务项目网关ip的挑选上,提议依据不一样租赁户的安全性要求开展区别看待,分散化防火墙的工作压力,与此同时达到租赁户内的网络虚拟化防护,实际标准以下:
结语
云计算数据中心网络信息安全部署只是是云系统架构中基本上的基本建设阶段,要确保云计算管理中心的安全性,还需要考虑到数据库加密、备份数据,信息内容的验证受权浏览及其法律法规、政策法规合规规定,仅有全方位的开展整体规划,才可以创建全方位、健全的云数据中心安全性综合性防御力管理体系。

原文链接:,转发请注明来源!
评论已关闭。