如何去实现上述网络安全防护的具体部署,各个云计算服务和基础设施提供商,根据自己的建设方案要求和擅长出发,提出了相应安全解决方案,以此来达到相关的要求。我们从传统的数据中心安全建设出发,向云数据中心迁移中,结合云计算建设和风险建议原则,探讨云计算数据中心的安全部署。
1 传统数据中心的安全建设模型
分区规划,就是在网络中存在不同价值和易受攻击程度不同的应用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信任模型,将网络划分为不同区域,以满足以下需求。
业务需求:以逻辑或数据中心物理区域进行业务规划,有助于业务在企业的开展与管理, 同一业务划分在一个安全域内。
数据流:根据数据流特征进行分区规划,尽量使得数据中心业务流流向可控、同一区域相似性强、流量可监测,便于对数据流进行安全审计和访问控制。
应用的逻辑功能:不同应用的部署方式有区别,对网络配置需求不同,按应用逻辑特点进行分区模块化,便于维护管理差异性应用,安全等级一致的应用逻辑可以在安全域上进行归并。
2 云计算数据中心的安全建设模型
较传统网络,云计算数据中心网络的流量模型发生了两个变化:一、从外部到内部的纵向流量加大;二、云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高的吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力,具体体现在以下两个方面:
参照云计算数据中心对于核心交换机设备的要求,即必须具备高密度的10G接口提供能力,安全设备接入数据中心,也必须以万兆级接入、万兆级性能处理为基础,并且要具备根据业务需求灵活扩展的能力;
3 虚拟化
虚拟资源池化是IT资源发展的重要趋势,可以极大程度提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势,对应的云计算数据中心的防火墙、负载均衡等安全控制设备,也必须支持虚拟化能力,像计算和存储、网络一样能按需提供服务。以防火墙为例,防火墙的虚拟化使用一般应用三种场景。
与传统的安全防护不同,虚拟机环境下,同台物理服务器虚拟成多台VM以后,VM之间的流量交换基于服务器内部的虚拟交换,管理员对于该部分流量既不可控也不可见,但实际上根据需要,不同的VM之间需要划分到不同的安全域,进行隔离和访问控制。
