关于云计算数据中心的安全防护,CSA云安全联盟在《云计算关键领域建设指南》中一共提出8条建议,其中与网络安全相关的安全风险建议有4条:
1、云服务提供商提供获得承诺或授权进行客户方或外部第三方审计的权利;
2、云服务提供商技术架构和基础设施如何满足服务水平SLA的能力;
3、云服务提供商为了符合安全要求,必须能够展示系统、数据、网络、管理、部署和人员方面的全方位相互“隔离”;
4、云服务提供商在业务发生波动时调动资源提供系统可用性和性能。
分区规划
分区规划,就是在网络中存在不同价值和易受攻击程度不同的应用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信任模型,将网络划分为不同区域,以满足以下需求。
根据上述需求,一般情况下,数据中心网络划分为以下的分区:
核心区:提供各分区模块互联
外联业务区:企业对外业务、互联网业务部署区
Intranet区: 企业内部业务系统部署区域
测试区:企业新应用上线测试区
运营管理区 :企业IT运营中心
集成区: 企业应用系统之间信息交换区域、信息共享区域
存储区: 企业数据存储专区
容灾备份区: 提供企业容灾、业务一致性
分层部署
在分区基础上,按照全面的安全防护部署要求,在每个区域的边界处,根据实际情况进行相应的安全需求部署,一般的安全部署包括,防DDoS攻击、流量分析与控制,异构多重防火墙、VPN、入侵防御以及负载均衡等需求。
