探讨云计算数据中心的安全部署提供博天堂官网,澳门美高梅等产品欢迎广大客户前来洽谈业务合作

澳门美高梅

首页 > 产品中心 > 探讨云计算数据中心的安全部署

探讨云计算数据中心的安全部署

来源:博天堂官网 | 时间:2018-11-29

  关于云计算数据中心的安全防护,CSA云安全联盟在《云计算关键领域建设指南》中一共提出8条建议,其中与网络安全相关的安全风险建议有4条:

  如何去实现上述网络安全防护的具体部署,各个云计算服务和基础设施提供商,根据自己的建设方案要求和擅长出发,提出了相应安全解决方案,以此来达到相关的要求。我们从传统的数据中心安全建设出发,向云数据中心迁移中,结合云计算建设和风险建议原则,探讨云计算数据中心的安全部署。

  分区规划,就是在网络中存在不同价值和易受攻击程度不同的应用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信任模型,将网络划分为不同区域,以满足以下需求。

  业务需求:以逻辑或数据中心物理区域进行业务规划,有助于业务在企业的开展与管理, 同一业务划分在一个安全域内。

  数据流:根据数据流特征进行分区规划,尽量使得数据中心业务流流向可控、同一区域相似性强、流量可监测,便于对数据流进行安全审计和访问控制。

  应用的逻辑功能:不同应用的部署方式有区别,对网络配置需求不同,按应用逻辑特点进行分区模块化,便于维护管理差异性应用,安全等级一致的应用逻辑可以在安全域上进行归并。

  在分区基础上,按照全面的安全防护部署要求,在每个区域的边界处,根据实际情况进行相应的安全需求部署,一般的安全部署包括,防DDoS攻击、流量分析与控制,异构多重防火墙、VPN、入侵防御以及负载均衡等需求。

  值得一提的是,在业务的部署过程中,由于设备的功能独立性,往往需要进行糖葫芦串式的部署(如下图左所示),这种部署方式往往会增加部署的复杂性,同时架构的可靠性也大大降低,为此,一些厂商提出网络安全融合方案,可以将独立设备组网简化为网络安全的集成业务,大大简化设计和优化管理(如下图右所示)。

  较传统数据中心,云计算的基础数据中心建设无明显差别,同样需要分区标准化、模块化部署,一般都采用旁挂核心或者汇聚交换机的部署。考虑到云计算的特点,其最大需求是实现计算、存储等IT资源灵活调度,让资源得到最充分利用,而实现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供服务。在这种模式下,数据中心建设出现了新的需求。

  较传统网络,云计算网络的流量模型发生了两个变化:一、从外部到内部的纵向流量加大;二、云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高的吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力,具体体现在以下两个方面:

  参照云计算数据中心对于核心交换机设备的要求,即必须具备高密度的10G接口提供能力,安全设备接入数据中心,也必须以万兆级接入、万兆级性能处理为基础,并且要具备根据业务需求灵活扩展的能力;

  随着服务器的虚拟化及多租户业务部署,云计算环境下的网络流量无序突发冲击会越来越严重,为保证云计算服务的服务质量,安全设备必须具备突发流量时的处理能力,尤其一些对延迟要求严格的业务。

  在具体的设备选择上,数据中心的防火墙可以选择独立的设备形态,也可以部署多个Sec blade插卡来做性能扩展。在需要部署高性能防火墙时,可以在交换机部署多个插卡实现性能扩展,并可以实现比多台同等性能的独立设备组合节能50%以上。

  虚拟资源池化是IT资源发展的重要趋势,可以极大程度提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势,对应的云计算数据中心的防火墙、负载均衡等安全控制设备,也必须支持虚拟化能力,像计算和存储、网络一样能按需提供服务。以防火墙为例,防火墙的虚拟化使用一般应用三种场景。

  1、 一般性应用:不启用虚拟防火墙:设备根据应用类型,按照业务将防火墙划分成多个安全域,再根据应用的隔离互访要求,实现域间安全控制。

  2、 VPN组网环境下,启用虚拟防火墙,映射到VRF实现转发隔离:要实现对多个业务VPN的独立安全策略部署,一种方式是采用多台物理防火墙,另外一种是采用虚拟防火墙技术,将一台物理设备基于虚拟设备资源划分,并实现关键特性的多实例配置(如NAT多实例),从而实现不同VPN下的不同转发和控制策略。

  3、 多租户应用环境(云计算服务提供商 ):每个虚拟设备具备独立的管理员权限,可以随时监控、调整策略的配置实现情况;多个虚拟设备的管理员可以同时操作。设备具备多个配置文件,允许每个虚拟设备的配置可以独立保存,虚拟设备日志可以独立管理。将一台安全设备虚拟成多台安全设备(如防火墙),分配给不同业务系统使用,并且各业务系统可以自主管理各自的虚拟设备,配置各自的安全策略,保证业务系统之间的安全隔离,此时的防火墙作为资源池方式部署在数据中心,与网络、服务器和存储一起实现云计算中心端到端的虚拟化资源池。

  与传统的安全防护不同,虚拟机环境下,同台物理服务器虚拟成多台VM以后,VM之间的流量交换基于服务器内部的虚拟交换,管理员对于该部分流量既不可控也不可见,但实际上根据需要,不同的VM之间需要划分到不同的安全域,进行隔离和访问控制。

  要解决虚拟化内部之间的安全防护,可通过EVB协议(如VEPA协议)将虚拟机内部的不同VM之间网络流量全部交由与服务器相连的物理交换机进行处理,这将使得安全部署变得同传统边界防护一样简单。

  需要重点提出,云计算中对于云计算数据中心内服务器/虚拟机的网关选择问题,一般有两种方案(如图所示)。

  方案1可以实现租户内不同服务器(如Web、APP、DB)的安全域隔离,也可以实现租户间的安全隔离。由于防火墙为众多流量的控制点,因此要求它具有较高的转发性能。

  方案2只能实现不同租户间的安全隔离,无法在防火墙上实现租户内的不同服务器安全域隔离,对于同一租户内的不同服务器访问控制,只能依靠接入交换机(DC Acc)上的ACL来实现。由于网关在交换机上,所以转发性能较高。

  可见,方案一要求防火墙具备非常高的转发性能,方案二转发性能高,但无法满足安全隔离控制要求。因此,对于云计算数据中心服务网关的选择上,建议根据不同租户的安全需求进行区分对待,分散防火墙的压力,同时满足租户内的安全域隔离,具体原则如下:

  云计算数据中心网络安全部署仅仅是云基础架构中基本的建设环节,要保证云计算中心的安全,还要考虑数据加密、备份,信息的认证授权访问以及法律、法规合规性要求,只有全面的进行规划,才能建立全面、完善的云数据中心安全综合防御体系。

  声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电线;邮箱:。本站原创内容未经允许不得转载,或转载时需注明出处:西部数码新闻资讯门户探讨云计算数据中心的安全部署

  本站接受比特币、P2P、大数据、云计算、互联网+相关优质新闻、爆料投稿,立即投稿>

  本站接受比特币、P2P、大数据、云计算、互联网+相关优质新闻、爆料投稿,立即投稿

  为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

  西部数码旗下新闻资讯频道,为您提提供域名,区块链,大数据,云计算,虚拟主机,域名交易,比特币,P2P等领域及时、客观的资讯报道!

相关www.9599116.com

  • 无相关信息
首页 > 产品中心 > 探讨云计算数据中心的安全部署