首頁 - 解決方案 - 網絡綜合解決方案

網絡綜合解決方案

1. 數據中心設計原則
依據數據中心網絡安全建設和改造需求,數據中心方案設計將遵循以下原則:
1.1 網絡適應雲環境原則
網絡的設計要在業務需求的基礎上,屏蔽基礎網絡差異,實現網絡資源的池化;根據業務自動按需分配網絡資源,有效增強業務係統的靈活性、安全性,降低業務係統部署實施周期和運維成本。
1.2 高安全強度原則
安全係統應基於等保要求和實際業務需求,部署較為完備的安全防護策略,防止對核心業務係統的非法訪問,保護數據的安全傳輸與存儲,設計完善的麵向全網的統一安全防護體係。同時,應充分考慮訪問流量大、業務豐富、麵向公眾及虛擬化環境下的安全防護需求,合理設計雲計算環境內安全隔離、監測和審計的方案,提出雲計算環境安全解決思路。

1.3 追求架構先進,可靠性強原則 設計中所采用的網絡技術架構,需要放眼長遠,采用先進的網絡技術,順應當前雲網絡發展方向,使係統建設具有較長的生命周期,順應業務的長遠發展。同時保證網絡係統的可靠性,實現關鍵業務的雙活需求。同時,應為設備和鏈路提供冗餘備份,有效降低故障率,縮短故障修複時間。

2. 雲計算環境下的安全設計
隨著目前大量服務區虛擬化技術的應用和雲計算技術的普及,在雲計算環境下的安全部署日益成為關注的重點問題,也關係到未來數據中心發展趨勢。在本設計方案中,建議采用高性能網絡安全設備和靈活的虛擬軟件安全網關(NFV 網絡功能虛擬化)產品組合來進行數據中心雲安全設計。在滿足多業務的安全需求時,一方麵可以通過建設高性能、高可靠、虛擬化的硬件安全資源池,同時集成FW/IPS/LB等多種業務引擎,每個業務可以靈活定義其需要的安全服務類型並通過雲管理員分配相應的安全資源,實現對業務流量的安全隔離和防護;另一方麵,針對業務主機側的安全問題,可以通過虛擬軟件安全網關實現對主機的安全防護,每個業務可以針對自身擁有的服務器計算資源進行相應的安全防護和加固的工作。其部署示意圖如下所示:

3. 雲計算環境下數據安全防護手段建議
基於以上雲計算環境下的數據安全風險分析,在雲計算安全的建設過程中,需要針對這些安全風險采取有針對性的措施進行防護。
3.1 用戶自助服務管理平台的訪問安全
用戶需要登錄到雲服務管理平台進行自身的管理操作設置,如基礎的安全防護策略設置,針對關鍵服務器的訪問權限控製設置,用戶身份認證加密協議配置,虛擬機的資源配置、管理員權限配置及日誌配置的自動化等等。這些部署流程應該被遷移到自服務模型並為用戶所利用。在這種情況下,雲服務管理者本身需要對租戶的這種自服務操作進行用戶身份認證確認,用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關鍵安全事件的日誌記錄以便後續可以進行問題跟蹤溯源。
3.2 服務器虛擬化的安全
在服務器虛擬化的過程中,單台的物理服務器本身可能被虛化成多個虛擬機並提供給多個不同的租戶,這些虛擬機可以認為是共享的基礎設施,部分組件如CPU、緩存等對於該係統的使用者而言並不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導致整個物理服務器的全部虛擬機不能正常工作,同時,針對全部虛擬機的管理平台,一旦管理軟件的安全漏洞被利用將可能導致整個雲計算的服務器資源被攻擊從而造成雲計算環境的癱瘓。針對這類型公用基礎設施的安全需要部署防護。
3.3 內部人員的安全培訓和行為審計
為了保證用戶的數據安全,雲服務管理者必須要對用戶的數據安全進行相應的SLA保證。同時必須在技術和製度兩個角度對內部數據操作人員進行安全培訓。一方麵通過製定嚴格的安全製度要求內部人員恪守用戶數據安全,另一方麵,需要通過技術手段,將內部人員的安全操作日誌、安全事件日誌、修改管理日誌、用戶授權訪問日誌等進行持續的安全監控,確保安全事件發生後可以做到有跡可尋。

Copyright@ 2018 上海AG街機電玩貿易有限公司 www.ciconn.com 版權所有 滬ICP備17006509號