云计算数据中心网络安全防护部署

　　关于云计算数据中心的安全防护，CSA(Cloud Security Alliance，云安全联盟)在《云计算关键领域建设指南》的D7中一共提出8条建议，其中与网络安全相关的安全风险建议有4条：

　　· 云服务提供商提供获得承诺或授权进行客户方或外部第三方审计的权利;

　　· 云服务提供商技术架构和基础设施如何满足服务水平SLA的能力;

　　· 云服务提供商为了符合安全要求，必须能够展示系统、数据、网络、管理、部署和人员方面的全方位相互“隔离”;

　　· 云服务提供商在业务发生波动时调动资源提供系统可用性和性能。

　　如何去实现上述网络安全防护的具体部署，各个云计算服务和基础设施提供商，根据自己的建设方案要求和擅长出发，提出了相应安全解决方案，以此来达到相关的要求。我们从传统的数据中心安全建设出发，向云数据中心迁移中，结合云计算建设和风险建议原则，探讨云计算数据中心的安全部署。

　　1 传统数据中心的安全建设模型

　　传统数据中心安全部署的一般核心思路是：分区规划、分层部署。

　　1.1 分区规划

　　分区规划，就是在网络中存在不同价值和易受攻击程度不同的应用或业务单元，按照这些应用或业务单元的情况制定不同的安全策略和信任模型，将网络划分为不同区域，以满足以下需求。

　　· 业务需求：以逻辑或数据中心物理区域进行业务规划，有助于业务在企业的开展与管理, 同一业务划分在一个安全域内。

　　· 数据流：根据数据流特征进行分区规划，尽量使得数据中心业务流流向可控、同一区域相似性强、流量可监测，便于对数据流进行安全审计和访问控制。

　　· 应用的逻辑功能：不同应用的部署方式有区别，对网络配置需求不同，按应用逻辑特点进行分区模块化，便于维护管理差异性应用，安全等级一致的应用逻辑可以在安全域上进行归并。

　　· IT安全的需求：数据中心分区，有助于区域的统一安全要求标准化管理。

　　根据上述需求，一般情况下，数据中心网络划分为以下的分区(如图1所示)：

　　• 核心区：提供各分区模块互联

　　• 外联业务区：企业对外业务、互联网业务部署区

　　• Intranet区： 企业内部业务系统部署区域

　　• 测试区：企业新应用上线测试区

　　• 运营管理区 ：企业IT运营中心

　　• 集成区： 企业应用系统之间信息交换区域、信息共享区域

　　• 存储区： 企业数据存储专区

　　• 容灾备份区： 提供企业容灾、业务一致性

　　图1 数据中心分区图

　　1.2 分层部署

　　在分区基础上，按照全面的安全防护部署要求，在每个区域的边界处，根据实际情况进行相应的安全需求部署，一般的安全部署包括，防DDoS攻击、流量分析与控制，异构多重防火墙、VPN、入侵防御以及负载均衡等需求。

　　值得一提的是，在业务的部署过程中，由于设备的功能独立性，往往需要进行糖葫芦串式的部署(如图2左所示)，这种部署方式往往会增加部署的复杂性，同时架构的可靠性也大大降低，为此，一些厂商提出网络安全融合方案，可以将独立设备组网简化为网络安全的集成业务，大大简化设计和优化管理(如图2右所示)。

　　图2独立设备与集成部署对比图