構(gòu)建安全的云計算平臺

安全的云計算平臺新致云田奎?概述?云平臺基礎(chǔ)架構(gòu)安全?云用戶數(shù)據(jù)安全?云平臺運(yùn)營管理安全?云平臺安全實踐接受程度的增加和云計算商業(yè)模式的成熟，越來越多的個人和企業(yè)都開始使用云。移動、大數(shù)據(jù)、物聯(lián)接受程度的增加和云計算商業(yè)模式的成熟，越來越多的個人和企業(yè)都開始使用云。移動、大數(shù)據(jù)、物聯(lián)網(wǎng)、社交等應(yīng)用類的發(fā)展帶動云發(fā)展的同時也給云帶來了安全方面的巨大挑戰(zhàn)。云計算相對于傳統(tǒng)的計算，使用模式發(fā)生了革命性的變化，安全也1面更大，目標(biāo)價值更高，影響面更廣。因此對于安全防范也面臨新的計算安全、網(wǎng)絡(luò)安全、威脅分析、防護(hù)探討等一系列?云平臺整體架構(gòu)安全?云平臺整體架構(gòu)安全虛擬化安全2?云平臺體架構(gòu)安全既包括云平臺物理架構(gòu)的安全，也包含云平臺虛在物理網(wǎng)絡(luò)架構(gòu)安全設(shè)計中要包含防范各種各樣的威脅，如病毒，木馬，一宿主機(jī)上的虛機(jī)之間的安全訪問，這就要借用虛擬防火墻。在云平臺虛擬架構(gòu)的安全設(shè)計中，我們將網(wǎng)絡(luò)安全設(shè)備資源池化，形成一個資源池，在地方調(diào)用合適的安全資源。且這種安全設(shè)備資源池化后，具有架構(gòu)臺安全防Ddos安全設(shè)計臺安全MMMMMM可信管理數(shù)據(jù)管理CORESWCORESWRouterRouterTORTORitch務(wù)器RouterRouterWANMMRouterTORitchnFlowNetconf網(wǎng)絡(luò)管理控制中心MMMMMM可信管理數(shù)據(jù)管理CORESWCORESWRouterRouterTORTORitch務(wù)器RouterRouterWANMMRouterTORitchnFlowNetconf網(wǎng)絡(luò)管理控制中心的網(wǎng)絡(luò)構(gòu)架VMVMPlug-in北流量管理西流量管理VXLANVTEP北流量管理西流量管理VXLANVTEPGW統(tǒng)一管理LANNetworkOVSDBLANNetworkOVSDBM網(wǎng)絡(luò)平臺安全云平臺整體架構(gòu)安全-DDOS指借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊者控制多臺傀儡機(jī)從世界各地向攻擊目標(biāo)發(fā)動攻擊，其實攻擊的是我們在各個數(shù)據(jù)中心部署的CDN網(wǎng)絡(luò),CDN中的流量檢測設(shè)備檢測到后，送流量清洗流量清洗云平臺整體架構(gòu)安全-DDOS攻擊數(shù)據(jù)中心安全防護(hù)Anti-DDOSAnti-DDOSVMevxlangatewayevxlangatewayVxlan網(wǎng)絡(luò) Anti-DDOSAnti-DDOSVMevxlangatewayevxlangatewayVxlan網(wǎng)絡(luò) VTEPVMVMVMHypervisorVMVTEPVM2VM3Hypervisor物理硬件設(shè)備(網(wǎng)絡(luò)平臺安全gatewayPSvWAFvAudit，多臺虛擬機(jī)共享使用物理主機(jī)的儲安全虛擬機(jī)鏡像無論在靜止還是運(yùn)行狀態(tài)都有被竊取或篡改脆弱漏洞。對應(yīng)的解決方案是在任何時候?qū)μ摂M機(jī)鏡像進(jìn)行加密和邏輯鏡像隔離。虛擬化對網(wǎng)絡(luò)安全帶來巨大的威脅，虛擬機(jī)間可能通過內(nèi)存而不是網(wǎng)行通訊，因此這些通訊流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的。安全安全CPUCPU虛擬化安全性保證安全性保證虛擬化安全--CPU虛擬化安全性保證cpu虛擬化安全：統(tǒng)的軟件輔助虛擬化使用優(yōu)先級壓進(jìn)制代碼翻譯相結(jié)合的方式來實虛擬化，但這種方式存在虛擬化2.基于intelVT-x硬件虛擬化的技術(shù)，對cpu的指令進(jìn)行擴(kuò)展，對指令的優(yōu)先root模式和非非root模式，當(dāng)執(zhí)行敏感指令時被Hypervisor截獲，能化安全--內(nèi)存虛擬化安全性保證虛擬機(jī)運(yùn)行時用到三種內(nèi)存地址：主機(jī)物理地址。擬機(jī)的虛擬地址和虛擬機(jī)物理地址是由虛擬機(jī)操作系統(tǒng)完成的，擬機(jī)物理地址和主機(jī)物理地址轉(zhuǎn)換面能夠限制vm只訪問分配到的。全--存儲虛擬化安全性保證存儲的映射和磁盤數(shù)據(jù)加密的基1.Hypervisor實現(xiàn)對不同虛擬機(jī)的邏輯2.分布式存儲實現(xiàn)一份數(shù)據(jù)保存多份，布式存儲實現(xiàn)所有數(shù)據(jù)故障的檢測數(shù)據(jù)加密管理VMVMn數(shù)據(jù)隔離Hypervisor分布式存儲scsi-driverVMPlug-inVM1VM2bridgebridgebridgeovsbr-intpatch-tunpatch-intvethovsbr-tunVM1VM2bridgebridgebridgeovsbr-intpatch-tunpatch-intvethovsbr-tun安全--網(wǎng)絡(luò)虛擬化安全性保證VM1vethVM1vethHypervisor不同的vlan網(wǎng)絡(luò)：管，所有的虛擬機(jī)數(shù)據(jù)在沒有流Hypervisor絡(luò)數(shù)據(jù)加n云用戶數(shù)據(jù)安全 3雖然傳統(tǒng)的數(shù)據(jù)中心的安全仍然適用于云環(huán)境，物理隔離和基于硬件的安全不能保護(hù)防止在同一服務(wù)器上虛擬機(jī)之間的攻擊。管理訪問是通過互聯(lián)網(wǎng)，而不是傳統(tǒng)數(shù)據(jù)中心模式中所堅持的受控制的和限制的直接連接或到現(xiàn)場的連接。這增加了風(fēng)險和暴露，將需要對系統(tǒng)控制和訪問控制限制的變化進(jìn)行嚴(yán)密監(jiān)控。隔離VMVM租戶1OpenStack對虛擬網(wǎng)絡(luò)進(jìn)行邏輯抽象vRouter層網(wǎng)關(guān)③Subnet代表某個子網(wǎng)網(wǎng)段④網(wǎng)絡(luò)服務(wù)功能，為每個租戶⑤租戶之間相互隔離，互不干擾WvRoutervFWvLBVMVM租戶2ExternalNetworkvRoutervFWvLBW租戶3WEB,Network(VXLAN7),subnetVMVMVMvVMVM租戶1OpenStack對虛擬網(wǎng)絡(luò)進(jìn)行邏輯抽象vRouter層網(wǎng)關(guān)③Subnet代表某個子網(wǎng)網(wǎng)段④網(wǎng)絡(luò)服務(wù)功能，為每個租戶⑤租戶之間相互隔離，互不干擾WvRoutervFWvLBVMVM租戶2ExternalNetworkvRoutervFWvLBW租戶3WEB,Network(VXLAN7),subnetVMVMVMvRoutervFWvIPSvLBDB,Network(VXLAN9),subnetAPP,Network(VXLAN8),subnetAPP,Network(VXLAN2),subnetVMDB,Network(VXLAN3),subnetVMAPP,Network(VXLAN5),subnetDB,Network(VXLAN6),subnet租戶邏輯隔離的安全網(wǎng)絡(luò)WEB,Network(VXLAN1),subnetvIPSvIPSWEB,Network(VXLAN4),subnetvIPSvIPS、使用、使用虛擬卷每一個物理Bit位清"零"數(shù)據(jù)存儲安全對銷戶虛擬卷采用物理bit清零措施，確保數(shù)據(jù)不可恢復(fù)，杜絕信息泄露風(fēng)險VMVMVMVMVMVMVM安全組策略理 (部署在VM上)VMVMVM數(shù)據(jù)安全控制M隔離每個M全策刷新控制文到略避能數(shù)據(jù)傳輸安全戶在訪問VPC的過程中，會和數(shù)據(jù)中心中的VFW建立vpn。經(jīng)過internet的數(shù)據(jù)都云平臺運(yùn)營管理安全 4授權(quán)、集中授權(quán)::等各類日志的安全審計，提高對違規(guī)溯源的事后審查能力。程:應(yīng)急響應(yīng):劃分、處理流程、事件上報等規(guī)范要求。數(shù)據(jù)探針服務(wù)器鏡像口數(shù)據(jù)探針服務(wù)器鏡像口呼流量分析服務(wù)器數(shù)據(jù)探針服務(wù)器鏡像口數(shù)據(jù)探針服務(wù)器鏡像口物理主機(jī)控管理點統(tǒng)一監(jiān)控管理物物理主機(jī)防DDOS攻擊物物理主機(jī)Switch3安全案例外網(wǎng)的syn攻擊天新