云計算服務(wù)安全部署和應(yīng)用

云計算安全部署方式和策略應(yīng)用目錄部署方式策略應(yīng)用2部署方式3在云計算部署中，一般采用云管理平臺對云資源進(jìn)行統(tǒng)一的資源管理和調(diào)度，實(shí)現(xiàn)運(yùn)營管理。一種基于虛擬化技術(shù)的大規(guī)模私有云典型部署方案如圖所示。云計算的規(guī)劃建設(shè)以集群為最小單位，一個集群是配置了一定數(shù)量的相同CPU廠商的x86服務(wù)器、共享存儲和網(wǎng)絡(luò)設(shè)備，使用同類型虛擬化軟件的資源組織單位。此圖來源網(wǎng)絡(luò)策略應(yīng)用3在私有云安全部署中，x86服務(wù)器和網(wǎng)絡(luò)出口兩個部分可以通過部署服務(wù)器冗余硬件、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)流清洗、網(wǎng)絡(luò)防火墻等傳統(tǒng)的安全防護(hù)措施達(dá)到相應(yīng)的安全等級；而共享存儲虛擬化軟件及虛擬機(jī)、網(wǎng)絡(luò)、管理平臺4個方面就必須在傳統(tǒng)安全防護(hù)措施的基礎(chǔ)上，再針對云的新特性進(jìn)行安全防范。策略應(yīng)用——共享存儲安全方案3共享存儲中存放的是私有云的關(guān)鍵數(shù)據(jù)，數(shù)據(jù)的重要性不言而喻。云計算環(huán)境下的數(shù)據(jù)安全由于多租戶共享資源（存儲、計算、網(wǎng)絡(luò)）的模式，產(chǎn)生了更多的安全隱患，數(shù)據(jù)加密方案目前主要有共享存儲設(shè)備底層加密和文件系統(tǒng)級加密兩種。共享存儲設(shè)備底層部署加密是目前比較理想的方案，大部分主流存儲設(shè)備都有所支持，對服務(wù)器性能沒有影響，對不同虛擬化軟件的兼容性較好；文件系統(tǒng)及加密需要其與虛擬化軟件的兼容性要好，對服務(wù)器處理能力也有一定的消耗，目前應(yīng)用較少。策略應(yīng)用——虛擬化與虛擬機(jī)安全方案3云計算構(gòu)建于虛擬化技術(shù)之上，因此虛擬化層的安全程度基本決定了云計算整體的安全程度。目前主流服務(wù)器虛擬化軟件主要有VMwareESX、CitrixXenServer、MicrosoftHyper-V和RedHatKVM4種。目前虛擬化層安全方案最為成熟的是VMwareESX上的安全方案，其他虛擬化軟件的安全方案原理基本與VMwareESX相同。策略應(yīng)用——網(wǎng)絡(luò)安全方案3與傳統(tǒng)IDC的流量不同，云計算場景下的流量更多的是“東西走向”，又稱為橫向流量，因此云計算網(wǎng)絡(luò)安全的重點(diǎn)是云計算中心虛擬主機(jī)間的網(wǎng)絡(luò)流量控制問題，也稱為橫向流量的監(jiān)控與隔離。其難點(diǎn)和重點(diǎn)是針對同一物理機(jī)內(nèi)部的虛擬機(jī)之間的網(wǎng)絡(luò)流量如何實(shí)現(xiàn)可見可控，目前主要的技術(shù)方案有虛擬化流量外部化、內(nèi)部流量管控兩種方式。策略應(yīng)用——管理平臺安全方案3云計算實(shí)現(xiàn)了資源的集中部署、集約管理和統(tǒng)一調(diào)度，資源管理權(quán)限的集中也帶來了更多的安全需求。云計算環(huán)境下的資源管理權(quán)限高度集中，一旦分配不當(dāng)容易造成很大的安全隱患，因此必須要對管理員進(jìn)行更細(xì)粒度的權(quán)限管理與操作