云計(jì)算對(duì)新一代數(shù)據(jù)中心的影響分析和建設(shè)思路--中國(guó)電信

新計(jì)算，新數(shù)據(jù)中心，安全新思路 金華敏 中國(guó)電信股份有限公司廣州研究院 2010年 10月 /webmoney 目錄 云計(jì)算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對(duì)策 云計(jì)算定義和特征 云計(jì)算對(duì)新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進(jìn)思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對(duì)策 /webmoney 云計(jì)算的目標(biāo)理念 -IT設(shè)施成為象水、電一樣的公共基礎(chǔ)設(shè)施 企業(yè) B 企業(yè) A 企業(yè) C 企業(yè) A 企業(yè) B 企業(yè) C 互聯(lián)網(wǎng) 云平臺(tái)服務(wù)商 轉(zhuǎn)變 IT服務(wù)的商業(yè) 模式 極大 降低 用戶使用 IT服務(wù)的 門檻 （資金、技術(shù)、時(shí)間、人力等方面） 激發(fā)出更為廣大的市場(chǎng)空間 發(fā)電廠 企業(yè)自己部署發(fā)電設(shè)施 企業(yè)使用公共電力服務(wù) 電力傳輸網(wǎng)絡(luò) /webmoney 云計(jì)算的定義與特征 以服務(wù)為提供方式 有別于傳統(tǒng)的一次性買斷統(tǒng)一規(guī)格的有形產(chǎn)品，云計(jì) 算 以按需服務(wù)的方式根據(jù)不同用戶的個(gè)性化需求推出多層次的服務(wù) 基于網(wǎng)絡(luò)構(gòu)建的云計(jì)算可以快速靈活適應(yīng)用戶不斷變化的需要，同時(shí)通過各種機(jī)制實(shí)現(xiàn)高擴(kuò)展高可靠性 高 擴(kuò)展 高可靠性 底層資源（計(jì)算 /存儲(chǔ) /網(wǎng)絡(luò) /邏輯資源等）對(duì)用戶透明，用戶無(wú)需了解資源具體實(shí)現(xiàn)和地理分布等，對(duì)提供者而言則是一個(gè)巨大的池化資源 資源池化與透明化 網(wǎng)絡(luò)是云計(jì)算的主要組件之一；網(wǎng)絡(luò)是云計(jì)算的承載體；網(wǎng)絡(luò)是云計(jì)算為用戶提供服務(wù)的通道 以網(wǎng)絡(luò)為中心 云計(jì)算是一種將 池化的集群計(jì)算能力 通過 互聯(lián)網(wǎng) 向內(nèi)外部用戶提供 彈性、按需服務(wù) 的新業(yè)務(wù)、新技術(shù)。 云計(jì)算既是一種技術(shù)，也是一種服務(wù)，甚至還是一種商業(yè)模式， 只有符合某些特征的計(jì)算模式才能稱之為 “ 云計(jì)算 ” 。 其特征如下： /webmoney 5 提供能力 - 通過 IaaS虛擬化技術(shù)，將眾多服務(wù)器和存儲(chǔ)資源池化，為用戶或業(yè)務(wù)應(yīng)用的承載提供所需的計(jì)算資源 承載方式的轉(zhuǎn)變 - 資源利用率更高以實(shí)現(xiàn)節(jié)能高效 - 快速提供計(jì)算資源以滿足用戶突發(fā)資源需求 - 用戶能夠自主定制資源 - 為提供彈性資源出租服務(wù)提供了基礎(chǔ) IaaS 新的計(jì)算承載方式 遷移 可以在不同服務(wù)器之間直接遷移正在運(yùn)行的虛擬機(jī) 共享 在單一物理服務(wù)器上可同時(shí)運(yùn)行多個(gè)虛擬機(jī) 隔離 每一個(gè)虛擬機(jī)都與同在一個(gè)服務(wù)器上的其他虛擬機(jī)相隔離 封裝 虛擬機(jī)將整個(gè)系統(tǒng)，包括硬件配置、操作系統(tǒng)以及應(yīng)用等封裝在文件里 /webmoney 6 Platform 眾多中低端的 x86服務(wù)器 編程模型 如 MapReduce 超大型文件系統(tǒng) 如 HDFS 海量數(shù)據(jù)庫(kù) 如 Hbase 新計(jì)算模型 監(jiān)控與 調(diào)度管理 API/SDK 第三方軟件開發(fā)者 最終用戶 交付形態(tài) 軟件銷售 提供能力 - 通過分布式并行計(jì)算算法，充分聚合服務(wù)器的計(jì)算和存儲(chǔ)能力，為特定應(yīng)用提供海量數(shù)據(jù)處理能力 - 形成高效的軟件應(yīng)用開發(fā)和托管平臺(tái)，聚合第三方軟件開發(fā)者和終端用戶 計(jì)算模型的轉(zhuǎn)變 - 通過低成本的 PC服務(wù)器集群獲得高性能計(jì)算 ， 并接近線性擴(kuò)展 PaaS 新的計(jì)算模型 能力調(diào)用接口 自有應(yīng)用（如搜索、郵件、視頻） /webmoney 7 交互數(shù)據(jù) 軟件運(yùn)行和計(jì)算在數(shù)據(jù)中心側(cè)完成 終端通過 web瀏覽器使用軟件應(yīng)用 Internet 提供能力 - 用戶通過互聯(lián)網(wǎng)獲得所需的軟件服務(wù)，無(wú)需花費(fèi)大量的精力用于 IT設(shè)施的建設(shè)與維護(hù) - 減輕終端設(shè)備的計(jì)算壓力，拉動(dòng)移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展 應(yīng)用模式的轉(zhuǎn)變 - 計(jì)算工作從終端側(cè)轉(zhuǎn)移至數(shù)據(jù)中心側(cè)，降低對(duì)終端設(shè)備的計(jì)算能力要求 SaaS 新的計(jì)算應(yīng)用模式 數(shù)據(jù)中心 /webmoney 目錄 云計(jì)算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對(duì)策 云計(jì)算定義和特征 云計(jì)算對(duì)新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進(jìn)思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對(duì)策 /webmoney 云計(jì)算對(duì)數(shù)據(jù)中心的影響 9 新的計(jì)算承載方式 新的計(jì)算模型 新的計(jì)算應(yīng)用模式 物理資源高效整合、業(yè)務(wù)快速部署、節(jié)能減排 增強(qiáng)海量數(shù)據(jù)處理能力 計(jì)算運(yùn)行于數(shù)據(jù)中心側(cè)，降低終端計(jì)算能力要求，能夠拉動(dòng)前端用戶發(fā)展 建設(shè)模式從煙囪式轉(zhuǎn)變?yōu)榧s式 規(guī)劃和建設(shè)視角從以機(jī)房為單位轉(zhuǎn)變?yōu)槿W(wǎng)統(tǒng)一布局 業(yè)務(wù)模式從提供基礎(chǔ)承載環(huán)境轉(zhuǎn)變?yōu)榻桓顿Y源和應(yīng)用 降低社會(huì)信息化門檻 將極大拉動(dòng)前端終端用戶的發(fā)展，業(yè)務(wù)量將規(guī)模上升 運(yùn)營(yíng)模式由屬地化運(yùn)營(yíng)轉(zhuǎn)變?yōu)榻y(tǒng)一運(yùn)營(yíng) 維護(hù)模式由簡(jiǎn)單的設(shè)施和設(shè)備監(jiān)測(cè)轉(zhuǎn)變?yōu)槎说蕉?IT應(yīng)用維護(hù) 安全與法律風(fēng)險(xiǎn)從用戶側(cè)轉(zhuǎn)移至數(shù)據(jù)中心側(cè) 云計(jì)算的引入 對(duì)數(shù)據(jù)中心的技術(shù)影響 對(duì)數(shù)據(jù)中心的業(yè)務(wù)影響 對(duì)數(shù)據(jù)中心的挑戰(zhàn) /webmoney 對(duì)數(shù)據(jù)中心的業(yè)務(wù)影響 當(dāng)前的數(shù)據(jù)中心使用模式 目標(biāo)業(yè)務(wù)模式 運(yùn)營(yíng)商核心問題： 基礎(chǔ)業(yè)務(wù)占近 90%，價(jià)值業(yè)務(wù) 逐步減 少 ；能耗高，運(yùn)營(yíng)成本高 由于絕大部分的設(shè)備產(chǎn)權(quán)歸屬 IDC客戶，增值服務(wù)和應(yīng)用服務(wù)一直開展不起來(lái) 缺乏整體的管理平臺(tái)，運(yùn)維效率低，成本高 數(shù)據(jù)中心客戶 運(yùn)營(yíng)商 主機(jī)托管 客戶自已提供服務(wù)器 運(yùn)營(yíng)商提供能源，機(jī)柜和帶寬 VIP機(jī)房 客戶租用機(jī)房 運(yùn)營(yíng)商提供空機(jī)房及帶寬 運(yùn)營(yíng)商為客戶提供一站式服務(wù) 最終客戶只須租用虛擬機(jī)來(lái)部署自身應(yīng)用 IDC客戶核心問題： 用戶需要花費(fèi)大量精力進(jìn)行方案設(shè)計(jì)、設(shè)備部署、軟件系統(tǒng)安裝，業(yè)務(wù)部署周期長(zhǎng)，維護(hù)成本高 中小企業(yè)需要在 IT資源和維護(hù)上進(jìn)行較大的投入，增加其風(fēng)險(xiǎn) 自助 Portal 申請(qǐng)彈性主機(jī) 1 2 windows 虛擬服務(wù)器 數(shù)據(jù)中心 VM VM VM VM VM VM VM VM VM VM 3 windows 虛擬服務(wù)器 網(wǎng)站 數(shù)據(jù)中心客戶 運(yùn)營(yíng)商 運(yùn)營(yíng)商價(jià)值： 提供豐富的高價(jià)值的多樣化服務(wù)；利用規(guī)模經(jīng)濟(jì)獲取利潤(rùn) 設(shè)備產(chǎn)權(quán)歸屬運(yùn)營(yíng)商，增強(qiáng)了開展增值服務(wù)的基礎(chǔ) 精細(xì)化運(yùn)營(yíng)，統(tǒng)一管理平臺(tái) IDC客戶價(jià)值： 自助式服務(wù)，實(shí)現(xiàn)業(yè)務(wù)快速部署 低成本獲取 IT資源，降低其使用 IT資源的門檻，減少其維護(hù)成本 大型客戶 中小客戶 10 /webmoney 從傳統(tǒng)的煙囪式的建設(shè)模式轉(zhuǎn)變?yōu)榧s化的建設(shè)模式 對(duì)數(shù)據(jù)中心的技術(shù)影響 從傳統(tǒng)的以機(jī)房為單位建設(shè)上升為全網(wǎng)統(tǒng)一規(guī)劃布局 骨 干 網(wǎng)城 域網(wǎng)城 域網(wǎng)城 域網(wǎng)城 域網(wǎng)終 端用 戶終 端用 戶終 端用 戶終 端用 戶數(shù) 據(jù)中 心數(shù) 據(jù)中 心數(shù) 據(jù)中 心設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器 /存儲(chǔ) / 網(wǎng)絡(luò)資源業(yè)務(wù) 1設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器 /存儲(chǔ) / 網(wǎng)絡(luò)資源業(yè)務(wù) 2設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器 /存儲(chǔ) / 網(wǎng)絡(luò)資源業(yè)務(wù) N 設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器 / 存儲(chǔ) / 網(wǎng)絡(luò)資源業(yè)務(wù) 1 業(yè)務(wù) 2 業(yè)務(wù) N傳統(tǒng)的煙囪式的建設(shè)模式 集約化的建設(shè)模式一般需要半年時(shí)間一次建設(shè)資源分配可在當(dāng)天完成設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器存儲(chǔ) 網(wǎng)絡(luò)資源業(yè)務(wù)設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器存儲(chǔ) 網(wǎng)絡(luò)資源業(yè)務(wù)設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器存儲(chǔ) 網(wǎng)絡(luò)資源業(yè)務(wù) 設(shè)計(jì)采購(gòu)建設(shè)服務(wù)器 存儲(chǔ) 網(wǎng)絡(luò)資源業(yè)務(wù) 業(yè)務(wù) 業(yè)務(wù)傳統(tǒng)的煙囪式的建設(shè)模式 集約化的建設(shè)模式一般需要半年時(shí)間一次建設(shè)資源分配可在當(dāng)天完成應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) / 中間件 / 數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) 中間件 數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) /中間件 /數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) 中間件 數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) /中間件 /數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) 中間件 數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) /中間件 /數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）應(yīng)用優(yōu)化與加速安全業(yè)務(wù)與應(yīng)用平臺(tái)操作系統(tǒng) 中間件 數(shù)據(jù)庫(kù)網(wǎng)絡(luò)基礎(chǔ)配套設(shè)施存儲(chǔ)資源 計(jì)算資源運(yùn)營(yíng)管理數(shù)據(jù)處理引擎與業(yè)務(wù)聚合平臺(tái)（統(tǒng)一、穩(wěn)定、可擴(kuò)展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴(kuò)展）（數(shù)據(jù)處理能力強(qiáng)、開放性強(qiáng) ）（業(yè)務(wù)運(yùn)行于數(shù)據(jù)中心側(cè) ）/webmoney 運(yùn)營(yíng)模式 對(duì)數(shù)據(jù)中心的挑戰(zhàn) 挑戰(zhàn) 對(duì)策 建設(shè)全網(wǎng)的統(tǒng)一運(yùn)營(yíng)體系，規(guī)范管理組織結(jié)構(gòu)、統(tǒng)一配置資源、整合營(yíng)銷和服務(wù)渠道、統(tǒng)一價(jià)格體系 以互聯(lián)網(wǎng)業(yè)務(wù)的形式經(jīng)營(yíng)云計(jì)算服務(wù) 統(tǒng)一的業(yè)務(wù)受理、業(yè)務(wù)開通、服務(wù)資費(fèi)、售后服務(wù) 維護(hù)模式 對(duì)策 挑戰(zhàn) 維護(hù)人員需要更強(qiáng)的 IT技能和服務(wù)能力 維護(hù)內(nèi)容繁雜，維護(hù)流程復(fù)雜 培養(yǎng) IT專家和 IT服務(wù)團(tuán)隊(duì) 建立配套的管理系統(tǒng)來(lái)支撐和簡(jiǎn)化運(yùn)維管理工作 安全與風(fēng)險(xiǎn) 挑戰(zhàn) 對(duì)策 建立云計(jì)算環(huán)境下的安全防御體系 遵照國(guó)家法律法規(guī) ,定期進(jìn)行信息安全監(jiān)測(cè)和檢查 制定嚴(yán)謹(jǐn)?shù)挠脩舴?wù)使用協(xié)議，避免用戶不當(dāng)帶來(lái)的法律糾紛 用戶信息存放在運(yùn)營(yíng)商提供的 IT資源中，存在被窺探和篡改的風(fēng)險(xiǎn) 用戶的不法行為操作會(huì)導(dǎo)致運(yùn)營(yíng)商面臨法律風(fēng)險(xiǎn) /webmoney 目錄 云計(jì)算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對(duì)策 對(duì)云計(jì)算（新計(jì)算）的理解 云計(jì)算對(duì)新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進(jìn)思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對(duì)策 /webmoney 基礎(chǔ)資源出租業(yè)務(wù)為主 基礎(chǔ)資源出租業(yè)務(wù) + 增值業(yè)務(wù) 資源按需提供業(yè)務(wù)+ 差異化增值業(yè)務(wù) + 內(nèi)容整合業(yè)務(wù) 演進(jìn)路線 歷叱必然 應(yīng)用 存儲(chǔ) 計(jì)算 數(shù)據(jù)中心 從國(guó)內(nèi)數(shù)據(jù)中心發(fā)展現(xiàn)狀來(lái)看，目前還基本處于第二代的起步階段 “ 新一代數(shù)據(jù)中心 ” 一般是指第三代數(shù)據(jù)中心，其所謂的 ” 新 “ 是相對(duì)第二代而言 數(shù)據(jù)中心的發(fā)展路線 /webmoney 15 2005 Cisco Sy stems, Inc. All rights reserv ed. 全程全網(wǎng)的計(jì)算服務(wù)發(fā)展 虛擬機(jī)器實(shí)現(xiàn)網(wǎng)絡(luò)耦合 內(nèi)嵌數(shù)據(jù)保護(hù) 策略制定與轉(zhuǎn)發(fā)控制相分立 自動(dòng)化Automation Session Number Presentation_ID 擴(kuò)展能力 處理能力 設(shè)備密度 可用性 可管理能力 投資保護(hù) 云計(jì)算引發(fā)的新一代數(shù)據(jù)中心變革 Virtualization 節(jié)省能耗 服務(wù)加速 運(yùn)維模式調(diào)整 資源使用率提高 靈活性 虛擬化Virtualization 聚合Consolidation /webmoney 傳統(tǒng)數(shù)據(jù)中心 （基礎(chǔ)承載環(huán)境） 新一代數(shù)據(jù)中心 （業(yè)務(wù)聚合平臺(tái)） 技術(shù)架構(gòu) 業(yè)務(wù)模式 運(yùn)營(yíng)管理 新一代數(shù)據(jù)中心將向業(yè)務(wù)聚合平臺(tái)演進(jìn) IT資源和軟件應(yīng)用的出租服務(wù)占比將增大，各類增值業(yè)務(wù)業(yè)務(wù)也將快速發(fā)展 機(jī)房空間、機(jī)架、帶寬等基礎(chǔ)業(yè)務(wù)為主 虛擬資源池、聚合平臺(tái)和應(yīng)用平臺(tái)的構(gòu)建將成為重點(diǎn) 傳統(tǒng)的網(wǎng)絡(luò)和 IT設(shè)備部署方式 要求在全局上統(tǒng)一運(yùn)營(yíng)，打破地域局限性 要求高水平的網(wǎng)絡(luò)和 IT維護(hù)服務(wù)團(tuán)隊(duì) 運(yùn)營(yíng)商可能會(huì)面臨新的風(fēng)險(xiǎn) 屬地化運(yùn)營(yíng) 要求具備基本的網(wǎng)絡(luò)和 IT維護(hù)能力 安全風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)較小 建設(shè)模式 集約型建設(shè)，通過資源池化，提高資源利用率 煙囪式建設(shè)模式，為每個(gè)業(yè)務(wù)應(yīng)用部署一套硬件資源 16 /webmoney 目錄 云計(jì)算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對(duì)策 對(duì)云計(jì)算（新計(jì)算）的理解 云計(jì)算對(duì)新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進(jìn)思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對(duì)策 /webmoney 數(shù)據(jù)中心的傳統(tǒng)安全模型 L2 交換機(jī) ：端口隔離、五元組綁定、 802.1X等實(shí)現(xiàn)二層安全保護(hù) L2.5 VLAN/MPLS：網(wǎng)絡(luò)隔離 L3 路由器 /防火墻 ：訪問控制和隔離、加密 L4 流量異常分析 L5-L7 應(yīng)用層威脅防御：間諜軟件、病毒、攻擊等，數(shù)據(jù)安全（異地容災(zāi)，數(shù)據(jù)備份） 安全 管理 用戶 管理 基于安全邊界的層次化、組件化的安全設(shè)施，能有效滿足 傳統(tǒng) IDC安全需求 /webmoney 新數(shù)據(jù)中心面臨新的安全威脅與挑戰(zhàn) 資源聚合技術(shù)的應(yīng)用使得計(jì)算 /存儲(chǔ) /網(wǎng)絡(luò)資源高度集中 虛擬化等技術(shù)的應(yīng)用使得傳統(tǒng)物理安全邊界缺失 用戶數(shù)據(jù)存儲(chǔ)、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c數(shù)據(jù)中心密切相關(guān)，如果發(fā)生故障造成的后果較傳統(tǒng)數(shù)據(jù)中心更為嚴(yán)重 傳統(tǒng)網(wǎng)絡(luò)安全設(shè)施與防御機(jī)制在防護(hù)能力、響應(yīng)速度等方面越來(lái)越難以滿足日益復(fù)雜的安全防護(hù)要求 傳統(tǒng)的基于安全域 /安全邊界防護(hù)機(jī)制難以滿足虛擬化環(huán)境下的多租戶應(yīng)用模式 用戶信息安全、用戶信息隔離問題在共享物理資源環(huán)境下的保護(hù)更為迫切 分布式計(jì)算等技術(shù)的應(yīng)用使得用戶數(shù)據(jù) /計(jì)算資源具有全網(wǎng)分布特性 數(shù)據(jù) /計(jì)算資源具有不確定性、動(dòng)態(tài)性和全網(wǎng)分布性，而不是位于某一固定節(jié)點(diǎn) 基于固定節(jié)點(diǎn)的安全設(shè)施難以滿足數(shù)據(jù)位置動(dòng)態(tài)變化或全程全網(wǎng)的安全防護(hù)需求 /webmoney 虛擬化應(yīng)用面臨新的安全問題 流量監(jiān)控問題 內(nèi)部虛擬網(wǎng)絡(luò)上的虛擬機(jī)通信缺乏可見性和控制力，傳統(tǒng)的流量監(jiān)測(cè)方法或設(shè)備難以實(shí)施有效的安全監(jiān)控 虛擬防火墻等虛擬化安全軟件將占用有限的物理機(jī)資源，可能對(duì)正常的虛擬機(jī)用戶的正常運(yùn)行造成影響 虛擬化安全軟件 虛擬化軟件對(duì)主機(jī)硬件和系統(tǒng)擁有高級(jí)訪問權(quán)限，可直接訪問到硬件抽象層 虛擬機(jī)管理軟件存在的安全漏洞如果被惡意利用，將嚴(yán)重威脅整個(gè)虛擬化環(huán)境所有虛擬機(jī)用戶的安全 虛擬化漏洞問題 “ 惡意”虛擬機(jī)對(duì)物理資源的過度占用，可能會(huì)嚴(yán)重影響同一物理機(jī)上其他虛擬機(jī)的正常運(yùn)行 資源搶占問題 虛擬化平臺(tái)管理員擁有的管理權(quán)限如果被非法濫用，將對(duì)眾多虛擬機(jī)用戶的數(shù)據(jù)和應(yīng)用安全造成嚴(yán)重威脅 權(quán)限濫用問題 /webmoney 目錄 云計(jì)算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對(duì)策 云計(jì)算定義和特征 云計(jì)算對(duì)新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進(jìn)思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對(duì)策 /webmoney 數(shù)據(jù)中心安全防護(hù) 針對(duì)新數(shù)據(jù)中心的安全防護(hù)需求，構(gòu)建縱深的安全防御體系，保護(hù)數(shù)據(jù)中心及用戶信息應(yīng)用安全 安全對(duì)策 安全設(shè)施能力提升 采用基于云計(jì)算技術(shù)及理念， “ 池化 ” 安全資源，提升安全能力和服務(wù)效能，滿足全程全網(wǎng)的安全防護(hù)需求 結(jié)合新一代數(shù)據(jù)中心業(yè)務(wù)應(yīng)用特點(diǎn)，充分利用云計(jì)算技術(shù)及理念，滿足彈性、動(dòng)態(tài)、全程全網(wǎng)的安全防御需求 新數(shù)據(jù)中心的安全對(duì)策 /webmoney 新數(shù)據(jù)中心的安全防護(hù)思路 安全防護(hù)思路 結(jié)合新一代數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用特點(diǎn)及平臺(tái)架構(gòu)層的特性，在采取傳統(tǒng)安全防護(hù)基礎(chǔ)上，進(jìn)一步集成數(shù)據(jù)加密、 VPN、身份認(rèn)證、安全存儲(chǔ)、虛擬化安全、安全防御設(shè)施和資源云化等綜合安全技術(shù)手段，構(gòu)建面向應(yīng)用的縱深安全防御體系 基礎(chǔ)設(shè)施安全 用戶數(shù)據(jù)安全 保障數(shù)據(jù)中心基礎(chǔ)設(shè)施的穩(wěn)定性及服務(wù)連續(xù)性 保護(hù)用戶信息的可用性、保密性和完整性 運(yùn)營(yíng)管理安全 提高運(yùn)營(yíng)管理安全，完善安全審計(jì)及溯源機(jī)制 底層架構(gòu)安全 保障虛擬化、分布式計(jì)算等平臺(tái)架構(gòu)層系統(tǒng)架構(gòu)安全 數(shù)據(jù)中心安全 /webmoney 新數(shù)據(jù)中心安全對(duì)策 -虛擬化安全 服務(wù)器虛擬化安全 虛擬機(jī)管理器安全：服務(wù)最小化原則、內(nèi)核模塊完整性、補(bǔ)丁管理機(jī)制等 虛擬機(jī)安全：虛擬機(jī)安全隔離、訪問控制、惡意虛擬機(jī)防護(hù)（ 防地址欺騙、 VM端口掃描等 ）、虛擬機(jī)資源限制等 網(wǎng)絡(luò)虛擬化安全 虛擬交換機(jī)：采用 VLAN劃分虛擬機(jī)組、對(duì)端口限速，禁止混雜模式進(jìn)行網(wǎng)絡(luò)嗅探等 虛擬防火墻：設(shè)置安全訪問控制策略，建立邏輯安全邊界 存儲(chǔ)安全： 支持存儲(chǔ)空間的負(fù)載均衡、冗余保護(hù)等 高可用性要求 ：支持虛擬機(jī)的 HA(冷備 )、 FT（熱備）、備份恢復(fù)等，實(shí)現(xiàn)故障虛擬機(jī)的重新啟用或快速切換，保障高可用性 容災(zāi)備份： 提供虛擬機(jī)層級(jí)的異地容災(zāi)服務(wù) 虛擬化安全管理 ：支持宿主機(jī)資源監(jiān)控、虛擬機(jī)資源監(jiān)控、安全遷移及回退機(jī)制、負(fù)載均衡、資源預(yù)留等 虛擬化 安全 通過完善、規(guī)范服務(wù)器虛擬化安全、網(wǎng)絡(luò)虛擬化安全、存儲(chǔ)安全、高可用性要求以及虛擬化安全管理相關(guān)配置要求，提高虛擬化應(yīng)用安全性 /webmoney 新數(shù)據(jù)中心安全對(duì)策 -基礎(chǔ)設(shè)施安全 基礎(chǔ)網(wǎng)絡(luò)安全 安全域劃分：部署防火墻，劃分安全域，實(shí)施安全邊界防護(hù) 異常流量監(jiān)測(cè)與攻擊防范：進(jìn)行流量實(shí)施監(jiān)控，部署 DDoS攻擊防御系統(tǒng)或使用相關(guān)攻擊防護(hù)服務(wù) 承載網(wǎng)絡(luò)應(yīng)支持設(shè)備級(jí)、鏈路級(jí)的冗余備份 主機(jī)及管理終端安全 主機(jī) /終端系統(tǒng)安全加固：補(bǔ)丁管理、安全配置 安全防護(hù)：控制蠕蟲 /病毒 /木馬在云計(jì)算平臺(tái)內(nèi)傳播，非法入侵監(jiān)測(cè) 安全基礎(chǔ)設(shè)施資源池化 采用安全云技術(shù)提升安全基礎(chǔ)設(shè)施服務(wù)效能，構(gòu)建 安全服務(wù)資源池 應(yīng)急響應(yīng) 建立完善的應(yīng)急響應(yīng)機(jī)制，提高對(duì)異常情況和突發(fā)事件的應(yīng)急響應(yīng)能力 基礎(chǔ)設(shè)施 安全 建立數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)、主機(jī)等基礎(chǔ)設(shè)施的縱深安全防御機(jī)制，提高數(shù)據(jù)中心基礎(chǔ)設(shè)施的安全性、健壯性，保障服務(wù)提供連續(xù)性和穩(wěn)定性 /webmoney 新數(shù)據(jù)中心安全對(duì)策 -數(shù)據(jù)安全 數(shù)據(jù)隔離 ：通過虛擬化層安全機(jī)制實(shí)現(xiàn)虛擬機(jī)間存儲(chǔ)訪問隔離 數(shù)據(jù)訪問控制： 設(shè)置虛擬環(huán)境下的邏輯邊界安全訪問控制策略，實(shí)現(xiàn)虛擬機(jī)、虛擬機(jī)組間的數(shù)據(jù)訪問控制 數(shù)據(jù)存儲(chǔ)安全 ：為用戶可選提供加密存儲(chǔ)服務(wù)；虛擬機(jī)服務(wù)則建議用戶對(duì)重要的數(shù)據(jù)信息在上傳、存儲(chǔ)前進(jìn)行加密處理 數(shù)據(jù)傳輸安全 應(yīng)采用 SSH、 SSL等方式保障維護(hù)管理信息的安全 應(yīng)支持采用數(shù)據(jù)加密、 VPN等技術(shù)保障用戶數(shù)據(jù)信息的網(wǎng)絡(luò)傳輸安全 剩余信息保護(hù) ： 存儲(chǔ)資源重分配之前進(jìn)行完整的數(shù)據(jù)擦除；數(shù)據(jù)刪除后，對(duì)應(yīng)的存儲(chǔ)區(qū)進(jìn)行完整的數(shù)據(jù)擦除或標(biāo)識(shí)為只寫 數(shù)據(jù)備份與恢復(fù) ：支持文件級(jí)完整和增量備份；映像級(jí)恢復(fù)和單個(gè)文件的恢復(fù) 數(shù)據(jù) 安全 通過采用數(shù)據(jù)隔離、訪問控制、加密傳輸、安全存儲(chǔ)、剩余信息保護(hù)等技術(shù)手段，保護(hù)數(shù)據(jù)中心用戶信息的可用性、私隱性和完整性 /webmoney 新數(shù)據(jù)中心安全對(duì)策 -運(yùn)營(yíng)管理安全 4A安全（帳號(hào)、認(rèn)證、授權(quán)、審計(jì)） 用戶管理 ：對(duì)用戶帳號(hào)進(jìn)行集中維護(hù)管理，為集中訪問控制、集中授權(quán)、集中審計(jì)提供可靠的原始數(shù)據(jù) 訪問認(rèn)證： 應(yīng)建立統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng)，以提高訪問認(rèn)證的安全性 安全審計(jì) ：建立安全審計(jì)系統(tǒng)，進(jìn)行統(tǒng)一、完整的審計(jì)分析，通過對(duì)操作、維護(hù)等各類日志的安全審計(jì)，提高對(duì)違規(guī)溯源的事后審查能力 運(yùn)營(yíng)安全 制定安全