云計算服務安全部署和應用

云計算安全部署方式和策略應用目錄部署方式策略應用2部署方式3在云計算部署中，一般采用云管理平臺對云資源進行統(tǒng)一的資源管理和調(diào)度，實現(xiàn)運營管理。一種基于虛擬化技術的大規(guī)模私有云典型部署方案如圖所示。云計算的規(guī)劃建設以集群為最小單位，一個集群是配置了一定數(shù)量的相同CPU廠商的x86服務器、共享存儲和網(wǎng)絡設備，使用同類型虛擬化軟件的資源組織單位。此圖來源網(wǎng)絡策略應用3在私有云安全部署中，x86服務器和網(wǎng)絡出口兩個部分可以通過部署服務器冗余硬件、網(wǎng)絡入侵檢測、網(wǎng)絡流清洗、網(wǎng)絡防火墻等傳統(tǒng)的安全防護措施達到相應的安全等級；而共享存儲虛擬化軟件及虛擬機、網(wǎng)絡、管理平臺4個方面就必須在傳統(tǒng)安全防護措施的基礎上，再針對云的新特性進行安全防范。策略應用——共享存儲安全方案3共享存儲中存放的是私有云的關鍵數(shù)據(jù)，數(shù)據(jù)的重要性不言而喻。云計算環(huán)境下的數(shù)據(jù)安全由于多租戶共享資源（存儲、計算、網(wǎng)絡）的模式，產(chǎn)生了更多的安全隱患，數(shù)據(jù)加密方案目前主要有共享存儲設備底層加密和文件系統(tǒng)級加密兩種。共享存儲設備底層部署加密是目前比較理想的方案，大部分主流存儲設備都有所支持，對服務器性能沒有影響，對不同虛擬化軟件的兼容性較好；文件系統(tǒng)及加密需要其與虛擬化軟件的兼容性要好，對服務器處理能力也有一定的消耗，目前應用較少。策略應用——虛擬化與虛擬機安全方案3云計算構建于虛擬化技術之上，因此虛擬化層的安全程度基本決定了云計算整體的安全程度。目前主流服務器虛擬化軟件主要有VMwareESX、CitrixXenServer、MicrosoftHyper-V和RedHatKVM4種。目前虛擬化層安全方案最為成熟的是VMwareESX上的安全方案，其他虛擬化軟件的安全方案原理基本與VMwareESX相同。策略應用——網(wǎng)絡安全方案3與傳統(tǒng)IDC的流量不同，云計算場景下的流量更多的是“東西走向”，又稱為橫向流量，因此云計算網(wǎng)絡安全的重點是云計算中心虛擬主機間的網(wǎng)絡流量控制問題，也稱為橫向流量的監(jiān)控與隔離。其難點和重點是針對同一物理機內(nèi)部的虛擬機之間的網(wǎng)絡流量如何實現(xiàn)可見可控，目前主要的技術方案有虛擬化流量外部化、內(nèi)部流量管控兩種方式。策略應用——管理平臺安全方案3云計算實現(xiàn)了資源的集中部署、集約管理和統(tǒng)一調(diào)度，資源管理權限的集中也帶來了更多的安全需求。云計算環(huán)境下的資源管理權限高度集中，一旦分配不當容易造成很大的安全隱患，因此必須要對管理員進行更細粒度的權限管理與操作