安全:探讨云计算数据中心的安全部署
网易科技 12年05月08日 09:17 【转载】 作者:网易科技 责任编辑:王振
导读:关于云计算数据中心的安全防护,CSA(Cloud Security Alliance,云安全联盟)在《云计算关键领域建设指南》的D7中一共提出8条建议,其中与网络安全相关的安全风险建议有4条……
2 云计算数据中心的安全建设模型
较传统数据中心,云计算的基础数据中心建设无明显差别,同样需要分区标准化、模块化部署,一般都采用旁挂核心或者汇聚交换机的部署。考虑到云计算的特点,其最大需求是实现计算、存储等IT资源灵活调度,让资源得到最充分利用,而实现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供服务。在这种模式下,数据中心建设出现了新的需求。
2.1 高性能要求
较传统网络,云计算网络的流量模型发生了两个变化:一,从外部到内部的纵向流量加大;二,云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高的吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力,具体体现在以下两个方面:
参照云计算数据中心对于核心交换机设备的要求,即必须具备高密度的10G接口提供能力,安全设备接入数据中心,也必须以万兆级接入、万兆级性能处理为基础,并且要具备根据业务需求灵活扩展的能力;
随着服务器的虚拟化及多租户业务部署,云计算环境下的网络流量无序突发冲击会越来越严重,为保证云计算服务的服务质量,安全设备必须具备突发流量时的处理能力,尤其一些对延迟要求严格的业务。
在具体的设备选择上,数据中心的防火墙可以选择独立的设备形态(如H3C F5000高端40G独立盒式防火墙),也可以部署多个Secblade插卡来做性能扩展。在需要部署高性能防火墙时,可以在交换机部署多个插卡实现性能扩展,并可以实现比多台同等性能的独立设备组合节能50%以上(如图3所示)。
图3 防火墙部署方式
2.2 虚拟化
虚拟资源池化是IT资源发展的重要趋势,可以极大程度提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势,对应的云计算数据中心的防火墙、负载均衡等安全控制设备,也必须支持虚拟化能力,像计算和存储、网络一样能按需提供服务。以防火墙为例,防火墙的虚拟化使用一般应用三种场景。
1、 一般性应用:不启用虚拟防火墙
设备根据应用类型,按照业务将防火墙划分成多个安全域,再根据应用的隔离互访要求,实现域间安全控制(如图4所示)。
图4 一般性防火墙应用
腾讯微博
新浪微博
