久久久久久综合网天天,男女久久久国产一区二区三区,综合图区亚洲欧美另类图片,亚洲国产精品SSS在线观看AV,人妻少妇精品久久久久久

 
云計算安全規劃方案解析
來(lái)源: | 作者:tardetech | 發(fā)布時(shí)間: 2021-05-26 | 767 次瀏覽 | 分享到:
隨著(zhù)信息化對低成本海量數據存儲和大規模并行計算的需求快速增長(cháng),云計算應運而生。它是基于互聯(lián)網(wǎng)的新型IT服務(wù)提供架構,是利用集群計算能力通過(guò)互聯(lián)網(wǎng)向公眾提供服務(wù)的互聯(lián)網(wǎng)新業(yè)務(wù)形式..

隨著(zhù)信息化對低成本海量數據存儲和大規模并行計算的需求快速增長(cháng),云計算應運而生。它是基于互聯(lián)網(wǎng)的新型IT服務(wù)提供架構,是利用集群計算能力通過(guò)互聯(lián)網(wǎng)向公眾提供服務(wù)的互聯(lián)網(wǎng)新業(yè)務(wù)形式。采用云計算技術(shù)能有效利用資源,節能減排、降本增效,實(shí)現企業(yè)效益與社會(huì )效益的同步提升。同時(shí),云計算有利于增強應用協(xié)同,豐富應用提供,增加用戶(hù)粘性。

  隨著(zhù)云計算建設的深入,數據安全日趨重要。由于在云計算環(huán)境下,用戶(hù)數據存儲在“云”服務(wù)器上,如何保證用戶(hù)所存儲的數據對于其他人員來(lái)說(shuō)是不透明的,讓“云”中的數據能夠在網(wǎng)絡(luò )間安全高效地傳輸,正成為“云”建設者越來(lái)越大的挑戰。

  1 網(wǎng)絡(luò )層面安全方案

  根據云計算數據中心的結構特點(diǎn),首先進(jìn)行安全域劃分(圖1),并采用VPN、防火墻、VLAN以及分布式虛擬交換機等實(shí)現各域的安全隔離,避免網(wǎng)絡(luò )安全問(wèn)題的擴散。

整個(gè)云網(wǎng)絡(luò )劃分為用戶(hù)域、接入域、計算域、服務(wù)域和管理域,各域之間采用防火墻進(jìn)行安全隔離。將虛擬主機按照用戶(hù)等級劃分安全區域,不同安全等級的虛擬機采用不同等級的安全保障方案。原則上不同安全等級的用戶(hù)之間數據不能互訪(fǎng),虛擬機的數據遷移不能跨安全等級。

  各安全域邊界部署防火墻或者虛擬防火墻進(jìn)行安全防御。 針對部分互聯(lián)網(wǎng)應用,在出口路由器單獨規劃出口接口,避免此類(lèi)業(yè)務(wù)搶占重要生產(chǎn)系統的資源。

  2 用戶(hù)信息和數據安全方案

  用戶(hù)信息和數據安全主要保證用戶(hù)信息和數據的安全性,以及云環(huán)境下數據的可用性、保密性和完整性。

  (1)數據安全隔離:主要通過(guò)VLAN、防火墻等方式控制不同虛擬機用戶(hù)之間的非法訪(fǎng)問(wèn),以保護每個(gè)租戶(hù)數據的安全與隱私。另外,通過(guò)防火墻控制不同集群之間的互通。由于防火墻根據IP地址段劃分安全域,即使內層VLAN相同,由于位于不同集群,IP地址不同,也可通過(guò)防火墻安全域策略進(jìn)行隔離。

  (2)數據加密存儲:為高等級用戶(hù)提供可選的數據加密存儲服務(wù),防止數據被他人非法窺探。在加密密鑰管理方面,應采用集中化的用戶(hù)密鑰管理與分發(fā)機制,實(shí)現對用戶(hù)信息存儲的高效安全管理與維護。同時(shí),為防止系統管理員非授權訪(fǎng)問(wèn)用戶(hù)數據,需要規范管理,將系統管理員和密鑰管理員權限分離:

  密鑰管理員僅具有管理用戶(hù)密鑰的權限,不具備訪(fǎng)問(wèn)系統的權限,無(wú)法基于密鑰進(jìn)行數據訪(fǎng)問(wèn);

  系統管理員可以訪(fǎng)問(wèn)系統,但不具備密鑰管理功能,無(wú)法獲得密鑰,從而無(wú)法進(jìn)行非授權訪(fǎng)問(wèn)。

  (3)數據備份與恢復

  不論數據存放在何處,用戶(hù)都應該慎重考慮數據丟失的風(fēng)險。為應對突發(fā)的云計算平臺的系統性故障或災難事件,對數據進(jìn)行備份及快速恢復十分重要。如在虛擬化環(huán)境下,應能支持基于磁盤(pán)的備份與恢復,實(shí)現快速的虛擬機恢復,應支持文件級完整與增量備份,保存增量更改以提高備份效率。

  (4)數據的殘留清理

  云計算環(huán)境下,由于采用的是共享存儲,其業(yè)務(wù)數據或者用戶(hù)數據在業(yè)務(wù)發(fā)生遷移或者用戶(hù)數據遷移刪除時(shí),需防止非法惡意恢復盜取數據。在存儲資源進(jìn)行重新分配前,必須進(jìn)行完整的數據擦除,在對存儲的用戶(hù)文件/對象刪除后,對對應的存儲區進(jìn)行完整的數據擦除或標識為只寫(xiě)(只能被新的數據覆寫(xiě)),防止被非法惡意恢復。同時(shí),將備份區里的相應數據進(jìn)行刪除,防止數據被非授權恢復。

  3 虛擬層安全

  通常業(yè)務(wù)平臺的網(wǎng)絡(luò )安全有防火墻實(shí)現,而防火墻設備通常部署在業(yè)務(wù)平臺的網(wǎng)絡(luò )出口。由于虛擬化技術(shù)的引入,所有同一安全等級服務(wù)器設備都將規劃在一個(gè)平面內,打破了物理邊界,同一物理主機下的虛擬機之間的數據交互通過(guò)虛擬交換機vSwitch實(shí)現,這部分流量并不會(huì )出現在物理交換機上;因此,傳統的基于物理安全邊界的網(wǎng)絡(luò )安全防護機制難以有效應用在虛擬的安全防護之上。應主要通過(guò)引入虛擬防火墻的方式來(lái)對虛擬化安全策略進(jìn)行部署,虛擬機安全重點(diǎn)在于防止客戶(hù)虛擬機惡意訪(fǎng)問(wèn)虛擬平臺或其他客戶(hù)的虛擬機資源。

  結論

  云計算作為一種新興的信息服務(wù)模式,盡管會(huì )帶來(lái)新的安全和風(fēng)險挑戰;但其與傳統IT信息服務(wù)的安全需求本質(zhì)上并無(wú)本質(zhì)區別,核心需求仍是對應用及數據的機密性、完整性、可用性和隱私性的保護。因此,只要針對不同的層面做好相應的信息安全保護機制,云計算的安全風(fēng)險就能夠得到有效的防范。