数据中心云安全整体解决方案

今年5月1日公安部发布的等级保护2.0标准中明确提出了对云安全的防护要求。本期主要从保障云平台安全和云租户安全2个层面剖析云安全整体解决方案。

无论公有云、私有云、行业云、政务云的云安全防护，都是从云平台和云租户2个维度来实现的。首先云服务提供商若要保证云平台的安全就要按照前面几期推文中提到的，在数据中心网络中在对应区域部署对应的安全设备，如运维管理区域部署漏扫、堡垒机、数据库审计，在WEB服务器区域部署WAF、网页防篡改、防火墙、主机加固等，在互联网出口区域部署抗D、异构防火墙、IPS、IDS等，通过一系列安全设备组合而成的安全防护矩阵来实现云平台的安全防护。

在保证云平台安全的同时租户安全也是必选项，如租户购买云服务器后还要订购相应的安全服务目录，来保证租户层面的安全性。在安全服务目录中主要包含虚拟化安全设备，如V-FW、V-WAF、V-IPS、V-IDS、V-堡垒机、V-数据库审计等，订购相应的安全服务目录后用户流量会按照租户要求有SDN控制器下发的转发流表，进入相应的虚拟化安全设备中保障租户层面的安全。

保障租户安全主要从租户南北向安全、租户东西向安全、租户运维安全、应用开发安全4个维度综合考虑，上文提到的安全服务目录主要是保障东西向流量安全，租户流量要进出数据中心，在南北向安全上可以通过部署南北向防火墙、负载均衡、网络防病毒等多种安全防护手段进行南北向流量的安全防护。租户运维安全主要是只客户可以在云端运维管理自己的VPC（虚拟私有云），传统网络有的运维管理设备此处都有，只是这里的运维管理设备以虚拟化的形式提供给租户。租户在购买的云服务器上可以进行相关的应用开发，这个过程中关键数据的安全性，如可以通过部署身份认证、数据加密、黑盒漏扫等保证应用开发安全。

按照等级保护2.0标准要求，通过云平台安全和云租户安全的安全部署可以满足等保要求和行业最佳实践。

希望本文可以让各位对云安全解决方案有更加清晰的认识，温馨提示：如果您觉得本文对您有帮助，请在右下角点击“在看”，并欢迎关注我的微信公众号：“ICT售前新说”。