为实现云计算平台基础网络的可扩展性,云计算平台整体网络应进行统一IP地址规划,对于云计算平台所属服务器、生产客户端应采取IP地址和数据链路层地址绑定措施,防止地址欺骗。
核心网络设备应支持设备级和链路级的冗余备份,其业务处理能力应具备冗余空间,以满足业务高峰期需要,同时应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要系统。为提高对基础网络的防攻击处理能力,应通过构建异常流量监控体系,及时发现、阻断外网对云计算平台的DDoS攻击,确保云计算平台的服务连续性。
同时应加强云计算平台和外界的访问控制,所有接入互联网的云平台相关系统应安装防火墙。防火墙应分别安装在互联网接入点与DMZ区之间、DMZ区与内部网络之间。当存储、处理业务信息的相关系统与本系统安全域之外的不可信网络之间存在网络连接时,应在系统与不可信网络之间安装防火墙。在任何无线网络与存储、处理业务信息的相关系统之间应安装边界防火墙。
在云计算平台监控和维护方面,应保证网络设备所在物理区域的安全,以防止未经授权的访问。
在网络设备安全管理方面,应使用SSH或HTTPS来远程管理网络设备,如因条件限制必须使用telnet,则应限制使用telnet远程管理的IP地址、会话时间、失败登录次数。如需使用SNMP管理监控网络设备,应修改默认的SNMP Community,使其符合强密码要求,同时应通过ACL限制与SNMP通信的管理终端IP地址。