云计算安全规划方案探讨

1 引言

随着信息化对低成本海量数据存储和大规模并行计算的需求快速增长，云计算应运而生。它是基于互联网的新型IT服务提供架构，是利用集群计算能力通过互联网向公众提供服务的互联网新业务形式。采用云计算技术能有效利用资源，节能减排、降本增效，实现企业效益与社会效益的同步提升。同时，云计算有利于增强应用协同，丰富应用提供，增加用户粘性。Google的搜索引擎应用就建立在云计算平台之上；中国电信、中国移动均尝试搭建了云计算平台，并将其作为推动企业转型的重要战略选择之一。

随着云计算建设的深入，数据安全日趋重要。由于在云计算环境下，用户数据存储在“云”服务器上，如何保证用户所存储的数据对于其他人员来说是不透明的，让“云”中的数据能够在网络间安全高效地传输，正成为“云”建设者越来越大的挑战。

2 云计算安全规划方案

2.1 网络层面安全方案

根据云计算数据中心的结构特点，首先进行安全域划分（图1），并采用VPN、防火墙、VLAN以及分布式虚拟交换机等实现各域的安全隔离，避免网络安全问题的扩散。

图1 资源池安全域划分示意图

整个云网络划分为用户域、接入域、计算域、服务域和管理域，各域之间采用防火墙进行安全隔离。

将虚拟主机按照用户等级划分安全区域，不同安全等级的虚拟机采用不同等级的安全保障方案。原则上不同安全等级的用户之间数据不能互访，虚拟机的数据迁移不能跨安全等级。

各安全域边界部署防火墙或者虚拟防火墙进行安全防御。

针对部分互联网应用，在出口路由器单独规划出口接口，避免此类业务抢占重要生产系统的资源