【正文】 4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。最后，在部署了以云計算為技術(shù)支撐的云平臺以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)業(yè)務系統(tǒng)數(shù)據(jù)的統(tǒng)一共享，這對前臺服務界面的統(tǒng)一打通有著重要意義，將使得業(yè)務系統(tǒng)的統(tǒng)一化、整合化不再停留在前臺展示層面，大大提高了服務質(zhì)量，效率，以及用戶的使用感知。不用擔心過去由于租戶增多，硬件設(shè)備性能不足，而要淘汰、更換設(shè)備的情況，保護投資 高效率：業(yè)務系統(tǒng)部署速度快云平臺具有較高的靈活性，實施新的業(yè)務系統(tǒng)時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高應用系統(tǒng)部署速度。下面以vAD為例，通過在第三方的OpenStack平臺上安裝插件，可以第三方的OpenStack管理平臺，對深信服AD應用交付產(chǎn)品進行服務器負載均衡的網(wǎng)絡(luò)策略配置。還可以與平臺進行深度合作，以實現(xiàn)云平臺的統(tǒng)一集中管理。 vSwitch配置：配置虛擬交換機實現(xiàn)業(yè)務的互通 管理運維設(shè)計方案 平臺運維云管理是整個云平臺后臺的管理、調(diào)度、運維中心。vAD、vAF、vSSL VPN、vWOC以虛擬化軟件形式部署，將設(shè)備以路由、單臂等部署方式在虛擬化平臺上，針對不同租戶開啟一個對應的虛機鏡像，然后配置vSwitch連通網(wǎng)絡(luò)，數(shù)據(jù)流量經(jīng)過設(shè)備安全檢測與防護后到達業(yè)務系統(tǒng)，從而保障業(yè)務系統(tǒng)的安全。當數(shù)據(jù)庫同步未啟用、數(shù)據(jù)備份軟件等應用流量不很是多未占滿保障帶寬時，剩余帶寬將借用出來提供給其他應用使用。告警日志提供（暴破登錄攻擊記錄、CPU長時間占用過高記錄、設(shè)備內(nèi)存不足）、用戶暴破登錄、主從用戶名非法訪問記錄等。事前控制：接入身份安全、合法性保障我們建議在業(yè)務系統(tǒng)需要提供遠程安全接入時，在用戶認證方面采用多種認證方式組合認證的方式。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟損失、名譽損失等問題。同時我們建議租戶部署的虛擬防火墻開啟漏洞掃描和分析功能模塊，從而為每一位租戶建立威脅預警機制，提供系統(tǒng)級的安全隱患分析服務，包括外部訪問、系統(tǒng)維護、等信息匯總。通過虛擬化軟件安全、優(yōu)化產(chǎn)品，如軟件版下一代防火墻vAF、軟件版應用交付vAD、軟件版vSSL VPN等產(chǎn)品，形成軟件安全、優(yōu)化資源池。深信服單邊加速技術(shù)通過自動、實時、持續(xù)、動態(tài)地偵測網(wǎng)絡(luò)路徑中的延遲、丟包、重傳的情況，改變傳出機制和改善傳輸擁塞機制，避免數(shù)據(jù)報文的過度重發(fā)，減少應用響應時間，提升TCP傳輸效率，從而節(jié)省了企業(yè)廣域網(wǎng)帶寬資源和響應時間。平臺業(yè)務可靠性方面，主要是云平臺互聯(lián)網(wǎng)區(qū)的業(yè)務可靠性，因為該區(qū)域直接面向公網(wǎng)用戶，為了保障服務質(zhì)量和業(yè)務應用的可靠性，在云平臺部署深信服應用交付AD設(shè)備，同時啟用互聯(lián)網(wǎng)出口NGAF設(shè)備的防DDoS功能，就可以有效的抵御黑客惡意的拒絕服務攻擊行為，并且提供鏈路和服務器的負載均衡，保障平臺可靠運行。如USB KEY、硬件特征碼、短信認證、動態(tài)令牌卡等認證方式。支持隧道自愈技術(shù)，實時探測VPN隧道連接情況，一旦檢測到VPN撥號中斷則在3秒內(nèi)自動進行VPN重新?lián)芴?；對于線路中斷的情況，通過隧道自愈技術(shù)，一旦檢測到線路恢復，則立即進行隧道的重新建立，無需人為操作實現(xiàn)VPN網(wǎng)絡(luò)的自動恢復。..云平臺里面可能包含了多個部門數(shù)據(jù)中心或虛擬私有云，跨部門或跨級別之間也會進行信息的流轉(zhuǎn)，租戶傳統(tǒng)數(shù)據(jù)中心之間、傳統(tǒng)數(shù)據(jù)中心和云平臺系統(tǒng)進行信息交互，這些信息往往涉及到機密等級的問題，應予以嚴格保密。NGAF還內(nèi)置了國內(nèi)最大的僵尸網(wǎng)絡(luò)識別庫，能有效防止云平臺內(nèi)部大量的主機被植入僵尸病毒。并且能通過隱藏業(yè)務系統(tǒng)版本來提高入侵者的攻擊難度。在各安全區(qū)內(nèi)，又從接入?yún)^(qū)、核心網(wǎng)絡(luò)交換區(qū)、計算存儲區(qū)、運維管理區(qū)進行安全區(qū)域劃分，而在公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)之間，專門設(shè)置了數(shù)據(jù)交換區(qū)，滿足兩個區(qū)域之間高強度的網(wǎng)絡(luò)數(shù)據(jù)隔離和信息互換需求。 國家發(fā)展改革委《關(guān)于國家電子政務外網(wǎng)（一期工程）項目建議書的批復》（發(fā)改高技[2004]2135號）；第四章 解決方案 解決方案綜述對于云服務商而言，根據(jù)前面的需求分析，以及平臺的建設(shè)思路和建設(shè)目標，我們從平臺層、租戶層、安全運維管理這三個方面來設(shè)計云平臺整體安全方案,其框架圖如下所示：云平臺安全設(shè)計框架在平臺層，我們主要解決了平臺整體的網(wǎng)絡(luò)數(shù)據(jù)安全的問題，以及租戶和用戶接入平臺、云間互聯(lián)的安全問題，此外云平臺層面，我們也考慮了業(yè)務可靠性的安全保障。 GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準則216。第三章 設(shè)計原則本次云平臺的總體設(shè)計原則如下：l 統(tǒng)一性原則由于云計算是一個復雜的體系，應在統(tǒng)一的框架體系下，參考國際國內(nèi)各方面的標準與規(guī)范，嚴格遵從各項技術(shù)規(guī)定，做好系統(tǒng)的標準化設(shè)計與施工。同時租戶管理界面還能夠直觀的看到當前云平臺提供的各類安全、服務、穩(wěn)定性組件，租戶管理只需在管理界面上即可輕松的開啟、關(guān)閉各功能模塊，從而實現(xiàn)租戶的個性化安全、服務需求。5. 應用加速：很多業(yè)務應用通過廣域網(wǎng)傳輸時，即使帶寬夠用，但往往丟包多、延時大，比如視屏會議，經(jīng)常會出現(xiàn)馬賽克、畫質(zhì)不清晰等問題，導致體驗不佳，如何實現(xiàn)用戶與云間核心應用的加速？6. 業(yè)務可靠：租戶的業(yè)務系統(tǒng)上線后，與傳統(tǒng)的硬件平臺一樣，也存在著應用假死、虛機故障、出口線路擁塞amp。 ：風險不僅存在于網(wǎng)絡(luò)層，業(yè)務應用如果存在漏洞，也會給黑客可趁之機，造成漏洞攻擊，同時還存在各種病毒侵染，因此需要有完備的入侵防御體系來保障租戶業(yè)務的安全。每個等保區(qū)域內(nèi)不同租戶應用間通過VLAN/VxLAN網(wǎng)絡(luò)隔離，租戶間通過訪問控制設(shè)備進行訪問控制，禁止非授權(quán)訪問。而云平臺內(nèi)部，每套業(yè)務系統(tǒng)都會有多個服務器（虛機）來承擔服務，出口網(wǎng)絡(luò)也會選用多家Internet服務，因此使用服務器負載、鏈路負載設(shè)備就能解決軟中斷問題。用戶訪問安全一些集團子公司部門通過云平臺對外發(fā)布的業(yè)務應用，平臺用戶可以直接使用互聯(lián)網(wǎng)進行訪問，用戶能夠訪問的資源，需要靠訪問控制的安全策略來核查，避免非授權(quán)的數(shù)據(jù)泄漏問題。防止漏洞攻擊云平臺內(nèi)部有大量業(yè)務服務器，其底層和業(yè)務應用系統(tǒng)會不斷產(chǎn)生新的安全漏洞，給了入侵者可乘之機。防網(wǎng)絡(luò)病毒需求云平臺的核心是計算和數(shù)據(jù)資源，因此也是網(wǎng)絡(luò)入侵者最主要的目標。除了平臺的安全問題，租戶側(cè)也面臨一些安全問題，比如接入環(huán)境是否滿足安全要求、業(yè)務系統(tǒng)是否安全、用戶訪問或接入業(yè)務的安全風險、虛機之間信息交換是否安全、業(yè)務系統(tǒng)服務可靠性等需求。云計算有助于提高服務效率通過云平臺實現(xiàn)軟硬件資源所有權(quán)與使用權(quán)的分離，各子公司將在不擁有軟硬件資源的情況下享受信息服務。云平臺的搭建將有助于IT系統(tǒng)從粗放式、離散化的建設(shè)模式向集約化、整體化的可持續(xù)發(fā)展模式轉(zhuǎn)變，使IT管理服務從各自為政、相互封閉的運作方式向跨部門跨區(qū)域的協(xié)同互動和資源共享轉(zhuǎn)變。目前，云計算在電信、互聯(lián)網(wǎng)、IT行業(yè)以及金融等方面都扮演著舉足輕重的角色。著名咨詢公司Gartner將虛擬化云平臺技術(shù)列為2009年十大戰(zhàn)略技術(shù)第一位，而在2010年初發(fā)布預測中，更是大膽斷言到2012年20%的單位將不再擁有IT資產(chǎn)。云計算降低信息共享和業(yè)務協(xié)同難度長期以來，各應用系統(tǒng)普遍存在各自為政、資源分散等問題。 需求概述從整個云平臺整體安全角度來看，我們需要考慮三個方面的設(shè)計：云平臺安全、租戶側(cè)安全、安全運維管理和便捷性。分區(qū)分域需求在安全設(shè)計方案中，我們需要將省級部門的業(yè)務通過邏輯隔離劃分不同的安全域，首先云平臺建設(shè)時需考慮將基礎(chǔ)設(shè)施資源劃分為兩個獨立的區(qū)域，分別為互聯(lián)網(wǎng)業(yè)務區(qū)、公用網(wǎng)絡(luò)區(qū)，兩個區(qū)域間不能直接訪問，僅能通過跨網(wǎng)數(shù)據(jù)交換區(qū)進行數(shù)據(jù)交換。云環(huán)境中B/S架構(gòu)的業(yè)務普遍存在，大量的Web業(yè)務應用引入各種各樣的漏洞，給了入侵者可乘之機。因此，在信息傳遞過程中，必須采取適當?shù)募用芊椒▽π畔⑦M行加密。服務中斷來源于倆方面：一方面因為攻擊造成拒絕對外提供服務，這種情況下服務器或帶寬資源被消耗完，導致無法處理后續(xù)服務；另一方面是因為服務器故障停止對外服務、出口鏈路中斷、數(shù)據(jù)中心切換等問題帶來的服務軟中斷；此外，災難、電力供應等不可抗拒性也會導致服務中斷，此類事件一旦發(fā)生，便會造成數(shù)據(jù)中心毀滅性的破壞。全局負載均衡當某一云中心出現(xiàn)系統(tǒng)性故障時，或者某一云中心的性能負載出現(xiàn)過大問題時，可以通過全局負載，進行實時業(yè)務調(diào)度，讓兩個或者多個云數(shù)據(jù)中心能夠互為備份，讓用戶獲得就近最快速的訪問。租戶的互聯(lián)網(wǎng)業(yè)務主要承載對外發(fā)布系統(tǒng)、門戶網(wǎng)站等，用戶主要是互聯(lián)網(wǎng)用戶，因此該區(qū)域的需求分為了訪問控制、web安全防護、入侵防御、病毒防護、安全管理、應用可靠、用戶體驗。同時，針對于不同的應用系統(tǒng)對訪問人員做好細致的訪問權(quán)限控制，避免越權(quán)訪問?；谠朴嬎隳Ｊ降臉I(yè)務系統(tǒng)對數(shù)據(jù)安全、隱私保護提出了更高的要求，在數(shù)據(jù)管理權(quán)與所有權(quán)分離的狀態(tài)下這些問題顯得更加突出。網(wǎng)管平臺通過SNMP等方式實現(xiàn)對多種IT資產(chǎn)進行統(tǒng)一的管理，包括服務器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應用系統(tǒng)等設(shè)備。同時，云計算操作系統(tǒng)必須提供本地化技術(shù)支持，降低云平臺維護成本。 國家信息化領(lǐng)導小組《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）；216。深信服下一代防火墻（NextGeneration Application Firewall）NGAF面向應用層設(shè)計，能夠精確識別用戶、應用和內(nèi)容，具備完整安全防護能力，能夠全面替代傳統(tǒng)防火墻，并具有全面的應用層安全防護功能和強勁的處理能力。NGAF提供了網(wǎng)絡(luò)病毒防護功能，從病毒傳播的途徑中對HTTP、FTP、SMTP、POP3等協(xié)議流量中進行病毒查殺，亦可查殺壓縮包（zip，rar，7z等）中的病毒，內(nèi)置百萬級別病毒樣本，確保查殺效果。. 防止漏洞攻擊 云平臺內(nèi)大量主機的底層和業(yè)務應用系統(tǒng)會不斷產(chǎn)生安全漏洞，給了入侵者可乘之機。深NGAF設(shè)備實現(xiàn)完整的二到七層網(wǎng)絡(luò)數(shù)據(jù)安全保護。通過IPSEC在Internet上建立安全可信的隧道，各實體之間的數(shù)據(jù)都是通過安全隧道傳遞。通過部署深信服SSL VPN設(shè)備，可以保障云平臺內(nèi)部應用系統(tǒng)的安全發(fā)布，實現(xiàn)智能終端對業(yè)務的無縫訪問，實現(xiàn)云應用的授權(quán)訪問，保障遠程訪問安全，實現(xiàn)應用系統(tǒng)安全加固，確保合法身份通過合法行為接入合法系統(tǒng)。管理日志可提供管理員訪問、操作日志，服務日志提供信息、告警、調(diào)試、錯誤日志，方便管理員對系統(tǒng)進行診斷。鏈路負載均衡深信服 AD設(shè)備能夠進行DNS請求轉(zhuǎn)發(fā)，通過深信服 AD尋找合適的DNS服務器返回給請求用戶。虛擬服務的健康檢查深信服全局負載均衡設(shè)備在部署網(wǎng)絡(luò)中，每臺AD設(shè)備都會對所有數(shù)據(jù)中