Technical Specification of Centralized Security Protection for Cloud Computing
中国移动通信集团公司 网络部
2013年12月
前 言
针对数据业务系统向云计算平台承载方式演进的需求,按照等级保护和集中化要求,本要求 明确了在云计算网络环境下组网规划,实施安全域划分的基本原则,并进一步提出了云计算环境安全防护的基本要求。
本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。并在此基础上,以业务系统为单位,每个业务系统划分不同的VLAN,实现云计算网络环境下业务系统间的安全隔离。
张震寰
本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据,支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。
本技术要求主要包括以下3个方面内容:
1、云计算平台安全域划分;
gg-2382、云计算平台边界整合;
3、云计算平台的安全防护。
起草单位:中国移动通信有限公司网络部、中国移动通信研究院。
主要起草人:柏洪涛、任兰芳、刘斐、魏来、徐海东、周智。
1综述
本要求从规范云计算平台整体组网入手,明确了公、私有云安全域划分的基本原则,以及云计算平台上所部署的不同数据业务系统间、数据业务系统和支撑系统间,数据业务系统内部各安全域之间互联的安全要求,并在此基础上明确了各类防护手段部署的基本要求。十大恶俗歌曲
本要求的主要内容包括:
(1)第2章:云计算网络安全域划分:明确了根据私有云以及云计算平台上所承载的各业务系统之间的威胁等级、保护等级,划分安全域的基本原则,域间互联的基本要求。
(2)第3章:云计算网络的安全防护:在安全域划分的基础上,进一步明确了域间互联的安全要求以及各类基础安全技术防护手段的部署原则。
5G是把双刃剑(3)第4章:云计算平台安全运维要求:从维护要求和管理要求两个方面,分别对私有云
和公有云提出安全运维要求。
2云计算网络安全域划分
在云计算网络中,主要包括如下三大类网络:
1.处于云计算外部的用户(含PAAS服务模式下的能力调用者)与云计算平台内部业务系统间的Client-Server互联网络(network1);
2.处于同一云计算平台中不同服务器间的Server-Server互联网络。该类网络中又包含同物理主机上的不同VM间的互联网络(network2)以及不同物理主机上VM间的互联网络(network3);
3.在不同物理主机间的虚拟机迁移互联网络。该类网络中又包含同一计算平台上不同物理主机间的虚拟机迁移网络(network4)和跨云计算平台物理主机间的虚拟机迁移网络(network5)。
图2.1 云计算网络环境
由于现阶段中国移动公、私有云计算平台对虚拟机迁移尚无明确要求,故本技术要求主要考虑network1、network2和 network3。
针对network1,同传统IT网络环境一样,云计算平台同样面临着来自互联网的各种攻击,
对云计算平台内的各类设备物理资源和数据信息资源造成威胁,需要实现云计算平台对来自云计算平台外的网络安全控制。而云计算平台内部,不同的设备物理资源和数据信息资源,因其所承担的功能的不同,在资产价值、安全威胁、安全弱点等方面又有所不同,为避免网络安全的木桶效应,不同安全属性的物理资源和信息资源间也应做好安全隔离和防护。在该类网络下,云计算网络环境与传统IT网络面临的安全问题一致,仍可借鉴传统IT网络环境安全防护技术和手段来实施。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议