1. 數(shù)據(jù)中心設(shè)計(jì)原則
依據(jù)數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)和改造需求，數(shù)據(jù)中心方案設(shè)計(jì)將遵循以下原則：
1.1 網(wǎng)絡(luò)適應(yīng)云環(huán)境原則
網(wǎng)絡(luò)的設(shè)計(jì)要在業(yè)務(wù)需求的基礎(chǔ)上，屏蔽基礎(chǔ)網(wǎng)絡(luò)差異，實(shí)現(xiàn)網(wǎng)絡(luò)資源的池化；根據(jù)業(yè)務(wù)自動(dòng)按需分配網(wǎng)絡(luò)資源，有效增強(qiáng)業(yè)務(wù)系統(tǒng)的靈活性、安全性，降低業(yè)務(wù)系統(tǒng)部署實(shí)施周期和運(yùn)維成本。
1.2 高安全強(qiáng)度原則
安全系統(tǒng)應(yīng)基于等保要求和實(shí)際業(yè)務(wù)需求，部署較為完備的安全防護(hù)策略，防止對(duì)核心業(yè)務(wù)系統(tǒng)的非法訪問，保護(hù)數(shù)據(jù)的安全傳輸與存儲(chǔ)，設(shè)計(jì)完善的面向全網(wǎng)的統(tǒng)一安全防護(hù)體系。同時(shí)，應(yīng)充分考慮訪問流量大、業(yè)務(wù)豐富、面向公眾及虛擬化環(huán)境下的安全防護(hù)需求，合理設(shè)計(jì)云計(jì)算環(huán)境內(nèi)安全隔離、監(jiān)測(cè)和審計(jì)的方案，提出云計(jì)算環(huán)境安全解決思路。

1.3 追求架構(gòu)先進(jìn)，可靠性強(qiáng)原則 設(shè)計(jì)中所采用的網(wǎng)絡(luò)技術(shù)架構(gòu)，需要放眼長(zhǎng)遠(yuǎn)，采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，順應(yīng)當(dāng)前云網(wǎng)絡(luò)發(fā)展方向，使系統(tǒng)建設(shè)具有較長(zhǎng)的生命周期，順應(yīng)業(yè)務(wù)的長(zhǎng)遠(yuǎn)發(fā)展。同時(shí)保證網(wǎng)絡(luò)系統(tǒng)的可靠性，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的雙活需求。同時(shí)，應(yīng)為設(shè)備和鏈路提供冗余備份，有效降低故障率，縮短故障修復(fù)時(shí)間。

2. 云計(jì)算環(huán)境下的安全設(shè)計(jì)
隨著目前大量服務(wù)區(qū)虛擬化技術(shù)的應(yīng)用和云計(jì)算技術(shù)的普及，在云計(jì)算環(huán)境下的安全部署日益成為關(guān)注的重點(diǎn)問題，也關(guān)系到未來數(shù)據(jù)中心發(fā)展趨勢(shì)。在本設(shè)計(jì)方案中，建議采用高性能網(wǎng)絡(luò)安全設(shè)備和靈活的虛擬軟件安全網(wǎng)關(guān)（NFV 網(wǎng)絡(luò)功能虛擬化）產(chǎn)品組合來進(jìn)行數(shù)據(jù)中心云安全設(shè)計(jì)。在滿足多業(yè)務(wù)的安全需求時(shí)，一方面可以通過建設(shè)高性能、高可靠、虛擬化的硬件安全資源池，同時(shí)集成FW/IPS/LB等多種業(yè)務(wù)引擎，每個(gè)業(yè)務(wù)可以靈活定義其需要的安全服務(wù)類型并通過云管理員分配相應(yīng)的安全資源，實(shí)現(xiàn)對(duì)業(yè)務(wù)流量的安全隔離和防護(hù)；另一方面，針對(duì)業(yè)務(wù)主機(jī)側(cè)的安全問題，可以通過虛擬軟件安全網(wǎng)關(guān)實(shí)現(xiàn)對(duì)主機(jī)的安全防護(hù)，每個(gè)業(yè)務(wù)可以針對(duì)自身擁有的服務(wù)器計(jì)算資源進(jìn)行相應(yīng)的安全防護(hù)和加固的工作。其部署示意圖如下所示：

3. 云計(jì)算環(huán)境下數(shù)據(jù)安全防護(hù)手段建議
基于以上云計(jì)算環(huán)境下的數(shù)據(jù)安全風(fēng)險(xiǎn)分析，在云計(jì)算安全的建設(shè)過程中，需要針對(duì)這些安全風(fēng)險(xiǎn)采取有針對(duì)性的措施進(jìn)行防護(hù)。
3.1 用戶自助服務(wù)管理平臺(tái)的訪問安全
用戶需要登錄到云服務(wù)管理平臺(tái)進(jìn)行自身的管理操作設(shè)置，如基礎(chǔ)的安全防護(hù)策略設(shè)置，針對(duì)關(guān)鍵服務(wù)器的訪問權(quán)限控制設(shè)置，用戶身份認(rèn)證加密協(xié)議配置，虛擬機(jī)的資源配置、管理員權(quán)限配置及日志配置的自動(dòng)化等等。這些部署流程應(yīng)該被遷移到自服務(wù)模型并為用戶所利用。在這種情況下，云服務(wù)管理者本身需要對(duì)租戶的這種自服務(wù)操作進(jìn)行用戶身份認(rèn)證確認(rèn)，用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關(guān)鍵安全事件的日志記錄以便后續(xù)可以進(jìn)行問題跟蹤溯源。
3.2 服務(wù)器虛擬化的安全
在服務(wù)器虛擬化的過程中，單臺(tái)的物理服務(wù)器本身可能被虛化成多個(gè)虛擬機(jī)并提供給多個(gè)不同的租戶，這些虛擬機(jī)可以認(rèn)為是共享的基礎(chǔ)設(shè)施，部分組件如CPU、緩存等對(duì)于該系統(tǒng)的使用者而言并不是完全隔離的。此時(shí)任何一個(gè)租戶的虛擬機(jī)漏洞被黑客利用將導(dǎo)致整個(gè)物理服務(wù)器的全部虛擬機(jī)不能正常工作，同時(shí)，針對(duì)全部虛擬機(jī)的管理平臺(tái)，一旦管理軟件的安全漏洞被利用將可能導(dǎo)致整個(gè)云計(jì)算的服務(wù)器資源被攻擊從而造成云計(jì)算環(huán)境的癱瘓。針對(duì)這類型公用基礎(chǔ)設(shè)施的安全需要部署防護(hù)。
3.3 內(nèi)部人員的安全培訓(xùn)和行為審計(jì)
為了保證用戶的數(shù)據(jù)安全，云服務(wù)管理者必須要對(duì)用戶的數(shù)據(jù)安全進(jìn)行相應(yīng)的SLA保證。同時(shí)必須在技術(shù)和制度兩個(gè)角度對(duì)內(nèi)部數(shù)據(jù)操作人員進(jìn)行安全培訓(xùn)。一方面通過制定嚴(yán)格的安全制度要求內(nèi)部人員恪守用戶數(shù)據(jù)安全，另一方面，需要通過技術(shù)手段，將內(nèi)部人員的安全操作日志、安全事件日志、修改管理日志、用戶授權(quán)訪問日志等進(jìn)行持續(xù)的安全監(jiān)控，確保安全事件發(fā)生后可以做到有跡可尋。