2-2013.03.01-Fortinet助地面通信息网络—云计算平台安全运维.docx

Fortinet助地面通信息网络—云计算平台安全运维 2013-03-01 17:38 上海地面通信息网络有限公司是专业从事互联网Internet接入、云计算IDC服务器托管及电信数据通信业务等技术服务的高新技术企业。  一、用户概况 上海地面通信息网络有限公司是专业从事互联网Internet接入、云计算IDC服务器托管及电信数据通信业务等技术服务的高新技术企业。 公司以领先的服务理念、灵活的经营机制、服务众多国内外客户。 公司自有品牌DMT互联网平台，利用三网合一技术实现了电信、联通、移动三大运营商网络的互联互通功能，为用户节省了费用且解决了相关运行问题。公司根据市场需求建立了上海首家自有数据机房(IDC云计算机房)，是颇具规模的电信运营商之一，并荣获2010 年中国上海世博会专用网络运营商。 二、项目背景 云计算(CloudComputing)是网格计算(GridComputing)、分布式计算(DistributedComputing)、并行计算(ParallelComputing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(LoadBalance)等传统计算机技术和网络技术发展融合的产物。 它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。 云计算的一个核心理念就是通过不断提高“云”的处理能力，进而减少用户终端的处理负担，最终使用户终端简化成一个单纯的输入输出设备，并能按需享受“云”的强大计算处理能力! 云计算的核心思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。地面通为了更好的为用户提供高效、高性能、高可管理性的服务，专门搭建了以惠普服务器和VMWare为平台的云计算中心，并提供多种服务。如虚拟化主机、SaaS等。然而，云计算中心也同时面临新的安全威胁。总体来说，云计算应用主要面临如下安全威胁。 (1)服务可用性威胁 用户的数据和业务应用处于云计算系统中，其业务流程将依赖于云计算服务提供商所提供的服务，这对服务商的云平台服务连续性、SLA和IT流程、安全 策略、事件处理和分析等提出了挑战。另外当发生系统故障时，如何保证用户数 据的快速恢复也成为一个重要问题。 (2)云计算用户信息滥用与泄露风险 用户的资料存储、处理、网络传输等都与云计算系统有关。如果发生关键或私隐信息丢失、窃取，对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求;如何实施有效的安全审计，对数 据操作进行安全监控;如何避免云计算环境中多用户共存带来的潜在风险都成为 云计算环境下所面临的安全挑战。 (3)拒绝服务攻击威胁云计算应用由于其用户、信息资源的高度集中，容易成为黑客攻击的目标，同时由于拒绝服务攻击造成的 后果和破坏性将会明显超过传统的企业网应用环境。 (4)法律风险云计算应用地域性弱、信息流动性大，信息服务或用户数据可能分布在不同地区甚至国家，在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于 虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。 三、建设目标 地面通云计算中心在信息安全上主要有两个目标： 1. 保障云计算中心的可用性和数据安全性。 2. 通过为用户提供安全服务，来实现云计算中心的新利润增长点。 同时，地面通还需要迎接如下挑战： 1. 随着带宽和用户数的增加，要求安全系统具备高性能 2. 在可以预见的将来，云的规模会越来越大，要求安全系统具备高扩展性 3. 基于虚拟化的服务成为云计算的趋势，要求安全系统具备全功能的虚拟 化 通过云计算中心的安全系统建设，地面通可以提供给用户服务器和存储产品 的同时，还能够提供安全的服务。传统的IDC中心通常要求每一位客户自己配 备独立的网络安全系统，比如防火墙、入侵防御系统(IPS)等。通常为客户自己购买并托管在IDC机房。这种传统方式有较明显的弊端： 1. IDC机房负担了繁重的管理工作，并为管理额外的设备不断投资 2. 安全设备占用机架空间和能源 3. IDC的管理方很难从中盈利 4. 用户自己的先期采购成本高 采用了云安全方案后，地面通推出了安全管理服务，为所有托管在其云计算 中心的客户提供可选的虚拟安全服务，客户可以根据需要选择功能以及支付相应的月租费。计算下来，地面通在安全设备的管理支出下降了一半，提高了地面通 的盈利能力，同时降低了客户的总拥有成本和先期投入。 四、建设方案 针对这些威胁和挑战，多功能防火墙(UTM)可以在一个设备上防