电信级云计算平台安全策略研究.doc

专题：云计算技术与应用电信级云计算平台安全策略研究汪来富，沈 军，金华敏（中国电信股份有限公司广东研究院 广 专题：云计算技术与应用 电信级云计算平台安全策略研究 汪来富，沈 军，金华敏 （中国电信股份有限公司广东研究院 广州 510630） 也将产生深远的影响。 对于电信运营商来说，引入云计算 技术构建电信级的云计算应用平台，可以实现物理资源的 高效整合，实现业务的快速测试、部署和上线；并可基于海 量的信息处理能力将 IT 能力作为一项基础设施服务按需 1 引言 云计算技术及应用的迅速发展，将成为推动 ICT 产业 下一轮突破发展的重要驱动力，对于我国信息化应用水平 限公司广东研究院数据通信研 究 部 副 部 长 ， 主要从事网络安全 和 云 计 算 方 面 的 研 究 工 作 ； 唐 宏 ， 学 士 ， 中国电信股份有限公司 广东研究院数据通信研究部 部 长 ， 主要从事下一代互联网和云 计算方面的研究工作。 Summarization of Resource Pool Deployment of Telecom Operatorss Cloud Computing Yan Jie, Fan Yongbing, Jin Huamin,Tang Hong (Guangdong Research Institute of China Telecom Co., Ltd., Guangzhou 510630, China) Abstract Considering the characteristics of deploying telecom operatorss IT resources, this article suggestes that how to define the number of cloud which a telecom operator should plan and construct,proposes the methods of constructing a cloud resource pool,and mentiones the estimate ideas of whether existing business systems are suitable for migrating to the resource pool. Key words cloud computing, IaaS, resource pool,deploy （收稿日期：2011-07-29 ） 摘 要 安全性和隐私保护是广大用户评估云计 算服务最重要的考量因素 ， 是云计算健康 可 持续发展的 基 础 。 本文结合电信级云计算平台及其服务提供特点 ， 提出从基础设施 安 全 、 底 层 架 构 安 全 、 用 户 信 息 安 全 、 运营管理安全等多个层面构建纵深的云计 算应用安全防御体系 ， 并 给 出 具 体 的 安 全 策 略部署及实施建议 。 关键词 云计算；云安全；网络安全 图 1 图 1 云计算平台安全策略 · 将数据统一存储在云计算服务器中，通过加强对核 心数据的集中管理， 理论上比分布在大量各种端 点、终端上的数据更安全。 · 云计算的同质化使得安全审计、安全评估与测试更 加简单。 · 云计算更易实现系统容错、冗余及灾备。 其安全挑战则主要体现在如下 3 个方面。 · 多租户环境下的数据隐私保护问题突出，用户信息 安全、用户信息隔离问题在共享物理资源环境下的 图 2 图 2 云计算平台安全域划分 全性、健壮性以及服务连续性和稳定性。 （1）安全域划分 云计算平台一般由生产域、运维管理域、办公域、DMZ 区和 Internet 域组成，应根据其安全防护需求，将云计算平 台的安全域划分为 3 级，如图 2 所示。 其中，云计算平台生 产系 统 、 运维管理域为第 1 级 安 全 域 ； 办 公 域 、DMZ 区 为 第 2 级安全域；Internet 域为第 3 级安全域。 各安全域之间必须经过硬件防火墙进行隔离，确保安 全域之间的数据传输符合相应的访问控制策略，确保本区 域内的网络安全。 服务器的管理运维接口则应接入运维管 理网络。 在各安全域内部，应根据业务类型与不同客户情 况，规划下一级安全子域。 在虚拟化环境中，可考虑综合采 用虚拟交换机、虚拟防火墙等措施将不同用途的网络流量 分隔以保证通信流量不会相互干扰，提高网络资源的安全 性和稳定性。 （2）基础网络安全 为实现云计算平台基础网络的可扩展性，云计算平台 整体网络应进行统一 IP 地址规划， 对于云计算平台所属 服务器、生产客户端，应采取 IP 地址和数据链路层地址绑 定措施，