企业案例无锡地铁云计算平台 企业案例无锡地铁云计算平台、项目交付、云平台安全方案 3.3云平台安全方案.docVIP

PAGE9 / NUMPAGES9 云平台安全方案 云平台安全方案 魏道付 （华云数据集团） 摘 要：本文描述华云数据集团承建无锡地铁云计算平台项目的云平台安全方案 关键字：华云数据、无锡地铁、云平台安全方案 1 项目环境 无锡地铁3号线一期、1号线南延线是获得国家发展和改革委员会批准建设的重点项目，该工程项目中有大量的信息网络系统设备集成。而轨道交通行业的IT系统的集成在“互联网+”时代需要随需而变，传统“烟囱式”的系统架构，无法快速扩展满足突发的业务需求，无法满足无锡地铁信息化建设构建统一管理平台的发展需求，并且还存在重复投资等问题。 随着三号线的建设，无锡地铁计划建设私有云平台，通过应用虚拟化技术和云计算平台来整合内部IT系统，实现资源统筹管理，提升现有资源的可靠性和可用性，大幅度节约企业硬件成本和管理成本，提高资源使用率，为应用提供动态、灵活、弹性、虚拟、共享和高效的资源服务，以加快生产和开发的效率，解决当前面临的痛点。 华云丰富的云计算的经验和领先的技术创新理念，提供面向服务的私有云解决方案，帮助无锡地铁解决数据中心面临的高成本、低效益问题，建设业务发展的重要战略信息平台，构筑卓越绩效的基石。 2 云平台安全方案 无锡地铁云计算平台如要实现完善的安全体系进行全面保护，首先要保证的是无锡地铁云平台自身的安全性，解决针对云平台最为重要的安全问题，主要是区域隔离、纵深安全防护、平台安全运维几个方面。 （1）云计算平台安全设计概述 首先，云平台架构的高可用性、以及SDN（软件定义网络）、并依靠物理安全设备，来保障整个云平台物理层安全、云资源安全、平台网络安全、云主机安全，同时结合云平台的权限管理、密钥管理、审计、租户隔离等技术，共同保障云平台的安全可靠运行。 其次，由于整个云计算平台平台业务系统规模很大，众多业务系统安全统一访问，需要非常强大的身份认证系统，这也是本节安全设计核心。CIAM（Chinac Identity and Access Management）是打造的访问控制产品，实现统一的身份管理、统一资源管理、集中式权限控制、细颗粒访问控制。由此形成了一套平台稳定、访问安全、账户统一的云平台安全体系。 云平台安全设计内容 安全模块 安全设计内容 物理安全设计 服务器集群安全设计 网络集群安全设计 存储集群安全设计 网络安全设计 物理网络安全设计 外部入侵网络防御 内部网络安全设计 租户安全策略 云主机安全设计 云主机网络安全 私有云VPC 云主机安全组 云主机虚拟防火墙 云主机虚拟路由器 VPN服务 网关及端口转发 隧道服务 云平台访问安全设计 CIAM统一账户系统 基于角色的访问控制 登录双因素认证 传输加密https 安全事件监控和报警 监控 报警 数据备份与恢复 云平台备份与恢复 云主机备份与恢复 备份功能设计 云平台安全体系 本方案的云平台安全设计，对整个云平台进行系统性的设计，包括云平台硬件层安全、云平台资源层安全、云平台访问安全等，以及使用CIAM技术、密钥技术、SDN、租户隔离等安全技术支撑，再加上数据的备份恢复容灾技术，形成了一套更安全、稳定、加固的云平台安全体系。 （2）云计算平台物理安全设计 数据云平台的物理层安全设计，主要通过对物理层的物理服务器、网络设备、存储设备进行高可用安全设计，提供集群的安全高可用、虚机的在线热迁移、数据的多重安全保护等多种高级特性。 物理服务器集群安全设计 对于一些实时性很强的应用系统，必须保持服务的24小时不间断运行，方案构建服务器集群来保障业务系统的稳定性和扩展性。构建集群的一个最大的优点是集群具有高可用性和扩展性，在服务出现故障时，服务器集群系统可以自动将服务从故障节点切换到另一个备用节点，从而提供不间断性服务，保证了业务的持续运行。 网络集群安全设计 首先，网络节点采用多台网络设备实现全冗余架构，实现网络功能安全高可用，单机柜故障不影响集群对外提供服务。 其次，SDN技术，软件定义虚拟网络，实现Vxlan功能，提供高可用、安全、可视的操作平台，以及网络安全容错能力。 存储集群安全设计 数据云平台采用Ceph统一分布式多副本冗余存储，为镜像服务，虚拟机，块存储的提供统一的后端冗余存储。且可以通过横向扩展存储空间，提高云平台的存储扩展性。 存储使用基于 Ceph 的分布式存储系统提供块存储服务，通过多副本和多OSD来提供数据冗余性和高性能的IOPS，为上层组件和应用，提供对象存储、块存储等，极大的提升云主机的 IO 性能，足以应对各种苛刻的企业应用需求。 （3）云计算平台网络安全设计 云平台中的网络安全同样面临着威胁，例如DDos、网络嗅探、云恶意软件注入等。在数据云平台的服务模式中，采取的安全防护的措施和技术包括划分安全域（VLAN），实施安全边界防护