? 运维管理子区：一般包括运维监控平台、网管平台、网络控制器等；

? 安全管理子区：一般包括安全审计、安全防病毒、补丁管理服务器、安全检测管理服务器等。

?

资源区：主要包括各种虚拟化资源，涉及主机、网络、数据、平台和应用等各种虚拟化资源。按照各种资源安全策略的不同，可以进一步细分为生产资源、非生产资源、管理资源。不同的资源区对应不同的上层区域，如生产区、非生产区、管理区等；

? DMZ区：主要包括提供给Internet用户、外部用户访问代理服务器、Web服务器组成。一般情况下Internet、Intranet用户必须通过DMZ区服务器才能访问内部主机或服务；

? 堡垒区：主要提供内部运维管理人员、云平台租户的远程安全接入以及对其授权、访问控制和审计服务，一般包括VPN服务器、堡垒机等；

? 运维终端接入区：负责云平台的运行维护终端接入

针对具体的云平台，在完成安全域划分之后，就需要基于安全域划分结果，设计和部署相应的安全机制、措施，以进行有效防护。

云平台不同于一般的IT系统，会涉及多个网络，下面对此进行简要说明，再讨论云平台的安全防护。

网络隔离

为了保障云平台及其承载的业务安全，需要根据网络所承载的数据种类及功能，进行单独组网。 ?

管理网络

物理设备是承载虚拟机的基础资源，其管理必须得到严格控制，所以应采用独立的

带外管理网络来保障物理设备管理的安全性。同时各种虚拟资源的准备、分配、安全管理等也需要独立的网络，以避免与正常业务数据通信的相互影响，因此设立独立的管理网络来承载物理、虚拟资源的管理流量； ?

存储网络

对于数据存储，往往采用SAN、NAS等区域数据网络来进行数据的传输，因此也将

存储网络独立出来，并于其他网络进行隔离；

20

云安全解决方案

云平台安全域划分和防护设计?安全域划分

? 迁移网络 虚拟机可以在不同的云计算节点或主机间进行迁移，为了保障迁移的可靠性，需要

将迁移网络独立出来； ?

控制网络

随着SDN技术的出现，数据平面和数据平面数据出现了分离。控制平面非常重要，

关于真个云平台网络服务的提供，因此建议组建独立的控制网络，保障网络服务的可用性、可靠性和安全性

上面适用于一般情况。针对具体的应用场景，也可以根据需要划分其他独立的网络，

安全防护设计

云计算系统具有传统IT系统的一些特点，从上面的安全域划分结果可以看到，其在外部接口层、核心交换层的安全域划分是基本相同的，针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。如下图所示：

图四.8传统安全措施的部署

21

云安全解决方案

云平台安全域划分和防护设计?安全防护设计

当然，从上面的安全域划分结果可以看到，相对于传统的网络与信息系统来讲，云平台由于采用了虚拟化技术，在计算服务层、资源层的安全域划分与传统IT系统有所不同，这主要体现在虚拟化部分，即生产区、非生产区、管理区、支撑服务区、堡垒区、DMZ区等。下面在对这些采用了虚拟化技术的区域进行重点设计。当然，对于不同的区域，应按照根据4.3节安全保障技术框架的要求，选择、落实适用的安全控制措施，下面重点说明。

生产区

生产区部署了虚拟化主机、软件平台、应用层，应基于虚拟化技术实现，因此其安全防护应考虑虚拟化安全、网络安全、主机安全、应用安全、数据安全等内容。

虚拟化安全

虚拟化安全主要涉及虚拟化组件及其管理的安全，包括了虚拟化操作系统、虚拟化交换机、虚拟主机、虚拟存储及虚拟化安全管理系统的安全。

对于虚拟化安全主要采用的是安全配置和加固、虚拟化映像防护等。详细内容参见第七章介绍。

网络安全

网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、VPN接入、安全审计等内容。

防火墙及边界防护

安全域需要隔离，并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有VLAN、网络设备ACL、防火墙、IPS设备等，这里主要对防火墙的功能、部署进行说明 功能

22

云安全解决方案

云平台安全域划分和防护设计?安全防护设计

访问控制系统的安全目标是将云计算中心与不可信任域进行有效地隔离与访问授权。访问控制系统由防火墙系统组成，防火墙在网络入口点或者安全域的边界，根据设定的安全规则，检查经过的通信流量，在保护内部网络安全的前提下，对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。 产品形态

对于云计算环境的边界隔离，主要采用传统防火墙、虚拟化防火墙。 部署

对于云平台，防火墙需要实现对传统网络环境中的安全域的隔离，也需要实现对虚拟化环境中的安全域（如生产域及其子区、生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ域及其子区等）的隔离。对于传统网络环境中的安全域可采用传统防火墙、传统的部署方式即可，而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。

以VMWare ESXi虚拟化平台为例，虚拟化防护墙的部署方式如下图所示：

23

云安全解决方案

云平台安全域划分和防护设计?安全防护设计