云計算對新一代數(shù)據(jù)中心的影響分析和建設思路--中國電信

新計算，新數(shù)據(jù)中心，安全新思路 金華敏 中國電信股份有限公司廣州研究院 2010年 10月 /webmoney 目錄 云計算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對策 云計算定義和特征 云計算對新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對策 /webmoney 云計算的目標理念 -IT設施成為象水、電一樣的公共基礎設施 企業(yè) B 企業(yè) A 企業(yè) C 企業(yè) A 企業(yè) B 企業(yè) C 互聯(lián)網(wǎng) 云平臺服務商 轉變 IT服務的商業(yè) 模式 極大 降低 用戶使用 IT服務的 門檻 （資金、技術、時間、人力等方面） 激發(fā)出更為廣大的市場空間 發(fā)電廠 企業(yè)自己部署發(fā)電設施 企業(yè)使用公共電力服務 電力傳輸網(wǎng)絡 /webmoney 云計算的定義與特征 以服務為提供方式 有別于傳統(tǒng)的一次性買斷統(tǒng)一規(guī)格的有形產(chǎn)品，云計 算 以按需服務的方式根據(jù)不同用戶的個性化需求推出多層次的服務 基于網(wǎng)絡構建的云計算可以快速靈活適應用戶不斷變化的需要，同時通過各種機制實現(xiàn)高擴展高可靠性 高 擴展 高可靠性 底層資源（計算 /存儲 /網(wǎng)絡 /邏輯資源等）對用戶透明，用戶無需了解資源具體實現(xiàn)和地理分布等，對提供者而言則是一個巨大的池化資源 資源池化與透明化 網(wǎng)絡是云計算的主要組件之一；網(wǎng)絡是云計算的承載體；網(wǎng)絡是云計算為用戶提供服務的通道 以網(wǎng)絡為中心 云計算是一種將 池化的集群計算能力 通過 互聯(lián)網(wǎng) 向內外部用戶提供 彈性、按需服務 的新業(yè)務、新技術。 云計算既是一種技術，也是一種服務，甚至還是一種商業(yè)模式， 只有符合某些特征的計算模式才能稱之為 “ 云計算 ” 。 其特征如下： /webmoney 5 提供能力 - 通過 IaaS虛擬化技術，將眾多服務器和存儲資源池化，為用戶或業(yè)務應用的承載提供所需的計算資源 承載方式的轉變 - 資源利用率更高以實現(xiàn)節(jié)能高效 - 快速提供計算資源以滿足用戶突發(fā)資源需求 - 用戶能夠自主定制資源 - 為提供彈性資源出租服務提供了基礎 IaaS 新的計算承載方式 遷移 可以在不同服務器之間直接遷移正在運行的虛擬機 共享 在單一物理服務器上可同時運行多個虛擬機 隔離 每一個虛擬機都與同在一個服務器上的其他虛擬機相隔離 封裝 虛擬機將整個系統(tǒng)，包括硬件配置、操作系統(tǒng)以及應用等封裝在文件里 /webmoney 6 Platform 眾多中低端的 x86服務器 編程模型 如 MapReduce 超大型文件系統(tǒng) 如 HDFS 海量數(shù)據(jù)庫 如 Hbase 新計算模型 監(jiān)控與 調度管理 API/SDK 第三方軟件開發(fā)者 最終用戶 交付形態(tài) 軟件銷售 提供能力 - 通過分布式并行計算算法，充分聚合服務器的計算和存儲能力，為特定應用提供海量數(shù)據(jù)處理能力 - 形成高效的軟件應用開發(fā)和托管平臺，聚合第三方軟件開發(fā)者和終端用戶 計算模型的轉變 - 通過低成本的 PC服務器集群獲得高性能計算 ， 并接近線性擴展 PaaS 新的計算模型 能力調用接口 自有應用（如搜索、郵件、視頻） /webmoney 7 交互數(shù)據(jù) 軟件運行和計算在數(shù)據(jù)中心側完成 終端通過 web瀏覽器使用軟件應用 Internet 提供能力 - 用戶通過互聯(lián)網(wǎng)獲得所需的軟件服務，無需花費大量的精力用于 IT設施的建設與維護 - 減輕終端設備的計算壓力，拉動移動互聯(lián)網(wǎng)業(yè)務的發(fā)展 應用模式的轉變 - 計算工作從終端側轉移至數(shù)據(jù)中心側，降低對終端設備的計算能力要求 SaaS 新的計算應用模式 數(shù)據(jù)中心 /webmoney 目錄 云計算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對策 云計算定義和特征 云計算對新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對策 /webmoney 云計算對數(shù)據(jù)中心的影響 9 新的計算承載方式 新的計算模型 新的計算應用模式 物理資源高效整合、業(yè)務快速部署、節(jié)能減排 增強海量數(shù)據(jù)處理能力 計算運行于數(shù)據(jù)中心側，降低終端計算能力要求，能夠拉動前端用戶發(fā)展 建設模式從煙囪式轉變?yōu)榧s式 規(guī)劃和建設視角從以機房為單位轉變?yōu)槿W(wǎng)統(tǒng)一布局 業(yè)務模式從提供基礎承載環(huán)境轉變?yōu)榻桓顿Y源和應用 降低社會信息化門檻 將極大拉動前端終端用戶的發(fā)展，業(yè)務量將規(guī)模上升 運營模式由屬地化運營轉變?yōu)榻y(tǒng)一運營 維護模式由簡單的設施和設備監(jiān)測轉變?yōu)槎说蕉?IT應用維護 安全與法律風險從用戶側轉移至數(shù)據(jù)中心側 云計算的引入 對數(shù)據(jù)中心的技術影響 對數(shù)據(jù)中心的業(yè)務影響 對數(shù)據(jù)中心的挑戰(zhàn) /webmoney 對數(shù)據(jù)中心的業(yè)務影響 當前的數(shù)據(jù)中心使用模式 目標業(yè)務模式 運營商核心問題： 基礎業(yè)務占近 90%，價值業(yè)務 逐步減 少 ；能耗高，運營成本高 由于絕大部分的設備產(chǎn)權歸屬 IDC客戶，增值服務和應用服務一直開展不起來 缺乏整體的管理平臺，運維效率低，成本高 數(shù)據(jù)中心客戶 運營商 主機托管 客戶自已提供服務器 運營商提供能源，機柜和帶寬 VIP機房 客戶租用機房 運營商提供空機房及帶寬 運營商為客戶提供一站式服務 最終客戶只須租用虛擬機來部署自身應用 IDC客戶核心問題： 用戶需要花費大量精力進行方案設計、設備部署、軟件系統(tǒng)安裝，業(yè)務部署周期長，維護成本高 中小企業(yè)需要在 IT資源和維護上進行較大的投入，增加其風險 自助 Portal 申請彈性主機 1 2 windows 虛擬服務器 數(shù)據(jù)中心 VM VM VM VM VM VM VM VM VM VM 3 windows 虛擬服務器 網(wǎng)站 數(shù)據(jù)中心客戶 運營商 運營商價值： 提供豐富的高價值的多樣化服務；利用規(guī)模經(jīng)濟獲取利潤 設備產(chǎn)權歸屬運營商，增強了開展增值服務的基礎 精細化運營，統(tǒng)一管理平臺 IDC客戶價值： 自助式服務，實現(xiàn)業(yè)務快速部署 低成本獲取 IT資源，降低其使用 IT資源的門檻，減少其維護成本 大型客戶 中小客戶 10 /webmoney 從傳統(tǒng)的煙囪式的建設模式轉變?yōu)榧s化的建設模式 對數(shù)據(jù)中心的技術影響 從傳統(tǒng)的以機房為單位建設上升為全網(wǎng)統(tǒng)一規(guī)劃布局 骨 干 網(wǎng)城 域網(wǎng)城 域網(wǎng)城 域網(wǎng)城 域網(wǎng)終 端用 戶終 端用 戶終 端用 戶終 端用 戶數(shù) 據(jù)中 心數(shù) 據(jù)中 心數(shù) 據(jù)中 心設計采購建設服務器 /存儲 / 網(wǎng)絡資源業(yè)務 1設計采購建設服務器 /存儲 / 網(wǎng)絡資源業(yè)務 2設計采購建設服務器 /存儲 / 網(wǎng)絡資源業(yè)務 N 設計采購建設服務器 / 存儲 / 網(wǎng)絡資源業(yè)務 1 業(yè)務 2 業(yè)務 N傳統(tǒng)的煙囪式的建設模式 集約化的建設模式一般需要半年時間一次建設資源分配可在當天完成設計采購建設服務器存儲 網(wǎng)絡資源業(yè)務設計采購建設服務器存儲 網(wǎng)絡資源業(yè)務設計采購建設服務器存儲 網(wǎng)絡資源業(yè)務 設計采購建設服務器 存儲 網(wǎng)絡資源業(yè)務 業(yè)務 業(yè)務傳統(tǒng)的煙囪式的建設模式 集約化的建設模式一般需要半年時間一次建設資源分配可在當天完成應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) / 中間件 / 數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) 中間件 數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) /中間件 /數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) 中間件 數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) /中間件 /數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) 中間件 數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) /中間件 /數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）應用優(yōu)化與加速安全業(yè)務與應用平臺操作系統(tǒng) 中間件 數(shù)據(jù)庫網(wǎng)絡基礎配套設施存儲資源 計算資源運營管理數(shù)據(jù)處理引擎與業(yè)務聚合平臺（統(tǒng)一、穩(wěn)定、可擴展）（節(jié)能高效）（性能優(yōu)越、可靠、可擴展）（數(shù)據(jù)處理能力強、開放性強 ）（業(yè)務運行于數(shù)據(jù)中心側 ）/webmoney 運營模式 對數(shù)據(jù)中心的挑戰(zhàn) 挑戰(zhàn) 對策 建設全網(wǎng)的統(tǒng)一運營體系，規(guī)范管理組織結構、統(tǒng)一配置資源、整合營銷和服務渠道、統(tǒng)一價格體系 以互聯(lián)網(wǎng)業(yè)務的形式經(jīng)營云計算服務 統(tǒng)一的業(yè)務受理、業(yè)務開通、服務資費、售后服務 維護模式 對策 挑戰(zhàn) 維護人員需要更強的 IT技能和服務能力 維護內容繁雜，維護流程復雜 培養(yǎng) IT專家和 IT服務團隊 建立配套的管理系統(tǒng)來支撐和簡化運維管理工作 安全與風險 挑戰(zhàn) 對策 建立云計算環(huán)境下的安全防御體系 遵照國家法律法規(guī) ,定期進行信息安全監(jiān)測和檢查 制定嚴謹?shù)挠脩舴帐褂脜f(xié)議，避免用戶不當帶來的法律糾紛 用戶信息存放在運營商提供的 IT資源中，存在被窺探和篡改的風險 用戶的不法行為操作會導致運營商面臨法律風險 /webmoney 目錄 云計算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對策 對云計算（新計算）的理解 云計算對新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對策 /webmoney 基礎資源出租業(yè)務為主 基礎資源出租業(yè)務 + 增值業(yè)務 資源按需提供業(yè)務+ 差異化增值業(yè)務 + 內容整合業(yè)務 演進路線 歷叱必然 應用 存儲 計算 數(shù)據(jù)中心 從國內數(shù)據(jù)中心發(fā)展現(xiàn)狀來看，目前還基本處于第二代的起步階段 “ 新一代數(shù)據(jù)中心 ” 一般是指第三代數(shù)據(jù)中心，其所謂的 ” 新 “ 是相對第二代而言 數(shù)據(jù)中心的發(fā)展路線 /webmoney 15 2005 Cisco Sy stems, Inc. All rights reserv ed. 全程全網(wǎng)的計算服務發(fā)展 虛擬機器實現(xiàn)網(wǎng)絡耦合 內嵌數(shù)據(jù)保護 策略制定與轉發(fā)控制相分立 自動化Automation Session Number Presentation_ID 擴展能力 處理能力 設備密度 可用性 可管理能力 投資保護 云計算引發(fā)的新一代數(shù)據(jù)中心變革 Virtualization 節(jié)省能耗 服務加速 運維模式調整 資源使用率提高 靈活性 虛擬化Virtualization 聚合Consolidation /webmoney 傳統(tǒng)數(shù)據(jù)中心 （基礎承載環(huán)境） 新一代數(shù)據(jù)中心 （業(yè)務聚合平臺） 技術架構 業(yè)務模式 運營管理 新一代數(shù)據(jù)中心將向業(yè)務聚合平臺演進 IT資源和軟件應用的出租服務占比將增大，各類增值業(yè)務業(yè)務也將快速發(fā)展 機房空間、機架、帶寬等基礎業(yè)務為主 虛擬資源池、聚合平臺和應用平臺的構建將成為重點 傳統(tǒng)的網(wǎng)絡和 IT設備部署方式 要求在全局上統(tǒng)一運營，打破地域局限性 要求高水平的網(wǎng)絡和 IT維護服務團隊 運營商可能會面臨新的風險 屬地化運營 要求具備基本的網(wǎng)絡和 IT維護能力 安全風險和法律風險較小 建設模式 集約型建設，通過資源池化，提高資源利用率 煙囪式建設模式，為每個業(yè)務應用部署一套硬件資源 16 /webmoney 目錄 云計算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對策 對云計算（新計算）的理解 云計算對新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對策 /webmoney 數(shù)據(jù)中心的傳統(tǒng)安全模型 L2 交換機 ：端口隔離、五元組綁定、 802.1X等實現(xiàn)二層安全保護 L2.5 VLAN/MPLS：網(wǎng)絡隔離 L3 路由器 /防火墻 ：訪問控制和隔離、加密 L4 流量異常分析 L5-L7 應用層威脅防御：間諜軟件、病毒、攻擊等，數(shù)據(jù)安全（異地容災，數(shù)據(jù)備份） 安全 管理 用戶 管理 基于安全邊界的層次化、組件化的安全設施，能有效滿足 傳統(tǒng) IDC安全需求 /webmoney 新數(shù)據(jù)中心面臨新的安全威脅與挑戰(zhàn) 資源聚合技術的應用使得計算 /存儲 /網(wǎng)絡資源高度集中 虛擬化等技術的應用使得傳統(tǒng)物理安全邊界缺失 用戶數(shù)據(jù)存儲、處理、網(wǎng)絡傳輸?shù)榷寂c數(shù)據(jù)中心密切相關，如果發(fā)生故障造成的后果較傳統(tǒng)數(shù)據(jù)中心更為嚴重 傳統(tǒng)網(wǎng)絡安全設施與防御機制在防護能力、響應速度等方面越來越難以滿足日益復雜的安全防護要求 傳統(tǒng)的基于安全域 /安全邊界防護機制難以滿足虛擬化環(huán)境下的多租戶應用模式 用戶信息安全、用戶信息隔離問題在共享物理資源環(huán)境下的保護更為迫切 分布式計算等技術的應用使得用戶數(shù)據(jù) /計算資源具有全網(wǎng)分布特性 數(shù)據(jù) /計算資源具有不確定性、動態(tài)性和全網(wǎng)分布性，而不是位于某一固定節(jié)點 基于固定節(jié)點的安全設施難以滿足數(shù)據(jù)位置動態(tài)變化或全程全網(wǎng)的安全防護需求 /webmoney 虛擬化應用面臨新的安全問題 流量監(jiān)控問題 內部虛擬網(wǎng)絡上的虛擬機通信缺乏可見性和控制力，傳統(tǒng)的流量監(jiān)測方法或設備難以實施有效的安全監(jiān)控 虛擬防火墻等虛擬化安全軟件將占用有限的物理機資源，可能對正常的虛擬機用戶的正常運行造成影響 虛擬化安全軟件 虛擬化軟件對主機硬件和系統(tǒng)擁有高級訪問權限，可直接訪問到硬件抽象層 虛擬機管理軟件存在的安全漏洞如果被惡意利用，將嚴重威脅整個虛擬化環(huán)境所有虛擬機用戶的安全 虛擬化漏洞問題 “ 惡意”虛擬機對物理資源的過度占用，可能會嚴重影響同一物理機上其他虛擬機的正常運行 資源搶占問題 虛擬化平臺管理員擁有的管理權限如果被非法濫用，將對眾多虛擬機用戶的數(shù)據(jù)和應用安全造成嚴重威脅 權限濫用問題 /webmoney 目錄 云計算與數(shù)據(jù)中心 新一代數(shù)據(jù)中心安全對策 云計算定義和特征 云計算對新一代數(shù)據(jù)中心的影響 新一代數(shù)據(jù)中心的演進思路 新一代數(shù)據(jù)中心安全威脅分析 新一代數(shù)據(jù)中心安全對策 /webmoney 數(shù)據(jù)中心安全防護 針對新數(shù)據(jù)中心的安全防護需求，構建縱深的安全防御體系，保護數(shù)據(jù)中心及用戶信息應用安全 安全對策 安全設施能力提升 采用基于云計算技術及理念， “ 池化 ” 安全資源，提升安全能力和服務效能，滿足全程全網(wǎng)的安全防護需求 結合新一代數(shù)據(jù)中心業(yè)務應用特點，充分利用云計算技術及理念，滿足彈性、動態(tài)、全程全網(wǎng)的安全防御需求 新數(shù)據(jù)中心的安全對策 /webmoney 新數(shù)據(jù)中心的安全防護思路 安全防護思路 結合新一代數(shù)據(jù)中心的業(yè)務應用特點及平臺架構層的特性，在采取傳統(tǒng)安全防護基礎上，進一步集成數(shù)據(jù)加密、 VPN、身份認證、安全存儲、虛擬化安全、安全防御設施和資源云化等綜合安全技術手段，構建面向應用的縱深安全防御體系 基礎設施安全 用戶數(shù)據(jù)安全 保障數(shù)據(jù)中心基礎設施的穩(wěn)定性及服務連續(xù)性 保護用戶信息的可用性、保密性和完整性 運營管理安全 提高運營管理安全，完善安全審計及溯源機制 底層架構安全 保障虛擬化、分布式計算等平臺架構層系統(tǒng)架構安全 數(shù)據(jù)中心安全 /webmoney 新數(shù)據(jù)中心安全對策 -虛擬化安全 服務器虛擬化安全 虛擬機管理器安全：服務最小化原則、內核模塊完整性、補丁管理機制等 虛擬機安全：虛擬機安全隔離、訪問控制、惡意虛擬機防護（ 防地址欺騙、 VM端口掃描等 ）、虛擬機資源限制等 網(wǎng)絡虛擬化安全 虛擬交換機：采用 VLAN劃分虛擬機組、對端口限速，禁止混雜模式進行網(wǎng)絡嗅探等 虛擬防火墻：設置安全訪問控制策略，建立邏輯安全邊界 存儲安全： 支持存儲空間的負載均衡、冗余保護等 高可用性要求 ：支持虛擬機的 HA(冷備 )、 FT（熱備）、備份恢復等，實現(xiàn)故障虛擬機的重新啟用或快速切換，保障高可用性 容災備份： 提供虛擬機層級的異地容災服務 虛擬化安全管理 ：支持宿主機資源監(jiān)控、虛擬機資源監(jiān)控、安全遷移及回退機制、負載均衡、資源預留等 虛擬化 安全 通過完善、規(guī)范服務器虛擬化安全、網(wǎng)絡虛擬化安全、存儲安全、高可用性要求以及虛擬化安全管理相關配置要求，提高虛擬化應用安全性 /webmoney 新數(shù)據(jù)中心安全對策 -基礎設施安全 基礎網(wǎng)絡安全 安全域劃分：部署防火墻，劃分安全域，實施安全邊界防護 異常流量監(jiān)測與攻擊防范：進行流量實施監(jiān)控，部署 DDoS攻擊防御系統(tǒng)或使用相關攻擊防護服務 承載網(wǎng)絡應支持設備級、鏈路級的冗余備份 主機及管理終端安全 主機 /終端系統(tǒng)安全加固：補丁管理、安全配置 安全防護：控制蠕蟲 /病毒 /木馬在云計算平臺內傳播，非法入侵監(jiān)測 安全基礎設施資源池化 采用安全云技術提升安全基礎設施服務效能，構建 安全服務資源池 應急響應 建立完善的應急響應機制，提高對異常情況和突發(fā)事件的應急響應能力 基礎設施 安全 建立數(shù)據(jù)中心基礎網(wǎng)絡、主機等基礎設施的縱深安全防御機制，提高數(shù)據(jù)中心基礎設施的安全性、健壯性，保障服務提供連續(xù)性和穩(wěn)定性 /webmoney 新數(shù)據(jù)中心安全對策 -數(shù)據(jù)安全 數(shù)據(jù)隔離 ：通過虛擬化層安全機制實現(xiàn)虛擬機間存儲訪問隔離 數(shù)據(jù)訪問控制： 設置虛擬環(huán)境下的邏輯邊界安全訪問控制策略，實現(xiàn)虛擬機、虛擬機組間的數(shù)據(jù)訪問控制 數(shù)據(jù)存儲安全 ：為用戶可選提供加密存儲服務；虛擬機服務則建議用戶對重要的數(shù)據(jù)信息在上傳、存儲前進行加密處理 數(shù)據(jù)傳輸安全 應采用 SSH、 SSL等方式保障維護管理信息的安全 應支持采用數(shù)據(jù)加密、 VPN等技術保障用戶數(shù)據(jù)信息的網(wǎng)絡傳輸安全 剩余信息保護 ： 存儲資源重分配之前進行完整的數(shù)據(jù)擦除；數(shù)據(jù)刪除后，對應的存儲區(qū)進行完整的數(shù)據(jù)擦除或標識為只寫 數(shù)據(jù)備份與恢復 ：支持文件級完整和增量備份；映像級恢復和單個文件的恢復 數(shù)據(jù) 安全 通過采用數(shù)據(jù)隔離、訪問控制、加密傳輸、安全存儲、剩余信息保護等技術手段，保護數(shù)據(jù)中心用戶信息的可用性、私隱性和完整性 /webmoney 新數(shù)據(jù)中心安全對策 -運營管理安全 4A安全（帳號、認證、授權、審計） 用戶管理 ：對用戶帳號進行集中維護管理，為集中訪問控制、集中授權、集中審計提供可靠的原始數(shù)據(jù) 訪問認證： 應建立統(tǒng)一、集中的認證和授權系統(tǒng)，以提高訪問認證的安全性 安全審計 ：建立安全審計系統(tǒng)，進行統(tǒng)一、完整的審計分析，通過對操作、維護等各類日志的安全審計，提高對違規(guī)溯源的事后審查能力 運營安全 制定安全