構(gòu)建安全的云計(jì)算平臺(tái)

安全的云計(jì)算平臺(tái)新致云田奎?概述?云平臺(tái)基礎(chǔ)架構(gòu)安全?云用戶數(shù)據(jù)安全?云平臺(tái)運(yùn)營(yíng)管理安全?云平臺(tái)安全實(shí)踐接受程度的增加和云計(jì)算商業(yè)模式的成熟，越來(lái)越多的個(gè)人和企業(yè)都開(kāi)始使用云。移動(dòng)、大數(shù)據(jù)、物聯(lián)接受程度的增加和云計(jì)算商業(yè)模式的成熟，越來(lái)越多的個(gè)人和企業(yè)都開(kāi)始使用云。移動(dòng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、社交等應(yīng)用類的發(fā)展帶動(dòng)云發(fā)展的同時(shí)也給云帶來(lái)了安全方面的巨大挑戰(zhàn)。云計(jì)算相對(duì)于傳統(tǒng)的計(jì)算，使用模式發(fā)生了革命性的變化，安全也1面更大，目標(biāo)價(jià)值更高，影響面更廣。因此對(duì)于安全防范也面臨新的計(jì)算安全、網(wǎng)絡(luò)安全、威脅分析、防護(hù)探討等一系列?云平臺(tái)整體架構(gòu)安全?云平臺(tái)整體架構(gòu)安全虛擬化安全2?云平臺(tái)體架構(gòu)安全既包括云平臺(tái)物理架構(gòu)的安全，也包含云平臺(tái)虛在物理網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)中要包含防范各種各樣的威脅，如病毒，木馬，一宿主機(jī)上的虛機(jī)之間的安全訪問(wèn)，這就要借用虛擬防火墻。在云平臺(tái)虛擬架構(gòu)的安全設(shè)計(jì)中，我們將網(wǎng)絡(luò)安全設(shè)備資源池化，形成一個(gè)資源池，在地方調(diào)用合適的安全資源。且這種安全設(shè)備資源池化后，具有架構(gòu)臺(tái)安全防Ddos安全設(shè)計(jì)臺(tái)安全MMMMMM可信管理數(shù)據(jù)管理CORESWCORESWRouterRouterTORTORitch務(wù)器RouterRouterWANMMRouterTORitchnFlowNetconf網(wǎng)絡(luò)管理控制中心MMMMMM可信管理數(shù)據(jù)管理CORESWCORESWRouterRouterTORTORitch務(wù)器RouterRouterWANMMRouterTORitchnFlowNetconf網(wǎng)絡(luò)管理控制中心的網(wǎng)絡(luò)構(gòu)架VMVMPlug-in北流量管理西流量管理VXLANVTEP北流量管理西流量管理VXLANVTEPGW統(tǒng)一管理LANNetworkOVSDBLANNetworkOVSDBM網(wǎng)絡(luò)平臺(tái)安全云平臺(tái)整體架構(gòu)安全-DDOS指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊者控制多臺(tái)傀儡機(jī)從世界各地向攻擊目標(biāo)發(fā)動(dòng)攻擊，其實(shí)攻擊的是我們?cè)诟鱾€(gè)數(shù)據(jù)中心部署的CDN網(wǎng)絡(luò),CDN中的流量檢測(cè)設(shè)備檢測(cè)到后，送流量清洗流量清洗云平臺(tái)整體架構(gòu)安全-DDOS攻擊數(shù)據(jù)中心安全防護(hù)Anti-DDOSAnti-DDOSVMevxlangatewayevxlangatewayVxlan網(wǎng)絡(luò) Anti-DDOSAnti-DDOSVMevxlangatewayevxlangatewayVxlan網(wǎng)絡(luò) VTEPVMVMVMHypervisorVMVTEPVM2VM3Hypervisor物理硬件設(shè)備(網(wǎng)絡(luò)平臺(tái)安全gatewayPSvWAFvAudit，多臺(tái)虛擬機(jī)共享使用物理主機(jī)的儲(chǔ)安全虛擬機(jī)鏡像無(wú)論在靜止還是運(yùn)行狀態(tài)都有被竊取或篡改脆弱漏洞。對(duì)應(yīng)的解決方案是在任何時(shí)候?qū)μ摂M機(jī)鏡像進(jìn)行加密和邏輯鏡像隔離。虛擬化對(duì)網(wǎng)絡(luò)安全帶來(lái)巨大的威脅，虛擬機(jī)間可能通過(guò)內(nèi)存而不是網(wǎng)行通訊，因此這些通訊流量對(duì)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來(lái)說(shuō)是不可見(jiàn)的。安全安全CPUCPU虛擬化安全性保證安全性保證虛擬化安全--CPU虛擬化安全性保證cpu虛擬化安全：統(tǒng)的軟件輔助虛擬化使用優(yōu)先級(jí)壓進(jìn)制代碼翻譯相結(jié)合的方式來(lái)實(shí)虛擬化，但這種方式存在虛擬化2.基于intelVT-x硬件虛擬化的技術(shù)，對(duì)cpu的指令進(jìn)行擴(kuò)展，對(duì)指令的優(yōu)先root模式和非非root模式，當(dāng)執(zhí)行敏感指令時(shí)被Hypervisor截獲，能化安全--內(nèi)存虛擬化安全性保證虛擬機(jī)運(yùn)行時(shí)用到三種內(nèi)存地址：主機(jī)物理地址。擬機(jī)的虛擬地址和虛擬機(jī)物理地址是由虛擬機(jī)操作系統(tǒng)完成的，擬機(jī)物理地址和主機(jī)物理地址轉(zhuǎn)換面能夠限制vm只訪問(wèn)分配到的。全--存儲(chǔ)虛擬化安全性保證存儲(chǔ)的映射和磁盤數(shù)據(jù)加密的基1.Hypervisor實(shí)現(xiàn)對(duì)不同虛擬機(jī)的邏輯2.分布式存儲(chǔ)實(shí)現(xiàn)一份數(shù)據(jù)保存多份，布式存儲(chǔ)實(shí)現(xiàn)所有數(shù)據(jù)故障的檢測(cè)數(shù)據(jù)加密管理VMVMn數(shù)據(jù)隔離Hypervisor分布式存儲(chǔ)scsi-driverVMPlug-inVM1VM2bridgebridgebridgeovsbr-intpatch-tunpatch-intvethovsbr-tunVM1VM2bridgebridgebridgeovsbr-intpatch-tunpatch-intvethovsbr-tun安全--網(wǎng)絡(luò)虛擬化安全性保證VM1vethVM1vethHypervisor不同的vlan網(wǎng)絡(luò)：管，所有的虛擬機(jī)數(shù)據(jù)在沒(méi)有流Hypervisor絡(luò)數(shù)據(jù)加n云用戶數(shù)據(jù)安全 3雖然傳統(tǒng)的數(shù)據(jù)中心的安全仍然適用于云環(huán)境，物理隔離和基于硬件的安全不能保護(hù)防止在同一服務(wù)器上虛擬機(jī)之間的攻擊。管理訪問(wèn)是通過(guò)互聯(lián)網(wǎng)，而不是傳統(tǒng)數(shù)據(jù)中心模式中所堅(jiān)持的受控制的和限制的直接連接或到現(xiàn)場(chǎng)的連接。這增加了風(fēng)險(xiǎn)和暴露，將需要對(duì)系統(tǒng)控制和訪問(wèn)控制限制的變化進(jìn)行嚴(yán)密監(jiān)控。隔離VMVM租戶1OpenStack對(duì)虛擬網(wǎng)絡(luò)進(jìn)行邏輯抽象vRouter層網(wǎng)關(guān)③Subnet代表某個(gè)子網(wǎng)網(wǎng)段④網(wǎng)絡(luò)服務(wù)功能，為每個(gè)租戶⑤租戶之間相互隔離，互不干擾WvRoutervFWvLBVMVM租戶2ExternalNetworkvRoutervFWvLBW租戶3WEB,Network(VXLAN7),subnetVMVMVMvVMVM租戶1OpenStack對(duì)虛擬網(wǎng)絡(luò)進(jìn)行邏輯抽象vRouter層網(wǎng)關(guān)③Subnet代表某個(gè)子網(wǎng)網(wǎng)段④網(wǎng)絡(luò)服務(wù)功能，為每個(gè)租戶⑤租戶之間相互隔離，互不干擾WvRoutervFWvLBVMVM租戶2ExternalNetworkvRoutervFWvLBW租戶3WEB,Network(VXLAN7),subnetVMVMVMvRoutervFWvIPSvLBDB,Network(VXLAN9),subnetAPP,Network(VXLAN8),subnetAPP,Network(VXLAN2),subnetVMDB,Network(VXLAN3),subnetVMAPP,Network(VXLAN5),subnetDB,Network(VXLAN6),subnet租戶邏輯隔離的安全網(wǎng)絡(luò)WEB,Network(VXLAN1),subnetvIPSvIPSWEB,Network(VXLAN4),subnetvIPSvIPS、使用、使用虛擬卷每一個(gè)物理Bit位清"零"數(shù)據(jù)存儲(chǔ)安全對(duì)銷戶虛擬卷采用物理bit清零措施，確保數(shù)據(jù)不可恢復(fù)，杜絕信息泄露風(fēng)險(xiǎn)VMVMVMVMVMVMVM安全組策略理 (部署在VM上)VMVMVM數(shù)據(jù)安全控制M隔離每個(gè)M全策刷新控制文到略避能數(shù)據(jù)傳輸安全戶在訪問(wèn)VPC的過(guò)程中，會(huì)和數(shù)據(jù)中心中的VFW建立vpn。經(jīng)過(guò)internet的數(shù)據(jù)都云平臺(tái)運(yùn)營(yíng)管理安全 4授權(quán)、集中授權(quán)::等各類日志的安全審計(jì)，提高對(duì)違規(guī)溯源的事后審查能力。程:應(yīng)急響應(yīng):劃分、處理流程、事件上報(bào)等規(guī)范要求。數(shù)據(jù)探針?lè)?wù)器鏡像口數(shù)據(jù)探針?lè)?wù)器鏡像口呼流量分析服務(wù)器數(shù)據(jù)探針?lè)?wù)器鏡像口數(shù)據(jù)探針?lè)?wù)器鏡像口物理主機(jī)控管理點(diǎn)統(tǒng)一監(jiān)控管理物物理主機(jī)防DDOS攻擊物物理主機(jī)Switch3安全案例外網(wǎng)的syn攻擊天新