文档介绍：一、   安全方案天云云平台的整个安全管理体系覆盖从物理到虚拟,从软件到硬件、从底层到上层应用的全面安全方案。  多层面的安全隔离资源域和在资源域之间实现某种形式的物理隔离和冗余不同帐户的用户使用不同的VLAN,VLAN起到用户之间隔离的作用基于用户的虚拟机隔离:即管理员能够经过云平台将不同用户之间的虚拟机配置为无法建立2层链接,实现基于用户的虚拟机隔离。提供多种网络类型,一些是真实的,一些是虚拟的,虚拟网络经过VLAN隔离,物理网络经过不同的硬件和设备隔离等,比如经过公网IP、,如3个平面来隔离业务、管理、存储直连网络能够经过给用户分配VLAN来隔离,直连无标记网络则采用了类似于亚马逊的安全组概念对每位用户进行隔离,而不采用VLAN。所有的安全域都经过防火墙接入到网络中,各个安全域经过虚拟防火墙进行逻辑隔离,安全域之间不能直接访问,在虚拟防火墙上经过访问控制策略,对用户进行文件和数据操作权限的限制,防范用户的越权访问。 全面的虚拟机安全机制1)   同一物理服务器上的虚拟机隔离同一物理机服务器上资源隔离,包括CPU、内存、内部网络隔离、磁盘I/O有效的隔离,不会因为某一个虚拟机被攻击而导致其它同一物理服务器上的虚拟机被影响。2)   数据中心内部虚拟机访问隔离l  提供虚拟防火墙,如安全组功能,确保不同租户的虚拟机之间的网络隔离(包括同一个物理主机内的不同虚拟机)。针对每个安全组能够定义ACL规则,如对外开放某个具体的服务或端口,允许外部某个IP地址访问虚拟机的某个端口,也能够在安全组之间相互授权访问。l  虚拟机深度防护: DeepSecurity使系统能够自我防御,并经过优化,能够帮助保护机密数据并确保应用程序的可用性。提供恰好适度的防护以满足不断变化的业务需求。l  云平台要能防止同一个物理主机内VM能嗅探到其它VM的数据包。例如ARP防护,云平台防止恶意虚拟机的IP欺骗和ARP地址欺骗,限制虚拟机只能发送本机地址的报文。l  虚拟机操作日志审计,经过云平台记录对虚拟机进行VM操作,便于合规审计。 访问控制对业务和应用中保存的帐号进行集中管理,包括帐号创立、变更和删除等。同时根据预定策略,修改帐号的口令。接入认证安全、传输安全将人员和其在各个业务系统中承担角色关联,实现对维护人员和用户等的集中授权。记录帐号登录、登出等相关的日志信息,并帐号登录、登出的信息和用户的真实身份相关联。根据预先制定的审计策略对日志进行分析,发现高危操作,产生审计事件告警。输出符合萨班斯审计需要等要求的审计报告。 数据安全数据安全经过关键数据加密、业务数据严格的访问控制以及操作记录数据定期归档、内部备份或备份到外部存储器等多种方式保障。 传统安全措施在整个数据中心的建设,根据应用和建设的要求,传统的安全措施也是必不可少。防火墙:最主流也是最重要的安全产品,是边界安全解决方案的核心。它能够对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。入侵防御:传统的安全解决方案中,防火墙和入侵检测系统 (IDS,Intrusion