文档介绍:一、    安全方案
天云云平台整个安全管理体系覆盖从物理到虚拟,从软件到硬件、从底层到上层应用全方面安全方案。
 
 多层面安全隔离
资源域和在资源域之间实现某种形式物理隔离和冗余
不一样帐户用户使用不一样VLAN,VLAN起到用户之间隔离作用
基于用户虚拟机隔离:即管理员能够经过云平台将不一样用户之间虚拟机配置为无法建立2层链接,实现基于用户虚拟机隔离。
提供多个网络类型,部分是真实,部分是虚拟,虚拟网络经过VLAN隔离,物理网络经过不一样硬件和设备隔离等,比如经过公网IP、,如3个平面来隔离业务、管理、存放
直连网络能够经过给用户分配VLAN来隔离,直连无标识网络则采取了类似于亚马逊安全组概念对每位用户进行隔离,而不采取VLAN。
全部安全域全部经过防火墙接入到网络中,各个安全域经过虚拟防火墙进行逻辑隔离,安全域之间不能直接访问,在虚拟防火墙上经过访问控制策略,对用户进行文件和数据操作权限限制,防范用户越权访问。
 全方面虚拟机安全机制
1)   同一物理服务器上虚拟机隔离
同一物理机服务器上资源隔离,包含CPU、内存、内部网络隔离、磁盘I/O有效隔离,不会因为某一个虚拟机被攻击而造成其它同一物理服务器上虚拟机被影响。
2)   数据中心内部虚拟机访问隔离
l  提供虚拟防火墙,如安全组功效,确保不一样租户虚拟机之间网络隔离(包含同一个物理主机内不一样虚拟机)。针对每个安全组能够定义ACL规则,如对外开放某个具体服务或端口,许可外部某个IP地址访问虚拟机某个端口,也能够在安全组之间相互授权访问。
l  虚拟机深度防护: Deep Security使系统能够自我防御,并经过优化,能够帮助保护机密数据并确保应用程序可用性。提供恰好适度防护以满足不停改变业务需求。
l  云平台要能预防同一个物理主机内VM能嗅探到其它VM数据包。比如ARP防护,云平台预防恶意虚拟机IP欺骗和ARP地址欺骗,限制虚拟机只能发送本机地址报文。
l  虚拟机操作日志审计,经过云平台统计对虚拟机进行VM操作,便于合规审计。
 访问控制
对业务和应用中保留帐号进行集中管理,包含帐号创建、变更和删除等。同时依据预定策略,修改帐号口令。接入认证安全、传输安全
将人员和其在各个业务系统中负担角色关联,实现对维护人员和用户等集中授权。
统计帐号登录、登出等相关日志信息,并帐号登录、登出信息和用户真实身份相关联。
依据预先制订审计策略对日志进行分析,发觉高危操作,产生审计事件告警。输出符合萨班斯审计需要等要求审计汇报。
 数据安全
数据安全经过关键数据加密、业务数据严格访问控制和操作统计
数据定时归档、内部备份或备份到外部存放器等多个方法保障。
 传统安全方法
在整个数据中心建设,依据应用和建设要求,传统安全方法也是必不可少。
防火墙:最主流也是最关键安全产品,是边界安全处理方案关键。它能够对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等访问控制;对常见网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP和MAC绑定等安全增强方法。
入侵防御:传统安全处理方案中,