云平台将安全域划分为哪些区
云平台将安全域划分为以下这些区:
互联网接入区:主要包括接入交换机、路由器、网络安全设备等,负责实现与163、169、CMNET等互联网的互联。
内联网接入区:主要包括接入交换机、路由器、网络安全设备等,负责实现与组织内部网络的互联。
广域网接入区:主要包括接入交换机、路由器、网络安全设备等,负责与本组织集团或其他分支网络的接入。
外联网接入区:主要包括接入交换机、路由器、网络安全设备等,负责本组织第三方合作伙伴网络的接入。
外联网接入区:主要包括接入交换机、路由器、网络安全设备等,负责本组织第三方合作伙伴网络的接入。
核心交换区:由支持虚拟交换的高性能交换机组成,负责整个云计算系统内部之间、内部与外部之间的通信交换。
生产区:主要包括一系列提供正常业务服务的虚拟主机、平台及应用软件,使提供IaaS、PaaS、SaaS服务的核心组件。根据业务主体、安全保护等级的不同,可以进行进一步细分。
非生产区:非生产区主要是为系统开发、测试、试运行等提供的逻辑区域。根据实际情况,非生产区一般可分为系统开发子区、系统测试子区、系统试运行子区。
支撑服务区:该区域主要为云平台及其组件提供共性的支撑服务,通常按照所提供的功能的不同,可以细分为通用服务子区,一般包括数字证书服务、认证服务、目录服务等;运营服务子区,一般包括用户管理、业务服务管理、服务编排等。
管理区:主要提供云平台的运维管理、安全管理服务,一般可分为运维管理子区,一般包括运维监控平台、网管平台、网络控制器等;安全管理子区,一般包括安全审计、安全防病毒、补丁管理服务器、安全检测管理服务器等。
资源区:主要包括各种虚拟化资源,涉及主机、网络、数据、平台和应用等各种虚拟化资源。按照各种资源安全策略的不同,可以进一步细分为生产资源、非生产资源、管理资源。不同的资源区对应不同的上层区域,如生产区、非生产区、管理区等。
DMZ区:主要包括提供给Internet用户、外部用户访问代理服务器、Web服务器组成。一般情况下Internet、Intranet用户必须通过DMZ区服务器才能访问内部主机或服务。
堡垒区:主要提供内部运维管理人员、云平台租户的远程安全接入以及对其授权、访问控制和审计服务,一般包括VPN服务器、堡垒机等。