端管云IT安全架构包括哪些方面
端管云IT安全架构包括以下方面:
网络虚拟化中心(云端):针对网络虚拟化中心区域边界、计算环境、虚拟化环境,网络虚拟化中心综合采取身份认证、访问控制、入侵检测、恶意代码防范、安全审计、防病毒、数据加密等多种技术和措施,能够实现业务应用的可用性、完整性和保密性保护。云数据安全建设,依据客户实际需求和相关安全合规标准,能够进行数据创建、传输、存储、使用、共享和销毁等全生命周期的云环境下的数据安全设计,以及数据安全体系建设。为保障用户数据在云环境下的安全使用,有必要保护云环境中的数据的机密性、可用性、完整性。
云计算环境下的安全防护等级:网络虚拟化从安全域的角度,可分为安全计算域、安全网络域和安全管理域。安全计算域是相同安全保护等级的物理主机/服务器的集合;安全网络域由通信网络和接入网络构成;安全管理域是对整体网络虚拟化中的安全事件收集和管控报警的系统平台。
网络虚拟化计算环境安全:网络虚拟化计算环境包含私有云安全计算域、公有云安全计算域。其中私有云安全计算域是进行安全设备部署的重点,可采取的安全措施主要包括:4A系统、虚拟安全网关、主机加固和加密机等设备和手段。公有云安全计算域应采取基础平台安全审查、评定、托管镜像加密和租用应用加固的安全措施,以保障扩散到公有云平台上的资源、数据的安全可靠。
网络虚拟化边界安全:网络虚拟化边界环境由物理的接入网络边界和虚拟化网络边界组成,物理网络接入边界的防护采取传统安全网关即可,针对虚拟化平台,必须在虚拟平台中部署虚拟安全网关以进行虚拟安全边界防护。
网络虚拟化通信网络安全:在网络虚拟化环境下,通信网络包括传统网络和虚拟网络两部分。对于从外部网络接入网络虚拟化中心的通信网络,应借助于网络接入边界处部署的VPN设备来实现SSL、IPSEC的安全隧道通信;在网络虚拟化平台节点内部的虚拟网络,可通过部署在虚拟化平台内部的VPN组件来实现其安全隧道功能。
网络虚拟化安全管理中心:网络虚拟化环境安全管理中心对私有云和公有云中的所属资产、资源的运行状况,以及相关行为、安全事件、安全预警等必须进行集中监管。通过SNMP、Syslog、ODBC、API等协议接口和数据文件进行综合分析,以形成安全报表和整体安全态势报告,使得安全风险可视化、风险告警全面化和风险处置专业化,以便实现安全风险集中化管控。