云平台安全域划分


安全域划分的原则:
•            业务保障原则:安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率;
•            结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难;
•            等级保护原则:安全域划分和边界整合遵循业务系统等级防护要求,使具有相同等级保护要求的数据业务系统共享防护手段;
•            生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑云平台扩容及因业务运营而带来的变化,以及开发、测试及后期运维管理要求
 安全域的逻辑划分。

按照纵深防护、分等级保护的理念,基于云平台的系统结构,其安全域的逻辑划分如下图所示:



按照防护的层次,从外向内可分为外部接口层、核心交换层、计算服务层、资源层。根据安全要求和策略的不同,每一层再分为不同的区域。对于不同的区域,可以根据实际情况再细分为不同的区域。例如,根据安全等级保护的要求,对于生产区可以在细分为一级保护生产区、二级保护生产区、三级保护生产区、四级保护生产区,或者根据管理主体的不同,也可细分为集团业务生产区、分支业务生产区。
       对于实际的云计算系统,在进行安全域划分时,需要根据系统的架构、承载的业务和数据流、安全需求等情况,按照层次化、纵深防御的安全域划分思想,进行科学、严谨的划分,不可死搬硬套。