云平臺(tái)安全域劃分

安全域劃分的原則:
•            業(yè)務(wù)保障原則：安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率；
•            結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難；
•            等級(jí)保護(hù)原則：安全域劃分和邊界整合遵循業(yè)務(wù)系統(tǒng)等級(jí)防護(hù)要求，使具有相同等級(jí)保護(hù)要求的數(shù)據(jù)業(yè)務(wù)系統(tǒng)共享防護(hù)手段；
•            生命周期原則：對(duì)于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮云平臺(tái)擴(kuò)容及因業(yè)務(wù)運(yùn)營而帶來的變化，以及開發(fā)、測試及后期運(yùn)維管理要求
 安全域的邏輯劃分。

按照縱深防護(hù)、分等級(jí)保護(hù)的理念，基于云平臺(tái)的系統(tǒng)結(jié)構(gòu)，其安全域的邏輯劃分如下圖所示：

按照防護(hù)的層次，從外向內(nèi)可分為外部接口層、核心交換層、計(jì)算服務(wù)層、資源層。根據(jù)安全要求和策略的不同，每一層再分為不同的區(qū)域。對(duì)于不同的區(qū)域，可以根據(jù)實(shí)際情況再細(xì)分為不同的區(qū)域。例如，根據(jù)安全等級(jí)保護(hù)的要求，對(duì)于生產(chǎn)區(qū)可以在細(xì)分為一級(jí)保護(hù)生產(chǎn)區(qū)、二級(jí)保護(hù)生產(chǎn)區(qū)、三級(jí)保護(hù)生產(chǎn)區(qū)、四級(jí)保護(hù)生產(chǎn)區(qū)，或者根據(jù)管理主體的不同，也可細(xì)分為集團(tuán)業(yè)務(wù)生產(chǎn)區(qū)、分支業(yè)務(wù)生產(chǎn)區(qū)。
       對(duì)于實(shí)際的云計(jì)算系統(tǒng)，在進(jìn)行安全域劃分時(shí)，需要根據(jù)系統(tǒng)的架構(gòu)、承載的業(yè)務(wù)和數(shù)據(jù)流、安全需求等情況，按照層次化、縱深防御的安全域劃分思想，進(jìn)行科學(xué)、嚴(yán)謹(jǐn)?shù)膭澐郑豢伤腊嵊蔡住?/p>