云数据中心安全策略

　　1.重构网络安全架构，实现按需弹性安全防护。

　　传统盒子思想的安全产品架构无法满足云数据中心的安全运营需求，必须对安全架构进行重构。软件定义安全(Software Defined Security，SDS)是网络安全架构重构的一个可行方向。其将安全设备的功能、接入模式、部署方式进行解耦，底层抽象为安全资源池中的资源，顶层统一通过软件编程方式进行智能化、自动化的编排和管理，实现业务和应用驱动，以适应复杂网络的安全防护。

　　对于云数据中心来说，可借鉴软件定义思想，建立一个集中安全的控制管理架构，通过将安全能力等从底层异构的硬件中抽象出来，成为可由软件定义的资源，使原来独立、难以互通的控制组件构成统一的控制平面，即利用通用芯片上的虚拟化技术，实现标准的安全处理流程，将安全策略管理从硬件设备中解耦出来，并通过顶层统一软件编程方式实现业务和应用驱动，实现基于策略的、自动化的集中管理和控制。由于安全控制面与数据面分离，可以在控制面上根据承载业务的不同安全需求按需配备安全资源，并借助全局视野灵活调整策略，实现安全资源的动态协同防护和智能精细控制。同时借助SDN网络控制器，以业务链的方式调度流量，用逻辑拓扑取代物理拓扑，流量可灵活地按特定次序调配由服务功能处理，实现安全资源的按需访问，从而适应云计算中心动态按需调整的网络环境。

　　2.实施微隔离，实现云数据中心东西流量安全管控。

　　网络隔离是基础防护手段，传统数据中心的网络隔离主要是基于设置安全分段、创建子网和虚拟LAN，通过手动配置和维护的ACL 或防火墙规则来进行安全域的隔离。该模式需要将安全策略锁定至工作负载所处的物理位置，一般是基于IP子网与应用间的映射，但是，仅仅基于子网的策略定义是不够的，很多时候需要面向IP地址进行更精细的策略定义，策略条目会爆炸性增长。在云数据中心动态化的网络环境下，隔离策略的配置、调整及过时策略的回收等工作量将呈指数增加，安全运维人员将不堪重负。

　　为了解决这个问题，云数据中心应组建分布式防火墙资源池，同时基于软件定义安全的集中安全管理架构，集中实施灵活的基于安全组的安全策略控制。通过与SDN控制器的协同，安全运维人员可灵活实现虚拟机间流量的流转控制，即使物理IP地址变化，也可以保证其安全策略自动随工作负载移动。在这种微分段模式下，云数据中心可以真正实现“零信任”的网络安全控制，通过借助SDN网络流量的可视性，实施最小限度的访问权限，并随时根据安全状况，调整访问控制策略，从而控制安全风险在数据中心内部的横向扩展。