云計(jì)算安全部署方式和策略應(yīng)用目錄部署方式策略應(yīng)用2部署方式3在云計(jì)算部署中，一般采用云管理平臺(tái)對(duì)云資源進(jìn)行統(tǒng)一的資源管理和調(diào)度，實(shí)現(xiàn)運(yùn)營(yíng)管理。一種基于虛擬化技術(shù)的大規(guī)模私有云典型部署方案如圖所示。云計(jì)算的規(guī)劃建設(shè)以集群為最小單位，一個(gè)集群是配置了一定數(shù)量的相同CPU廠商的x86服務(wù)器、共享存儲(chǔ)和網(wǎng)絡(luò)設(shè)備，使用同類型虛擬化軟件的資源組織單位。此圖來(lái)源網(wǎng)絡(luò)策略應(yīng)用3在私有云安全部署中，x86服務(wù)器和網(wǎng)絡(luò)出口兩個(gè)部分可以通過(guò)部署服務(wù)器冗余硬件、網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)流清洗、網(wǎng)絡(luò)防火墻等傳統(tǒng)的安全防護(hù)措施達(dá)到相應(yīng)的安全等級(jí)；而共享存儲(chǔ)虛擬化軟件及虛擬機(jī)、網(wǎng)絡(luò)、管理平臺(tái)4個(gè)方面就必須在傳統(tǒng)安全防護(hù)措施的基礎(chǔ)上，再針對(duì)云的新特性進(jìn)行安全防范。策略應(yīng)用——共享存儲(chǔ)安全方案3共享存儲(chǔ)中存放的是私有云的關(guān)鍵數(shù)據(jù)，數(shù)據(jù)的重要性不言而喻。云計(jì)算環(huán)境下的數(shù)據(jù)安全由于多租戶共享資源（存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)）的模式，產(chǎn)生了更多的安全隱患，數(shù)據(jù)加密方案目前主要有共享存儲(chǔ)設(shè)備底層加密和文件系統(tǒng)級(jí)加密兩種。共享存儲(chǔ)設(shè)備底層部署加密是目前比較理想的方案，大部分主流存儲(chǔ)設(shè)備都有所支持，對(duì)服務(wù)器性能沒(méi)有影響，對(duì)不同虛擬化軟件的兼容性較好；文件系統(tǒng)及加密需要其與虛擬化軟件的兼容性要好，對(duì)服務(wù)器處理能力也有一定的消耗，目前應(yīng)用較少。策略應(yīng)用——虛擬化與虛擬機(jī)安全方案3云計(jì)算構(gòu)建于虛擬化技術(shù)之上，因此虛擬化層的安全程度基本決定了云計(jì)算整體的安全程度。目前主流服務(wù)器虛擬化軟件主要有VMwareESX、CitrixXenServer、MicrosoftHyper-V和RedHatKVM4種。目前虛擬化層安全方案最為成熟的是VMwareESX上的安全方案，其他虛擬化軟件的安全方案原理基本與VMwareESX相同。策略應(yīng)用——網(wǎng)絡(luò)安全方案3與傳統(tǒng)IDC的流量不同，云計(jì)算場(chǎng)景下的流量更多的是“東西走向”，又稱為橫向流量，因此云計(jì)算網(wǎng)絡(luò)安全的重點(diǎn)是云計(jì)算中心虛擬主機(jī)間的網(wǎng)絡(luò)流量控制問(wèn)題，也稱為橫向流量的監(jiān)控與隔離。其難點(diǎn)和重點(diǎn)是針對(duì)同一物理機(jī)內(nèi)部的虛擬機(jī)之間的網(wǎng)絡(luò)流量如何實(shí)現(xiàn)可見(jiàn)可控，目前主要的技術(shù)方案有虛擬化流量外部化、內(nèi)部流量管控兩種方式。策略應(yīng)用——管理平臺(tái)安全方案3云計(jì)算實(shí)現(xiàn)了資源的集中部署、集約管理和統(tǒng)一調(diào)度，資源管理權(quán)限的集中也帶來(lái)了更多的安全需求。云計(jì)算環(huán)境下的資源管理權(quán)限高度集中，一旦分配不當(dāng)容易造成很大的安全隱患，因此必須要對(duì)管理員進(jìn)行更細(xì)粒度的權(quán)限管理與操作