云平臺安全域劃分

安全域劃分的原則:
•            業(yè)務保障原則：安全域方法的根本目標是能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率；
•            結構簡化原則：安全域劃分的直接目的和效果是要將整個網(wǎng)絡變得更加簡單，簡單的網(wǎng)絡結構便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜可能導致安全域的管理過于復雜和困難；
•            等級保護原則：安全域劃分和邊界整合遵循業(yè)務系統(tǒng)等級防護要求，使具有相同等級保護要求的數(shù)據(jù)業(yè)務系統(tǒng)共享防護手段；
•            生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮云平臺擴容及因業(yè)務運營而帶來的變化，以及開發(fā)、測試及后期運維管理要求
 安全域的邏輯劃分。

按照縱深防護、分等級保護的理念，基于云平臺的系統(tǒng)結構，其安全域的邏輯劃分如下圖所示：

按照防護的層次，從外向內可分為外部接口層、核心交換層、計算服務層、資源層。根據(jù)安全要求和策略的不同，每一層再分為不同的區(qū)域。對于不同的區(qū)域，可以根據(jù)實際情況再細分為不同的區(qū)域。例如，根據(jù)安全等級保護的要求，對于生產(chǎn)區(qū)可以在細分為一級保護生產(chǎn)區(qū)、二級保護生產(chǎn)區(qū)、三級保護生產(chǎn)區(qū)、四級保護生產(chǎn)區(qū)，或者根據(jù)管理主體的不同，也可細分為集團業(yè)務生產(chǎn)區(qū)、分支業(yè)務生產(chǎn)區(qū)。
       對于實際的云計算系統(tǒng)，在進行安全域劃分時，需要根據(jù)系統(tǒng)的架構、承載的業(yè)務和數(shù)據(jù)流、安全需求等情況，按照層次化、縱深防御的安全域劃分思想，進行科學、嚴謹?shù)膭澐郑豢伤腊嵊蔡住?/p>