(一)消除傳統安全防護技術的安全隱患
傳統安全防護設備可以通過物理端口對不同安全域的服務器或不同安全級別的業務應用服務器進行安全隔離,做到區域邊界清晰。但是,不能對同一個雲平台內的不同安全級別虛擬機進行安全隔離。由於雲平台的部署,使得部署在邊界防護的安全措施不能應用到雲平台內部業務之間進行安全防護。每個相對獨立的業務應用隻能享受到邊界上統一的安全防護策略,存在一定安全隱患。目前主要采用通過網絡層的VLAn劃分和交換機安全策略的配置提供安全隔離。
(二)采用虛擬化技術對雲平台安全進行防護
一是采用雲平台內的虛擬安全設備對同一個雲平台內的不同安全級別虛擬機進行安全隔離。同一個雲平台內的不同安全級別虛擬機可以進行分組,相同安全級別的虛擬機通過虛擬交換機接入到虛擬安全設備上,每個業務應用組都可以虛擬一套虛擬安全設備和虛擬交換機,最後虛擬安全設備通過一個匯集虛擬交換機統一出口。由虛擬交換機和虛擬安全設備組成的虛擬安全平台不需要額外硬件設備實現,通過雲平台上已有的硬件資源進行就可以部署,相互之間的連接也不需要額外占用IP資源,虛擬交換機、虛擬安全設備通過相互指向就可以實現設備邏輯連接。虛擬安全設備可以是虛擬防火牆和虛擬Web應用防護係統等安全設備。該虛擬安全平台可以通過虛擬技術為雲平台上每個業務應用組虛擬出個性化防火牆和Web應用防護。這種防火牆和Web應用防護虛擬技術,不但可以提供整個功能區域的邊界防護,而且可以為區域內每個業務應用提供個性化的安全防護。二是在功能區域內為每個業務應用提供獨立的個性化安全防護需要有虛擬防火牆和虛擬Web應用防護係統的部署,同時,還需要有一個交互式,人性化的虛擬安全統一管理操作平台。該操作管理平台應該是圖形界麵的、拖拽式的,管理平台將使得邊界防火牆和Web應用更加便於操作和發揮實效。
§§第十章 江西省工業園區推進新型城鎮化發展研究