（一）數據中心東西向和南北向安全防護的定義
? ? ? ?1、南北向安全：主要是指外部用戶訪問數據中心的流量，包括從互聯網、各類專線、電子政務外網訪問進來的流量；
? ? ? ? 2、東西向安全：數據中心內的部東西向互訪的流量，粒度從細到粗包括四個層次：同一個系統虛機和虛機之間互訪；同一個VPC內不同應用之間互訪；不同VPC之間的應用互訪；不同云之間橫向的互訪。
（二）南北向安全防護方案
? ? ? ?1、互聯網入口會有互聯網防護邊界，實現互聯網南北向流量防控；
? ? ? ?2、電子政務外網接入數據中心的核心/匯聚交換機上面建設安全邊界，實現電子政務外網南北向流量防控；
? ? ? ?3、專網的入口，通過統一的安全接入平臺接入，實現專線接入南北向訪問流量防控；
（三）東西向安全防護方案
? ? ? ?采用兩個層次的防護方案：一個是主機安全，主要是解決主機防病毒和資產管理；另一個是租戶安全，主要解決跨VPC用戶之間的互訪的問題。
? ? ? ?1、主機防安全解決方案:一般是直接裝在每個虛機上，面向虛機這個對象進行防控，具備主機防病毒、暴力破解、資產管理等功能，一般不具備基于流量的防控能力，但當前的一些安全廠商對主機安全的防護能力進行了拓展，將租戶安全做到了主機安全里面，例如360公司的云甲具備實時預警、病毒防護、防火墻、webshell檢測等功能，主機安全能力具備一定的基于流量的分析防護能力。
? ? ? ?2、租戶安全解決方案：租戶安全主要有兩種解決方案，一種是分布式方案，一種是集中式的方案。
? ? ?（1）分布式的租戶安全
? ? ? ?分布式的租戶安全核心思想是將面向租戶的安全防護組件裝在VPC里面，每個VPC內作為相對獨立的防控區域，安全防護策略可以自主來做，這種方式主要的特點是安全組件需要消耗計算存儲資源，安全產品需要適配不同的環境（國產/X86）,安全產品規格與用戶需求匹配難，從運營角度來看會導致安全產品使用效率不高。
? ? ? ? 具體部署層面，一種方式是在每個虛機上面裝agent，agent一般具備數據采集和數據分析的功能，這種模式下，安全廠商將主機安全和租戶安全進行了綁定，一般用一個品牌的兼容性和效率會更高，這種方式下，會將agent在每個虛機操作系統層面進行預裝，在虛機發生遷移后，隨著新的虛機的拉起，agent會隨著操作系統開啟，相應的安全策略配置會在虛機鏡像存儲中同步過來；
? ? ? ?另一種方式是通過單獨虛機裝在安全防護組件，這種方式可以將裝在的安全組件的虛機作為VPC的網關設備，主要安全策略配置主要是在這個網關上進行配置，虛機遷移前后由于仍隸屬于同一個VPC，相應的安全策略對遷移后的虛機也是有效的。目前分布式解決方案主要是安全廠商在推進。
? ? （2）集中式的租戶安全
? ? ? 集中式的租戶安全核心思想是在數據中心核心交換機旁邊掛專用的高性能安全設備組成的集中安全資源池，
? ? ? 如果將SDN ?Vtype節點設置在TOR接入交換機上（硬SDN方式），可以考慮將租戶的業務系統進行分類，對于一個租戶內的互信的系統可以劃分為一個業務VPC，VPC內業務系統互訪不通過安全資源池，跨VPC業務系統之間互訪流量必然會上升到TOR交換機，流量在TOR交換機上做VXLAN封裝，通過SDN控制器將流量牽引至安全資源池，并根據安全服務鏈組件的配置進行相應的安全防護；這種方式的優點是用專業高性能安全設備做專業防護資源池，對計算資源沒有消耗；安全管理面和計算存儲管理界面和責任劃分清楚，但是會消耗一定的數據中心網絡帶寬，另外對于SDN控制和安全服務鏈的組件的功能、性能及可靠性要求較高，這種方式當前主要是網絡廠商在推。
? ? ? 此外還有一種方式就是將SDN的Vtype?節點設置在vswitch上（軟SDN方式），這種模式下，理論上是可以將最細粒度為虛機之間的互訪流量在vswitch上做VxLAN封裝，然后通過SDN牽引出來至集中的安全資源池，但是實際上，在畫好業務VPC之后，東西向之間的流量互訪最小單元是不同VPC之間的業務互訪，最主要的是如果采用軟的SDN，對于虛擬化軟件、云管平臺、SDN控制器、安全產品之間適配性要求非常高，一般只有公有云才能做到，政務云這些產品基本上都是異構，產品適配難度較大，且后期一旦產品升級，面臨重新適配的風險。

總結

以上是生活随笔為你收集整理的政务行业云平台安全防护建设思路的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。