1. 數(shù)據(jù)中心設計原則
依據(jù)數(shù)據(jù)中心網(wǎng)絡安全建設和改造需求，數(shù)據(jù)中心方案設計將遵循以下原則：
1.1 網(wǎng)絡適應云環(huán)境原則
網(wǎng)絡的設計要在業(yè)務需求的基礎上，屏蔽基礎網(wǎng)絡差異，實現(xiàn)網(wǎng)絡資源的池化；根據(jù)業(yè)務自動按需分配網(wǎng)絡資源，有效增強業(yè)務系統(tǒng)的靈活性、安全性，降低業(yè)務系統(tǒng)部署實施周期和運維成本。
1.2 高安全強度原則
安全系統(tǒng)應基于等保要求和實際業(yè)務需求，部署較為完備的安全防護策略，防止對核心業(yè)務系統(tǒng)的非法訪問，保護數(shù)據(jù)的安全傳輸與存儲，設計完善的面向全網(wǎng)的統(tǒng)一安全防護體系。同時，應充分考慮訪問流量大、業(yè)務豐富、面向公眾及虛擬化環(huán)境下的安全防護需求，合理設計云計算環(huán)境內(nèi)安全隔離、監(jiān)測和審計的方案，提出云計算環(huán)境安全解決思路。

1.3 追求架構(gòu)先進，可靠性強原則 設計中所采用的網(wǎng)絡技術架構(gòu)，需要放眼長遠，采用先進的網(wǎng)絡技術，順應當前云網(wǎng)絡發(fā)展方向，使系統(tǒng)建設具有較長的生命周期，順應業(yè)務的長遠發(fā)展。同時保證網(wǎng)絡系統(tǒng)的可靠性，實現(xiàn)關鍵業(yè)務的雙活需求。同時，應為設備和鏈路提供冗余備份，有效降低故障率，縮短故障修復時間。

2. 云計算環(huán)境下的安全設計
隨著目前大量服務區(qū)虛擬化技術的應用和云計算技術的普及，在云計算環(huán)境下的安全部署日益成為關注的重點問題，也關系到未來數(shù)據(jù)中心發(fā)展趨勢。在本設計方案中，建議采用高性能網(wǎng)絡安全設備和靈活的虛擬軟件安全網(wǎng)關（NFV 網(wǎng)絡功能虛擬化）產(chǎn)品組合來進行數(shù)據(jù)中心云安全設計。在滿足多業(yè)務的安全需求時，一方面可以通過建設高性能、高可靠、虛擬化的硬件安全資源池，同時集成FW/IPS/LB等多種業(yè)務引擎，每個業(yè)務可以靈活定義其需要的安全服務類型并通過云管理員分配相應的安全資源，實現(xiàn)對業(yè)務流量的安全隔離和防護；另一方面，針對業(yè)務主機側(cè)的安全問題，可以通過虛擬軟件安全網(wǎng)關實現(xiàn)對主機的安全防護，每個業(yè)務可以針對自身擁有的服務器計算資源進行相應的安全防護和加固的工作。其部署示意圖如下所示：

3. 云計算環(huán)境下數(shù)據(jù)安全防護手段建議
基于以上云計算環(huán)境下的數(shù)據(jù)安全風險分析，在云計算安全的建設過程中，需要針對這些安全風險采取有針對性的措施進行防護。
3.1 用戶自助服務管理平臺的訪問安全
用戶需要登錄到云服務管理平臺進行自身的管理操作設置，如基礎的安全防護策略設置，針對關鍵服務器的訪問權限控制設置，用戶身份認證加密協(xié)議配置，虛擬機的資源配置、管理員權限配置及日志配置的自動化等等。這些部署流程應該被遷移到自服務模型并為用戶所利用。在這種情況下，云服務管理者本身需要對租戶的這種自服務操作進行用戶身份認證確認，用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關鍵安全事件的日志記錄以便后續(xù)可以進行問題跟蹤溯源。
3.2 服務器虛擬化的安全
在服務器虛擬化的過程中，單臺的物理服務器本身可能被虛化成多個虛擬機并提供給多個不同的租戶，這些虛擬機可以認為是共享的基礎設施，部分組件如CPU、緩存等對于該系統(tǒng)的使用者而言并不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導致整個物理服務器的全部虛擬機不能正常工作，同時，針對全部虛擬機的管理平臺，一旦管理軟件的安全漏洞被利用將可能導致整個云計算的服務器資源被攻擊從而造成云計算環(huán)境的癱瘓。針對這類型公用基礎設施的安全需要部署防護。
3.3 內(nèi)部人員的安全培訓和行為審計
為了保證用戶的數(shù)據(jù)安全，云服務管理者必須要對用戶的數(shù)據(jù)安全進行相應的SLA保證。同時必須在技術和制度兩個角度對內(nèi)部數(shù)據(jù)操作人員進行安全培訓。一方面通過制定嚴格的安全制度要求內(nèi)部人員恪守用戶數(shù)據(jù)安全，另一方面，需要通過技術手段，將內(nèi)部人員的安全操作日志、安全事件日志、修改管理日志、用戶授權訪問日志等進行持續(xù)的安全監(jiān)控，確保安全事件發(fā)生后可以做到有跡可尋。