中国移动云计算网络安全域划分技术要求Technical Specification of Centralized Security Protectionfor Cloud Computing版本号： 1.0.0中国移动通信集团公司网络部2013年12月目录前言 (1)1综述 (2)2云计算网络安全域划分 (2)2.1安全域划分的原则 (3)2.2云计算平台的主要安全域 (4)2.2.1云计算平台组网的基本架构 (4)2.2.2云计算平台基础网络安全域划分方法 (5)2.2.3云计算平台所承载业务系统组网安全域划分方法 (7)3云计算网络的安全防护要求 (8)3.1.1云计算平台与互联网之间互联安全要求 (8)3.1.2云计算平台与支撑系统之间互联安全要求 (8)3.1.3云计算平台上承载的业务系统之间互联安全要求 (8)4云计算平台安全运维要求 (9)4.1安全维护要求 (9)4.2安全管理要求 (9)5编制历史 (10)附录A 引用标准与依据 (10)附录B 相关术语与缩略语 (11)前言针对数据业务系统向云计算平台承载方式演进的需求，按照等级保护和集中化要求，本要求明确了在云计算网络环境下组网规划，实施安全域划分的基本原则，并进一步提出了云计算环境安全防护的基本要求。

本要求将云计算网络环境划分为核心网络区、核心生产区、互联网网络区、接入维护区、测试区以及DMZ区等安全域。

并在此基础上，以业务系统为单位，每个业务系统划分不同的VLAN，实现云计算网络环境下业务系统间的安全隔离。

本要求可作为在中国移动公、私有云平台在规划、开发、建设以及维护各阶段组网和实施安全防护的依据，支撑实现网络与信息安全工作“同步规划、同步建设、同步运行”。

本技术要求主要包括以下3个方面内容：1、云计算平台安全域划分；2、云计算平台边界整合；3、云计算平台的安全防护。

起草单位：中国移动通信有限公司网络部、中国移动通信研究院。

主要起草人：柏洪涛、任兰芳、刘斐、魏来、徐海东、周智。

1综述本要求从规范云计算平台整体组网入手，明确了公、私有云安全域划分的基本原则，以及云计算平台上所部署的不同数据业务系统间、数据业务系统和支撑系统间，数据业务系统内部各安全域之间互联的安全要求，并在此基础上明确了各类防护手段部署的基本要求。

本要求的主要内容包括：（1）第2章：云计算网络安全域划分：明确了根据私有云以及云计算平台上所承载的各业务系统之间的威胁等级、保护等级，划分安全域的基本原则，域间互联的基本要求。

（2）第3章：云计算网络的安全防护：在安全域划分的基础上，进一步明确了域间互联的安全要求以及各类基础安全技术防护手段的部署原则。

（3）第4章：云计算平台安全运维要求：从维护要求和管理要求两个方面，分别对私有云和公有云提出安全运维要求。

2云计算网络安全域划分在云计算网络中，主要包括如下三大类网络：1.处于云计算外部的用户（含PAAS服务模式下的能力调用者）与云计算平台内部业务系统间的Client-Server互联网络（network1）；2.处于同一云计算平台中不同服务器间的Server-Server互联网络。

该类网络中又包含同物理主机上的不同VM间的互联网络（network2）以及不同物理主机上VM间的互联网络（network3）；3.在不同物理主机间的虚拟机迁移互联网络。

该类网络中又包含同一计算平台上不同物理主机间的虚拟机迁移网络（network4）和跨云计算平台物理主机间的虚拟机迁移网络（network5）。

图2.1 云计算网络环境由于现阶段中国移动公、私有云计算平台对虚拟机迁移尚无明确要求，故本技术要求主要考虑network1、network2和network3。

针对network1，同传统IT网络环境一样，云计算平台同样面临着来自互联网的各种攻击，对云计算平台内的各类设备物理资源和数据信息资源造成威胁，需要实现云计算平台对来自云计算平台外的网络安全控制。

而云计算平台内部，不同的设备物理资源和数据信息资源，因其所承担的功能的不同，在资产价值、安全威胁、安全弱点等方面又有所不同，为避免网络安全的木桶效应，不同安全属性的物理资源和信息资源间也应做好安全隔离和防护。

在该类网络下，云计算网络环境与传统IT网络面临的安全问题一致，仍可借鉴传统IT网络环境安全防护技术和手段来实施。

针对network2、network3，在云计算网络环境中，不同业务系统共享云计算网络资源，而每个业务系统同样面临资产价值、安全威胁、安全弱点等不同问题，为避免某一业务系统的安全问题影响到其他业务系统，不同业务系统间也需要做好安全域划分，实现网络安全隔离和防护。

安全域是一个网络的逻辑范围或区域，同一安全域中的信息资产具有相同或相近的安全属性，如安全级别、安全威胁、安全弱点、风险等，同一安全域内的系统有着较高的互信关系，并具有相同或者相近安全访问控制策略。

通过在网络和系统层面安全域的划分，将云计算平台、业务系统、安全技术有机结合，形成完整的防护体系，这样既可以对同一安全域内的设备、资源进行统一规范的保护，又可以限制安全风险在网内的任意扩散，从而有效控制安全事件和安全风险的传播。

2.1安全域划分的原则对云计算网络的安全域划分，应以云计算具体应用为导向，充分考虑云计算平台系统生命周期内从网络系统规划设计、部署、维护管理到运营全过程中的各因素。

云计算网络安全域划分的基本原则包括：（1）业务保障原则：进行安全域划分的根本目标是能够更好地保障网络上承载的业务。

在保证安全的同时，还要保障业务的正常运行和运行效率。

（2）结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。

比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难，实际操作过于困难。

（3）等级保护原则：安全域划分和边界整合遵循业务系统等级防护要求，使具有相同等级保护要求的数据业务系统共享防护手段。

（4）生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。

（5）立体协防原则：安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路、网络、主机系统、应用等层次。

同时，在部署安全域防护体系的时候，要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等各种安全功能实现协防。

2.2云计算平台的主要安全域2.2.1云计算平台组网的基本架构云计算平台在组网方面按其功能可分为接口层，交换层、资源层和管理维护层4层。

接口层设备负责与外部的其它系统、用户终端交互；交换层是整个云计算网络的枢纽，设备负责连接云计算平台内部其它各层的设备，承担了内部数据流量和对外数据流量；资源层负责提供承载业务系统所需要的虚拟机、X86物理机等计算能力以及数据存储设备；管理维护层负责整个云计算平台的安全、可靠运行。

图2.2 云计算平台组网的基本架构示意图云计算基础网络安全域划分方法基本依据了上述分层情况。

2.2.2云计算平台基础网络安全域划分方法根据组网基本架构，云计算基础网络可划分以下为六类主要的安全子域：核心交换区、核心生产区、DMZ区、测试区、接入维护区以及互联网络区，如图2.3所示。

图2.3 云计算网络安全域划分（1）核心交换区是数据中心网络的核心，连接内部各个计算资源区域、管理区域、合作单位的网络、和外部用户接入的网络等。

（2）核心生产区部署计算资源的核心区域，安全防护等级最高。

（3）DMZ区部署可通过公网访问的应用。

（4）测试区：部署各类测试系统，指针对各应用系统日常开发测试，不包括提供软件测试的测试平台及测评中心等系统。

（5）接入维护区：部署资源池及其上承载的各应用系统的管理维护终端，用于应用系统管理员远程接入及厂商现场代维等。

仅提供网络设备，不部署计算、存储资源。

（6）互联网络区：出于安全和扩展性的考虑，根据互联的用户类型分为：内部互联网络，外部互联网络。

−内部互联网络通过IP 专网进行互联。

− 外部互联网络通过CMNET 实现用户的接入。

每类安全子域内部，根据实际需要，可进一步划分下级安全子域，如在内部互联接口区为和网管、计费互联分别设单独的子域。

2.2.3 云计算平台所承载业务系统组网安全域划分方法2.2.3.1 私有云所承载业务系统组网安全域划分方法私有云计算平台上所承载的各业务系统部署在同一物理主机服务器甚至多个物理主机服务器上的多个VM 中；同时，同一物理主机服务器上也可能部署了多个不同的业务系统。

而这些隶属于不同业务系统的VM 间需要进行隔离和访问控制。

云计算平台上的各业务系统间的隔离和访问控制可选择划分VLAN 、VRF 以及VFW 安全隔离等其中一种或几种的组合的方式进行。

不同的业务系统，划分不同的VLAN 、VRF 或者VFW 。

采用VLAN 划分方式时，VLAN 还应按照云计算平台基础网络的不同安全域成段分配，不同安全域使用不同的VLAN 段，每个安全域内不同的业务系统使用不同的VLAN ，所有VLAN 之间缺省互相隔离的。

如果有互访需求需要在防火墙上做策略允许其互访，包括同一业务系统内部不同安全域的互访，也包括不同业务系统之间的互访。

同一VLAN 内还可通过PVLAN 技术划分子VLAN ，实现同一业务系统内不同安全级别的虚拟机隔离。

VLAN 1VLAN 2VLAN 1001VLAN 1002VLAN 2001VLAN 2002VLAN 3001VLAN 3002VM VM VM VM VMVM VM VM VM VM图5.3 VLAN 隔离示意图2.2.3.2 公有云所承载业务系统组网安全域划分方法在公有云计算平台上，应以租户为单位，每个租户划分不同VLAN 或VRF ，所有VLAN 之间缺省互相隔离，以保证不同租户间设备是互相隔离。

不同租户间设备或系统如有互访需求，应通过网络路由实现。

3云计算网络的安全域边界互联安全要求本部分技术要求主要明确云计算平台与互联网之间、云计算平台与内部支撑系统之间、云计算平台上所承载的业务系统之间，以及传统域与云计算平台之间互联的安全要求。

3.1.1云计算平台与互联网之间互联安全要求云计算平台与互联网需通过互联网接口区进行互联。

具体原则如下其中：●来自互联网的访问请求需通过部署在互联网接口区的设备进行处理或转发，通过VLAN或VRF方式，将不同类型的数据映射到云计算平台内部对应域。

互联网设备不能直接访问云计算平台的核心生产区。

●互联网接口区与互联网之间需要通过防火墙防护。

●核心生产区与互联网接口区之间需要通过防火墙防护，实现双层异构防火墙防护。