云平臺安全域劃分

安全域劃分的原則:
•            業務保障原則：安全域方法的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時，還要保障業務的正常運行和運行效率；
•            結構簡化原則：安全域劃分的直接目的和效果是要將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數量過多過雜可能導致安全域的管理過于復雜和困難；
•            等級保護原則：安全域劃分和邊界整合遵循業務系統等級防護要求，使具有相同等級保護要求的數據業務系統共享防護手段；
•            生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態設計，還要考慮云平臺擴容及因業務運營而帶來的變化，以及開發、測試及后期運維管理要求
 安全域的邏輯劃分。

按照縱深防護、分等級保護的理念，基于云平臺的系統結構，其安全域的邏輯劃分如下圖所示：

按照防護的層次，從外向內可分為外部接口層、核心交換層、計算服務層、資源層。根據安全要求和策略的不同，每一層再分為不同的區域。對于不同的區域，可以根據實際情況再細分為不同的區域。例如，根據安全等級保護的要求，對于生產區可以在細分為一級保護生產區、二級保護生產區、三級保護生產區、四級保護生產區，或者根據管理主體的不同，也可細分為集團業務生產區、分支業務生產區。
       對于實際的云計算系統，在進行安全域劃分時，需要根據系統的架構、承載的業務和數據流、安全需求等情況，按照層次化、縱深防御的安全域劃分思想，進行科學、嚴謹的劃分，不可死搬硬套。