云时代数据中心安全要从基础架构做起.docVIP

云时代数据中心安全要从基础架构做起云时代，数据中心虚拟化之后，承载的应用和业务的数量大幅上升。在传统数据中心的基础上，云数据中心的管理平台采用云架构，更加动态地调动资源，更加智能人性化地对设备进行管理，同时可以对外提供SaaS服务。此外，云数据中心的基础设备更加规模化、标准化，让数据中心管理的复杂度上升。 “在这种情况下，数据中心的安全就成为其能否正常提供高效、可用服务的关键。”在接受本报记者专访时，山石网科新技术副总裁王钟认为，传统的数据中心安全解决防护思路难以应对云时代数据中心的发展，“我们需要摆脱以设备为核心的安全策略，从基础架构层面做起，提供整体的解决方案”。 云时代数据中心多重挑战 在云时代，数据中心主要面临两个维度上的安全，一是传统数据中心边界，二是数据中心内部和跨越不同地域的多个数据中心之间的安全。 “云数据中心业务和技术的动态变化和复杂性，给云数据中心的网络安全带来了新挑战。”王钟在接受本报记者专访时表示，挑战源于“服务器和网络的虚拟化、软件定义网络（SDN）和BYOD（Bring Your Own Device，员工携带自己的设备办公）”。 Gartner认为，2012年虚拟化技术已达到了50%的普及率。服务器虚拟化的好处显而易见，但是别忘记了，服务器虚拟化并非完美无瑕。惠普信息安全解决方案技术服务事业部经理陈颢明表示：“以前数据中心的一台物理机只支持一个操作系统，但现在一个刀片可能支持25个操作系统，这就意味着我们原本设定好的安全域的规则被打乱，不同安全层级的信息可能在同一台虚拟机上，造成的后果是权限级别低的用户有可能访问到更高权限级别才能访问的数据，并且带来安全风险。” 从虚拟化技术发展的角度来看，虚拟化数据中心多租户环境的细粒度的管理，以及对内容、应用、身份认证的的安全应对措施，是数据中心安全的关键性问题。 “大多数的识别和安全控制措施基于固定的位置、静态网络或者固定IP，难以应付虚拟机迁移带来的安全问题。”王钟认为，“虚拟化环境的动态特性某种程度上意味着新的安全威胁和漏洞。” 同样地，网络虚拟化将网络服务和物理网络设备分离，网络的部署方式也发生了改变——从设备的手工单独配置方式变为可编程的自动部署，同时网络也可以按需而动。而传统的安全解决方案基于固定物理网络设备的安全技术，面临着动态变化的网络虚拟化的挑战。 与网络虚拟化相似的是，SDN将网络控制与网络的物理拓扑分开。“当网络变成可编程实现的时候，网络安全该如何实现？当网络的控制和管理被虚拟化、集中化之后，安全的管理应该如何解决？”王钟认为，SDN带来的安全问题同样不可小觑。 最后，随着IT消费化的趋势，BYOD逐渐被越来越多企业接受，虚拟化的普及推动了这一趋势的发展。然而，企业在享受到降低成本带来的便利时，也不得不提升应对安全风险的成本。这是因为员工携带的个人设备，往往没有部署相应的安全策略，员工在哪里使用这些设备、通过哪种网络接入企业的业务平台，企业的IT人员往往难以准确了解。同时，员工在使用个人设备办公的同时，往往还进行上网和娱乐等行为。这些都给黑客潜入企业网络提供了可乘之机。 由此可见，相比于传统的数据中心安全防护，云计算时代，尤其是虚拟化技术发展带来的变革之后，数据中心的安全防护对安全设备提出了更高的要求，包括高性能并按需扩展、高可靠保障业务连续性、虚拟防火墙实现虚拟机间的隔离和可视化提供业务可管理等。在王钟看来，“安全即服务和资源、开放可定义、冗余高可靠、分布可扩展和绿色节能将是未来数据中心安全解决方案的关键”。 基础架构层面的整体解决方案 在近日举办的2012RSA中国信息安全大会上，作为云计算技术落地实施的最重要环节，数据中心的安全备受关注。众所周知，数据中心的安全设备必不可少，而且随着这些设备的日益增多，以及业务需求的变化，单一网络安全产品已经无法应对用户所面临的挑战，安全厂商应该从数据中心基础架构入手提供全面的解决方案。 “以往，安全厂商跟用户强调的往往是其产品的性能有多强，速度有多快。但事实上，某一款设备的快慢并不能从根本上解决数据中心的整体问题。”王钟向记者介绍，“站在管理者的角度上，我们首先要思考的是数据中心是否可管理。这个管理需要集中的、智能的、开放的，能够跟数据中心的管理融合起来。”在他看来，只有这几个方面都具备的安全管理架构，才是数据中心所需要的。 要满足集中、智能和开放等条件并不容易，山石网科给出的解决方案是提供基础架构层面的完整的网络安全解决方案，包括数据中心防火墙+弹性安全架构+安全监控和管理等三部分内容。在这个架构之上，山石网科推出了云数据中心网络安全解决方案——云之盾。 “云之盾整合了山石网科数据中心防火墙、弹性安全架构与安全监控与管理方案，具有冗