随着云计算时代的到来,更多企业会选择将自己的业务和基础IT设施向云平台迁移。虽然云计算在IT界炙手可热,但在云计算推广或部署过程中,无论是对使用云服务的用户,还是对云服务提供者,安全威胁却一直存在。素有云计算鼻祖之称的亚马逊(Amazon)云计算业务自开通以来,已发生两次严重事故,最近2011年8月份的一次瘫痪,影响的业务涉及社交网站、在线视频网站、图片共享网站以及数百万用户。虽然云计算服务很快恢复正常运营,但还是令人对云计算产生了诸多疑虑,业内很多人戏称云计算看上去很美,安全威胁变成了云计算的“梦魇”。
由此看来,要让云计算带来的IT美好愿景落地,必须要解决安全这一弱点。对用户来说,他们担心云服务提供者云中的数据是否安全;对于云服务提供者来说,则是如何保证云中的数据不受威胁。不过,在云计算时代,用户面临的安全威胁与传统的网络有着不同的重点。对无论是对云计算方案提供商,还是传统安全厂商,都必将进入新一轮的安全技术革新中。
作为IP领域的领导者,H3C公司敏锐地注意到了云计算对网络安全应用需求带来的新变化。在其尤其推出的NGIP新一代互联网(Next Generation Internet Protocol,NGIP)解决方案中,H3C围绕着如何保证NGIP安全问题进行了重点规划与深度思考。
H3C新一代互联网解决方案主要包含了云联网、基础承载网络以及物联网三个部分。在这三个层面,其安全的“软肋”也各有不同。围绕这三大不同安全焦点,H3C“修炼”了“全面、高效、智能”的“心法”,有针对性地设定了相应的“绝招”。
弥补虚拟化“破绽”,防护云联安全
云联,顾名思义指的是云计算的网络连接,其中最有代表性、应用得最多的技术就是虚拟化技术。而虚拟化应用带来的安全新问题也成为了云联网面临的最大挑战。
虚拟化的安全“破绽”主要体现在三个方面。首先是针对虚拟化软件的漏洞攻击威胁,严重时将导致服务器无法使用,CVE组织也在陆续公布一些虚拟化软件的漏洞,这一类的漏洞未来会成为黑客主攻的方向;其次是物理服务器虚拟化以后,虚拟机之间如何做访问控制的问题;第三则是多租户情况下,数据中心中安全设备虚拟化要求,由于不同租户的安全策略不一定一致,在共用安全设备时,就必须能够进行分割,将一台设备虚拟成多台设备,从而满足不同用户的需求。
那么如何全面地解决这些“破绽”呢?H3C认为,针对虚拟化软件的漏洞,通过网络设备+防火墙+入侵防御系统建立起L2-7层立体防御,增加针对虚拟化漏洞的特征库研究,来满足在云计算环境下服务器自身的威胁防范,来有效抵御安全风险。
对于虚拟机访问控制的问题,HP提出的VEPA协议则派上了用场。通过VEPA协议,可以将虚拟机内部的数据流量通过安全设备进行各种安全防护,从而实现解决服务器内部VM之间的二层交换流量的安全访问和攻击检测问题。
而在安全设备虚拟化方面,H3C已经实现了全方位的端到端的产品虚拟化,包括一台设备虚拟成N多台,或者根据虚拟需求实现N:1的收敛要求,从而在云中与网络一起,形成端到端的虚拟通道。从而实现关键特性的多实例配置,比如防火墙的NAT多实例、支持独立的安全域划分和策略配置;实现基于虚拟设备资源划分,比如负载均衡设备的最大虚服务(实服务)个数等;实现每个虚拟设备具备独立的管理员权限,可以随时监控、调整策略的配置实现情况;且多个虚拟设备的管理员同时操作。
