在云計算應用領域,運營商一直是一支不容小覷的“力量”。為了在下一輪市場競爭中搶占更加有利的位置,以電信企業為代表的運營商,在云計算建設大潮中沖在了最前沿。例如中國移動斥巨資打造了大云項目,中國聯通則發布了互聯云計劃,中國電信也將“星云計劃”納入戰略轉型的重要組成部分。各地以電信企業為主導的云計算中心項目紛紛啟動,也印證了這一點。
運營商在云計算方面的逐漸發力,一方面尋找到了新的業務增長點,另一方面也遇到了許多新的挑戰。隨著智能終端的快速普及、移動互聯、云計算以及物聯網的發展,各運營商紛紛推出基于IP承載技術的各類業務應用,帶來了許多技術創新和業務發展機遇。這一過程中,信息安全風險能否得到有效控制,對運營商云業務的正常開張有著決定性意義。
在運營商和云計算領域都積累了大量經驗的H3C,也充分意識到了運營商安全建設需求的新變化,并借助新一代互聯網NGIP解決方案的技術與產品,對運營商云計算安全建設提供了更多支持與保障。
虛擬化的AB面——運營商云安全的重點
“運營商的云計算建設分為供內部使用的私有云,以及對公眾提供服務的公有云兩個部分,所面臨的安全需求也不盡相同。”H3C安全產品線總工李彥賓表示,從私有云應用的角度來看,運營商云計算的安全與其他行業相比相差并不大。
李彥賓指出,云計算網絡安全的最顯著特點,就是要解決云計算應用中十分常見的虛擬化的安全威脅。在H3C看來,這方面的問題主要集中在三個方面,一是針對虛擬化軟件的漏洞攻擊威脅,嚴重時將導致服務器無法使用,CVE組織也在陸續公布一些虛擬化軟件的漏洞,這一類的漏洞未來會成為黑客主攻的方向;其次是物理服務器虛擬化以后,虛擬機之間如何做訪問控制的問題;另外運營商不同的業務部門都集中到一個云計算中心的時候,不同部門的安全策略不一定一致,對數據中心中安全設備產生虛擬化要求,需要共用安全設備必須能夠進行分割,將一臺設備虛擬成多臺設備,從而滿足不同用戶的需求。
針對運營商私有云安全問題,目前H3C已有成體系的一整套方法。一方面通過網絡設備+防火墻+入侵防御系統建立起L2-7層立體防御,增加針對虛擬化漏洞的特征庫研究,來解決虛擬化軟件安全問題;另一方面,通過HP/H3C共推的VEPA協議,將虛擬機內部的數據流量通過安全設備進行各種安全防護,來實現解決服務器內部VM之間的二層交換流量的安全訪問和攻擊檢測問題。此外,H3C通過實現全方位的端到端的產品虛擬化在實際應用中,H3C的安全設備既可以將一臺設備虛擬成N多臺,也可根據虛擬需求實現N:1的收斂要求,從而在云中與網絡一起,形成端到端的虛擬通道,來滿足運營商云數據中心安全設備虛擬化的需要。
然而對于運營商提供的公有云服務的網絡安全來說,其考慮的重點有著很大的不同。H3C電信系統部副部長許全會介紹,從以往來說,運營商的云計算數據中心與互聯網企業有些類似,在出口端不部署防火墻等網關設備,從而盡量實現出口帶寬速率的最大化。然而近一兩年來,運營商公有云從業務開拓的角度出發,開始對安全設備產生更多需求。運營商在向用戶提供云計算數據中心服務時,一些客戶往往需要運營商也能提供安全方面的增值服務。因此運營商需要把安全資源像計算、存儲等一樣實現資源池化,從而在客戶需要的時候作為一種資源提供給用戶。
這樣一來,安全設備的虛擬化問題,就成為運營商公有云安全建設的焦點。這時H3C安全設備虛擬化方面的優勢得以進一步體現。H3C安全產品線總工李彥賓介紹到,目前在安全設備虛擬化方面H3C已實現關鍵特性的多實例配置,比如防火墻的NAT多實例、支持獨立的安全域劃分和策略配置;實現基于虛擬設備資源劃分,比如負載均衡設備的最大虛服務(實服務)個數等;實現每個虛擬設備具備獨立的管理員權限,可以隨時監控、調整策略的配置實現情況;且多個虛擬設備的管理員同時操作。
同時,李彥賓還指出,運營商公有云對安全設備的性能也有著更高的要求。作為一種面向客戶的服務,公有云對安全設備容量的要求比私有云更為嚴格,而且擴展性要更好,在客戶提出需求時,能十分快捷地提升系統性能。對此,H3C通過安全IRF技術輕松地實現系統擴容,最高可虛擬出1280G的高性能設備,完全可以滿足未來在云計算環境下40G和100G以太網標準的性能處理要求,從而解決運營商云服務的后顧之憂。
運營商安全市場H3C發力
隨著運營商對安全問題越來越重視,安全設備的選擇也越來越受到運營商的重視。據了解,近幾年運營商加大了安全設備集采的力度,不僅高度關注安全廠商的響應和服務能力,對其產品和方案的性價比也提出了更高要求,運營商安全設備市場也迎來了新的一輪“洗牌”過程。
H3C電信系統部副部長許全會表示,近幾年來H3C安全設備進入運營商市場,取得的了十分突出的成績,尤其是高端安全產品,在性能、價格、服務等各面都具備了領先優勢。在運營商集采中,H3C防火墻/VPN/LB已連續兩年出貨量第一,超萬兆防火墻連續四年成為中國電信、中國移動集團的核心短名單供應商。目前,H3C的安全設備已經廣泛應用于中國移動、中國電信、中國聯通以及廣電的各級公司。在云計算領域,H3C參與建設的四川電信私有云、江西電信云計算、海南移動IDC等云安全或網絡安全加固項目,已經成為云安全領域的典范。除此之外,H3C還與中國電信、中國移動以及聯通積極開展合作,協助進行云計算、云安全相關規范的制定,與電信集成開展深度合作,成為運營商云安全領域最重要的廠商。
對此李彥賓表示,這與H3C長期對安全的專注與投入密不可分。作為網絡安全和應用安全領域的領導先企業,H3C從關注路由器、交換機上安全特性以及實現,到構建L2-7層綜合防御的防火墻、IPS產品,再到融合到園區網、廣域網和數據中心的安全綜合解決方案,H3C一直致力于網絡安全融合的研究和技術創新。因此取得這樣的成績并不意外。
同時,他還強調,在云安全時代H3C仍將把握信息安全技術發展趨勢,研發立足世界前沿的信息安全產品,為運營商提供量身定制的網絡安全解決方案和完善的服務。下一步H3C還將針對運營商需求,發布20G安全插卡、萬兆IPS等新產品,進一步幫助運營商解決安全問題。
“運營商云計算的腳步將繼續加快,對安全的要求也將更加迫切。”許全會表示,對于H3C來說,未來的運營商云安全市場,仍將是一片廣闊的天地。
京公網安備 11010502049343號