在建設云數據中心前,多個用戶單位的數據中心獨立建設,分別擁有獨立的網絡設備、安全設備和服務器,此時部署的是傳統的網絡安全產品。
在云計算時代背景下,數據中心需要向集中大規模共享平臺推進,通過引入服務器虛擬化技術,提供彈性、按需、自助的部署。數據中心的云化,對傳統的安全防護方案和安全產品也提出了新的要求。
云時代數據中心的安全建設劃分成三個階段。
1、 傳統安全產品的虛擬化
2、 融合到云計算平臺的虛擬機安全設備
3、 自主安全可控的云計算平臺
傳統安全產品的虛擬化
在云數據中心建設的第一個階段,需要把各種物理硬件建設成資源池,以虛擬化的方式對多個用戶單位提供服務,從而實現云計算數據中心的性價比優勢。用戶單位使用云數據中心提供的虛擬網絡、虛擬安全設備和虛擬服務器。
在此階段,使用的仍然是傳統的安全產品,部署在服務器資源池的外圍,為不同的用戶單位,創建邏輯上獨立的虛擬設備。因此,傳統安全產品需要實現虛擬化,支持虛擬設備功能(包括引擎和管理界面)。
融合到云計算平臺的虛擬機安全設備
在云數據中心建設的第二階段,網絡設備、安全設備和服務器等硬件資源需要進一步整合。在同一臺物理服務器內部的多個虛擬機之間的訪問控制,不能通過在服務器資源池外圍的硬件安全設備來實現。
在此階段,安全設備需要軟件化,作為一個安全應用融合在虛擬化平臺上。
虛擬機安全設備可以通過兩種方式融合到虛擬化平臺,第一種方式是通過虛擬網絡路由的方式部署;第二種方式是通過調用Hypervisor層的API,將安全控制功能嵌入到虛擬化平臺。
自主安全可控的云計算平臺
在云計算數據中心建設的第三階段,我們需要考慮云計算平臺自身的安全性。
首先,云計算平臺本身也存在各種安全漏洞,例如利用典型的虛擬機逃逸漏洞——藍色藥丸,攻擊者可以在控制客戶機VM的情況下,攻擊Hypervisor,安裝后門,控制其他VM。由于云計算平臺往往十分重要,這些安全漏洞需要比傳統的主機安全漏洞更被重視。
其次,Hypervisor層的API調用,本身需要受虛擬化平臺廠商的控制。以VMware為例,VMware曾經向其TAP(技術聯盟伙伴)開放過VM-SAFE API,用于開發安全應用,但在最近,VMware關閉了VM-SAFE API。
最后,站在國家信息安全的戰略角度,我們在建設云計算數據中心時,不能不考慮供應鏈的安全。只有實現完全自主安全可控的云計算平臺,云計算數據中心的安全性才能得到徹底的保障。
京公網安備 11010502049343號