虛擬化是現階段云計算數據中心實施最為廣泛的技術,它可以極大程度提高資源利用率,降低運營成本。目前服務器、存儲器的虛擬資源池化技術已經日趨成熟,網絡設備的虛擬資源池化也已經成為趨勢。對應的云計算數據中心的防火墻等安全控制設備,也必須支持虛擬化能力,像計算和存儲、網絡一樣能按需提供服務。
動態變化的數據中心面臨的安全新挑戰
Hillstone新技術副總裁王鐘認為,虛擬化帶來的新挑戰是模糊了網絡的邊界以及如何找準被保護的對象
基于服務器的虛擬化技術,可以將單臺物理服務器虛擬出多臺虛擬機并獨立安裝各自的操作系統和應用程序,從而有效提升服務器本身的利用效率。在這種模型下該虛擬化技術將可能導致新的安全風險,比如以VMware、Citrix和微軟的虛擬化應用程序ESX/XEN/Hyper-V為代表的虛擬化應用程序本身可能存在的安全漏洞將影響到整個物理主機的安全。虛擬機應用程序包括Web前端的應用程序、各種中間件應用程序及數據庫程序等,在云計算環境下,這些安全漏洞會繼續存在。
服務器虛擬化在數據中心的廣泛采用所帶來的安全問題亟待解決,多數的識別和安全控制措施基于固定位置、靜態網絡或固定IP,難以應付虛擬機帶來的安全問題,虛擬化環境的動態特性也意味著新的安全威脅和漏洞。
數據中心安全不只面臨著服務器虛擬化帶來的挑戰,王鐘進一步說到,網絡虛擬化、軟件定義網絡(SDN)、BYOD這些都讓數據中心處在動態變化中。
網絡虛擬化將網絡服務和物理網絡設備分離,也帶來網絡部署方式的改變,即:從設備的手工單獨配置方式變為可編程的自動部署,同時,網絡也可以按需而動。基于固定物理網絡設備環境的安全技術面臨著動態變化的網絡虛擬化的挑戰。
軟件定義網絡(SDN)將網絡控制平面和網絡的物理拓撲分開,由此帶來一些新的問題,如當網絡變為可編程實現的時候,網絡安全應該怎么做?當網絡的控制和管理被虛擬化、集中化后,安全的管理應該在哪里?
BYOD讓IP和位置處在動態和變化中。
數據中心防火墻新要求
王鐘告訴記者,Hillstone對數據中心防火墻的關鍵特性的定義是:安全即服務(Security as a Service)、安全即資源(Security as a Resource)、開放可定義(Open and Definable)、冗余高可靠(Redundant)、分布可擴展(Distributed scalable)、綠色節能(Green)。Hillstone倡導數據中心安全防護不僅是一個設備,而是“數據中心防火墻+ 彈性安全架構+ 安全監控和管理”的解決方案。
王鐘指出,針對數據中心虛擬化的特點,數據中心防火墻一方面需要提供大規格的虛擬防火墻,滿足不用應用/租戶對獨立安全業務平面的需求。同時設備還可根據業務實際負載,動態調整每個虛擬防火墻的資源配給,更好的適應業務流量彈性變化的特點。
Hillstone數據中心防火墻可彈性適應云計算數據中心安全業務增長需求。通過增加安全服務模塊(SSM)即可提高防火墻的處理能力。同時板卡支持即插即用,擴展過程中不會間斷業務訪問。
王鐘強調,在分布式環境中,集中管理是安全的關鍵。系統管理員需要對全網部署的防火墻實施有效的監控和配置,幫助系統管理人員從全局性視角掌握信息系統的運行狀態和安全態勢,并降低運維難度,提高對安全事件的分析和響應效率。
(圖)虛擬化數據中心內部的安全資源池部署
京公網安備 11010502049343號