与人们的生产生活息息柜关的互联网,并非一个完美计划的结果。安全隐患于互联网,是与生俱来的。在互联网飞速发展的30年间,被动挨打之后再弥补安全漏洞,已经成为解决互联网安全问题的惯性思维。但是,在互联网进入云时代后,这样的安全理念还能保障云的安全吗?我们还有机会改变这种局面吗?
从网络开始
云安全这个概念曾经被众多厂商所用,也出现了五花八门的定义。但在H3C安全产品部总工李彦宾看来,保障云计算基础架构安全的技术,才能被真正纳入云安全的范畴。而且,实现云安全仅靠信息安全技术还远远不够,构建一个可以全面支撑安全体系的云网络将是解决云安全问题的第一步。
在传统的网络架构中,网络与安全虽然表面上密不可分,但其体系架构却往往是“两张图”。对于下一代互联网的安全,我们到底应该从安全的角度审视网络,还是应该从网络的角度审视安全,这个话题似乎永远争论不休。传统的网络架构在设计之初并没有真正考虑到安全的需求,导致长久以来信息安全领域一直在为网络基础架构打补丁。所以,在现有的大多网络架构中,几乎昕有的安全着力点都是在问题爆发后才能被发现。
今年6月,H3C曾推出了新一代互联网(NGIP)解决方案。NGIP被分为三大部分:云联、基础承载网络以及物联。而H3C昕提出的安全智能渗透网络的概念正是基于NGIP的。在NGIP架构中,记者却发现安全的着力点清晰可见。以云联为例,李彦宾告诉记者,云联指的是应用虚拟化技术的数据中心。虚拟化技术带来的安全威胁主要体现在三个方面:首先,虚拟化平台同样会像Windows和Linux一样存在漏洞,所以针对虚拟系统的攻击就是下一代数据中心所面临的核心安全问题。其次是虚拟机之间的安全访问隔离,以及真实主机之间的安全访问隔离问题。再次是基础设备的虚拟化,因为云计算中心服务器的虚拟化,要求基础承载网络设备也要虚拟化,作为一个能融合到云计算基础架构中的安全设备就必须能够适应虚拟化的要求。透视H3C的安全理念,我们不难发现,人们对于互联网安全防御体系的设计首次变主动了。
曾经有专家指出,安全要从地基开始做起。如今,人们对信息安全问题的认识和理解越来越深刻,也积累了很多构建安全防御体系的经验,如果能以搭建健康安全的网络环境为着眼点为云安全打好基础,下一代互联网的安全防御体系才能有机会改变以往的被动局面。
全还远远不够
向云过渡的过程中,为何网络中听部署的安全防御体系变得无处施力?安全防御产品的性能、功能总在不断提升,但为何部署在云网络中反而成为瓶颈?在一个关于云计算安全痛点的CIO调查中,一些初涉云计算的企业提出了这样的问题。
李彦宾直言,在云端实现云安全,做到安全防护的全面性还远远不够。比如,人们对基础承载网络的要求是实现传输的透明性,延迟会导致网络的效率下降。所以在基础承载网络中的安全产品的目标就是实现高性能。而当前,由安全产品造成的网络传输瓶颈很多,这个问题必然会被业界所重视。在提升吞吐量之后,安全产品的硬件可按需扩展,功能可按需扩充也很重要。安全之优做到可平滑升级,才能适应云环境的变化。
当所有的数据包括应用都放在数据中心或者云端时,最让用户担忧的问题自然是客户端连接到云的通信环境是否安全。可以说,这个安全问题,是所有云服务商都必须要迈过的门槛。李彦宾认为,目前在用户端接入云的路径上部署$SL安全认证网关,构建起一个安全访问隧道,是解决这一问题比较有效的方法。
李彦宾同时强调,无论是公有云、私有云还是混合云,云网络中所涉及的安全设备的数量和种类都会成级数增长。如何让这些安全设备紧密协作,并实现统一的管理和调度是一个必须要考虑的问题。H3C的安全产品体系一直以解决这样的问题为发展主线。“一个租户发生迁移,他的策略也可能发生变化。通过管理平台,这样的动态迁移很容易实现,还能做到事后的报表分析和安全管控。”