随着云计算时代的到来,更多企业会选择将自己的业务和基础IT设施向云平台迁移。虽然云计算在IT界炙手可热,但在云计算推广或部署过程中,无论是对使用云服务的用户,还是对云服务提供者,安全威胁却一直存在。素有云计算鼻祖之称的亚马逊(Amazon)云计算业务自开通以来,已发生两次严重事故,最近2011年8月份的一次瘫痪,影响的业务涉及社交网站、在线视频网站、图片共享网站以及数百万用户。虽然云计算服务很快恢复正常运营,但还是令人对云计算产生了诸多疑虑,业内很多人戏称云计算看上去很美,安全威胁变成了云计算的“梦魇”。
由此看来,要让云计算带来的IT美好愿景落地,必须要解决安全这一弱点。对用户来说,他们担心云服务提供者云中的数据是否安全;对于云服务提供者来说,则是如何保证云中的数据不受威胁。不过,在云计算时代,用户面临的安全威胁与传统的网络有着不同的重点。对无论是对云计算方案提供商,还是传统安全厂商,都必将进入新一轮的安全技术革新中。
H3C公司敏锐地注意到了云计算对网络安全应用需求带来的新变化。在其尤其推出的NGIP新一代互联网(Next Generation Internet Protocol,NGIP)解决方案中,H3C围绕着如何保证NGIP安全问题进行了重点规划与深度思考。
H3C新一代互联网解决方案主要包含了云联网、基础承载网络以及物联网三个部分。在这三个层面,其安全的“软肋”也各有不同。围绕这三大不同安全焦点,H3C“修炼”了“全面、高效、智能”的“心法”,有针对性地设定了相应的“绝招”。
弥补虚拟化“破绽”,防护云联安全
云联,顾名思义指的是云计算的网络连接,其中最有代表性、应用得最多的技术就是虚拟化技术。而虚拟化应用带来的安全新问题也成为了云联网面临的最大挑战。
虚拟化的安全“破绽”主要体现在三个方面。首先是针对虚拟化软件的漏洞攻击威胁,严重时将导致服务器无法使用,CVE组织也在陆续公布一些虚拟化软件的漏洞,这一类的漏洞未来会成为黑客主攻的方向;其次是物理服务器虚拟化以后,虚拟机之间如何做访问控制的问题;第三则是多租户情况下,数据中心中安全设备虚拟化要求,由于不同租户的安全策略不一定一致,在共用安全设备时,就必须能够进行分割,将一台设备虚拟成多台设备,从而满足不同用户的需求。
那么如何全面地解决这些“破绽”呢?H3C认为,针对虚拟化软件的漏洞,通过网络设备+防火墙+入侵防御系统建立起L2-7层立体防御,增加针对虚拟化漏洞的特征库研究,来满足在云计算环境下服务器自身的威胁防范,来有效抵御安全风险。
对于虚拟机访问控制的问题,HP提出的VEPA协议则派上了用场。通过VEPA协议,可以将虚拟机内部的数据流量通过安全设备进行各种安全防护,从而实现解决服务器内部VM之间的二层交换流量的安全访问和攻击检测问题。
而在安全设备虚拟化方面,H3C已经实现了全方位的端到端的产品虚拟化,包括一台设备虚拟成N多台,或者根据虚拟需求实现N:1的收敛要求,从而在云中与网络一起,形成端到端的虚拟通道。从而实现关键特性的多实例配置,比如防火墙的NAT多实例、支持独立的安全域划分和策略配置;实现基于虚拟设备资源划分,比如负载均衡设备的最大虚服务(实服务)个数等;实现每个虚拟设备具备独立的管理员权限,可以随时监控、调整策略的配置实现情况;且多个虚拟设备的管理员同时操作。
“唯快不破”,基础承载网安全“秘诀”
在中华武学中有一个重要原则,就是“千破万破,唯快不破”,核心意思就是速度是克敌的制胜法宝。对于基础承载网络来说,云计算应用安全防护的性能是否足够“快”,则是问题的焦点。
基础承载网负责的是云计算数据中心和用户终端的互联,其特点就是透明传输,所强调的就是性能无收敛,没有延迟,没有丢包。这对安全设备提出的要求就是“高效”,在园区网中,安全设备性能要满足与网络相匹配的性能,满足10G、40G、100G的传输性能需求。在广域网应用中,要通过应用交付实现应用的加速。
针对基础承载网的安全焦点,H3C是通过安全IRF技术来解决的。这种弹性扩展技术,可根据业务发展需要,轻松地实现系统扩容。一方面,可以做大性能的扩容,目前H3C第三代安全板卡的单卡性能为20G,通过IRF技术可以虚拟为800G的高性能设备,完全可以满足未来在云计算环境下40G和100G以太网标准的性能处理要求。
另一方面,通过安全和网络设备高度融合,还可以实现安全功能的扩充。用户可以随着业务发展需要,灵活地增加防火墙、入侵防御、流量监管、负载均衡等各种安全功能。这也是高效网络安全很重要的一点。
安全智能化,物联安全“如臂使指”
物联网(The Internet of things)就是“物物相连的互联网”,实现物与物、物与人,所有的物品与网络的连接,方便识别、管理和控制。很多客户最关心的是,所有的数据包括应用都放在数据中心或者云端了,安全性如何保障?
归根结底来说,云时代的物联层面安全关注的是两个问题。一是安全接入的问题,云计算环境用户的数据从终端到云计算环境的传输中,容易被截获; 如何保证用户端到云端安全访问和接入?二是安全设备的管理问题,无论是公有云、私有云还是混合云,网络规模都非常庞大,部署的安全设备数量也很多,而且分散在网中不同节点,如何进行有效的设备管理?安全策略如何做到统一的管理?这都是必须要考虑的。
对于安全接入的风险,H3C认为,在云端部署SSL VPN网关是可行的接入方案。利用SSL VPN技术,随时随地的在客户端与资源中心之间建立一个私密通道以保证不同客户信息私密性,客户端HttPS方式访问SSL VPN网关登录页面,通过证书客户端与网关进行身份相互确认,客户端与网关身份确认后,客户端就可访问云中心预先设定好的访问资源,客户端到SSL VPN数据流经过了PKI系统进行严格的加密保护,保证数据私密性。
同时,针对庞大物联网中的安全设备,H3C通过统一的安全管理平台——SecCenter安全管理中心来实现安全的统一管理。有了这个智能化的安全“指挥所”,用户可以实现安全事件的实时监控,并通过系统提供的各种报告进行安全事件的统计和分析,最重要的是可以实现设备的统一管理和策略配置,从而让整个安全体系更加智能化。
结束语
总的来说,H3C不断寻求在云计算安全的技术突破和创新,将“全面、智能、高效”的概念融入到具体的解决方案之中,直指云时代安全的三大“软肋”。
从关注路由器、交换机上安全特性以及实现,到构建L2-7层综合防御的防火墙、IPS产品,再到融合到园区网、广域网和数据中心的安全综合解决方案,H3C一直致力于网络安全的研究和技术创新。对于云计算与数据中心安全方面的技术发展和应用,H3C也将持续并重点研究,在面向对象的安全部署、虚拟化等方面不断突破,为用户提供新一代网络安全解决方案。