12月12日,全球首个探讨产业互联网的大型会议,2014 CVW﹒产业互联网大会在北京亦庄召开,并通过纽约时代广场大屏幕同步呈现。大会由亚信集团、云基地和亦庄经济技术开发区联合举办,汇聚超过5000名关注互联网和传统产业发展的全球IT和传统行业领袖和精英,探讨“互联网进入传统行业”、“传统行业互联网化”的演进以及产业互联网的技术模式和业务创新。
在下午的“网络安全@互联网”主题论坛上,趋势科技全球研发大中华区执行总裁张伟钦带来《演化的数据中心安全》主题演讲。
以下是他的演讲全文:
张伟钦:各位下午好。我做安全做了几年,趋势早期做防病毒,那时候找一个病毒很难。因为病毒有时候会有区域性,那时候为了一个病毒还要跑到墨西哥。我记得那时候大家最经常讲,什么样的病毒?大家讲一个人,20多岁,没有女朋友,就是傻傻的,那时候没有想到世界会变成这样。这20年我自己感触非常深,从来没有想到一个网络安全问题,我现在讲数据中心的安全。
数据中心,这几年整个数据中心,有人喜欢用云计算有人不喜欢,我觉得无所谓。我觉得这是整个数据中心的演变,从一开始尤其这几年大家碰到的最大的问题就是所谓的虚拟化这种概念,所以说整个IT环境在变化,趋势这家公司比较特别,今年是第26年。26年来经过很多不同波折,所谓的IT变革。95年的互联网时代,到今天大家讲云时代。其实每个IT变革里面都有一个新的接触点,新的接触点对于人有新的好处。这些新的好处,同样会被坏人拿来利用。但是所以说整个变化过程中,不断是厂商也好客户也好,这个改变是不是带来坏的利用?你也说,对,带来一个新的利益。很多时候大家想新的利益比较容易,我们今天看到传统的物理机和虚拟机的概念。大家如果说,不把这个东西虚拟化。但是因为没有跟着架构没有跟着跑,你说我现在好不容易虚拟机,几秒钟就好。但是我装成一个防病毒,反而安全把我拖累了。
你的虚拟机要扩展,防病毒,有时候变得很慢。有时候你可以扩充很大,我们用虚拟机一个很大的原因,就是有一天你说我用公有云,因为你不想买那么多机器。这个过程中你必须考虑各个环境,所以这里面有些时候,你的防护你要注意它,我们自己认为,当然我们一般看业界。我们认为我们今天讲整个数据中心,我们认为这几年的整个变化,当然最后一步大概还没有出现,我觉得现在有些人应该已经慢慢做到第一步。第一步就是虚拟化,我们只要有一台机器,所有的服务器上面只用15%,85%在那边没有用,为了节能减排我们用到90%,一般大家不可能用90%,但是80%是有可能。所以一开始的时候我们发现物理服务器就在那边,当然这时候有人也做虚拟桌面,但是我觉得虚拟桌面跟数据桌面没有那么直接的联系。我这个人事部和研发部,我混在一起用。因为现在网络情况有变化,我在每个地方都建一个数据中心,我可不可以集中一下,让它可以分享。这个分享过程中开始出现所谓的多租户,这个人是不是我认识的?研发部的说你把我的资料跟行政的放在一起,这不对,我的代码很重要。这个时候就会出现所谓的多租户,最后用软件的方法解决。
这个时候发现虚拟网路、虚拟存储出来了,这条路看起来阻挡不了,最后变成软件定义的数据中心。所有的硬件都是用最标准的硬盘来做,比如X86,所以成本是一个很大的考虑。从趋势来说,你所谓的研发中的数据中心,你要考虑在这个时代的变化过程中,你可不可以看到安全的技术,核心技术要改变。当然第二个要匹配,因为从安全,做安全里面其实客户里面一般都会讲到你的成本,我被攻击的时候我要付出的代价是什么?第二个代价,我管理的成本,以前早期防病毒,这个软件部署的时候,我让客户一台一台装,有时候客户没有更新,后来管理成本变得很多。我们现在如果说从数据中心有这三样的变化,安全产品在管理上如何跟它配合?这时候趋势提出四个概念,我们叫四化。
第一个是效率化,传统安全产品包括我们自己的产品。其实新的概念就是这样,我们那时候碰到一个很简单的概念,我想说好,我们把机器虚拟化。你可以有十台服务器,现在只用一台把十台操作,你就不用十台。这时候有人问,我既然有十台了,有没有只装一套防病毒软件,因为传统的方法装十套。防火墙是不是只需要装一套,或者要不要做路径检测?这个概念没有什么。但是一开始大家就问,有没有一个方法?那时候趋势第一个提出这个问题,我们那时候碰到一个愿意跟我们合作的虚拟化厂商。我们那时候变成说,有没有办法?这个后来业界有一个名字叫无代理安全。我现在十台物理机,我只要装一台就好了。它最大的好处,它本身对于内存对于硬盘,你就想想要装20套防病毒,20套的病毒库,现在只要一套,从虚拟机的密度方面,你的扫描也会增快,速度也会变快。最重要的网路更新,你可能20套要更新20套,现在变成你只要更新一套就可以解决,这是无代理的观念。
其实这个观念现在目前,你做虚拟化安全,这是唯一的标准,这个概念真的很好。第二个你本身要感知,因为我们以前做防病毒,常常碰到一个问题,早期没有无代理的概念。经常碰到一个问题,我们客户用虚拟化,客户中毒我们帮他查查。突然找到了,那个机器突然不见了。其实有一个很大的问题,你说不见了,那时候可能是机器已经关掉了。因为虚拟机也可以关,那时候是一个外包人员。你本身做一个好的数据中心安全,本身跟你的系统要配合,基本上如果说,你的机器,比如说机器走的时候,安全要跟着走。这个是自动跟着的,你本身做安全的解决方案的时候,它本身跟系统要连接,最主要你不需要花太多时间部署。
下面一个就是软件化,虚拟机在这个过程中硬件基本上,因为虚拟里面有新的安全。基本网路之间,你考虑虚拟之间的互相攻击,硬件本身维护成本不会很高,我觉得它的弹性会比较弱。比较重要一点是说,要把自己安全的解决方案要考虑,它是一个软件。因为它比较好,第一个现在一般的软件化,相当于他用X86就可以,基本相对维护成本比较低。讲到SDN这块,软件化在SDN里面他会自动帮助你配置。数据中心管理成本是一个很高的,现在是客户最讨厌的东西。里面传统上面,我跟你讲安全是很宽的,安全本身是一个很宽的,可是安全里面很多问题需要各个厂商去协调,但是又很难。很多人在讲,因为我们业界有一个产品叫SIEM,我们公司搞那么久,防病毒才搞懂一点。很多人说你们讲路径,我说路径完全不懂。你要每个东西都懂,不是很容易。如果说有一个好的平台,至少让这些安全产品在上面可以做一些互相交互。
这是VMware的SDN的平台,叫做NSX,是一个管理平台,可以让安全的产品简化。但是更重要一点,可以让安全产品在里面,大家互相协作。我觉得协作是一个比较重要的概念,如果每个产品可以协作,还是有它的价值。效率化、感知化、软件化和最后一个平台,趋势科技我们就是一个产品,当初设计这个产品的时候,我们从物理机一直做,以后公有云私有云可以用同一个产品使用。我们做防火墙不一样,我们防火墙是主机系统的防火墙,所以基本比较简单。我们那时候跟VMware一直合作,VMware平台是全世界第一个做出来的。除了做VMware还做什么?我们华为也做,我们大概是全世界所有公司都有的。华为是绝对百分百的代理,我们也跟一些公有云,我刚才讲那个产品直接买的,你一直用到公有云没有问题。我们跟阿里、腾讯都有合作。这是一个市场定位,我们在国内现在有很多客户。因为买这个东西,我很多客户买的,在不同的阶段就买,我有一个客户是运营商,他一开始是为了物理机而买,但是大概90%多的客户,大部分因为用我们虚拟化以后才开始慢慢用这个产品。我今天就讲到这里,谢谢各位。