下一代數(shù)據(jù)中心安全:智能聯(lián)防
作者:劉梅 / 日期:2014-10-09
數(shù)據(jù)中心是信息資源的集中地���、最頻繁的交換地���,也是安全事件的多發(fā)地�����,而威脅防護上的任何疏漏都可能導致無法彌補的損失。在數(shù)據(jù)中心從以物理服務器為核心�����,向虛擬化和云計算演進�����,并正在進入由軟件主宰的下一代數(shù)據(jù)中心��,圍繞其周邊與內(nèi)部變革后的安全管理也需隨之更新。
在趨勢科技以“萬物趨互聯(lián) 云啟下一代”為主題的2014年高端CIO峰會上,趨勢科技(中國區(qū))業(yè)務發(fā)展總監(jiān)童寧表示:采用物理服務器環(huán)境下的傳統(tǒng)安全產(chǎn)品來保護下一代數(shù)據(jù)中心�����,IT運維人員必然會陷入管理的“泥潭”���。由于傳統(tǒng)的硬件安全產(chǎn)品的功能���、擴展性不能符合x86環(huán)境下的軟件定義接口與編程要求�����,且未能考慮下一代數(shù)據(jù)中心解耦硬件后的現(xiàn)實條件�����,管理員在安全加固中付出的工時,要比部署一臺虛擬服務器的時間長出數(shù)十倍以上��。而軟件定義數(shù)據(jù)中心會因為安全防護未能隨之進化�����,彈性缺失��,而黯然失色。
在趨勢科技2014年高端CIO峰會上,趨勢科技(中國區(qū))業(yè)務發(fā)展總監(jiān)童寧,華為云計算架構(gòu)設(shè)計師葉思海,VMware云安全專家臧鐵軍就下一代數(shù)據(jù)中心的安全問題分享了各自見解��,以下是一些精彩的觀點:
1�����, 安全絕不是一家廠商就能解決的問題,尤其在云計算時代�����,平臺廠商和安全廠商必須要有一種開放的心態(tài)和配合的態(tài)度���,明確自己的定位���。比如�����,平臺廠商提供解決方案��,安全廠商進一步在業(yè)界架構(gòu)下,為客戶提供安全服務��。
2��, Vmware為用戶提供全面的安全服務必須依賴合作伙伴的幫助���。在這個過程中���,Vmware主要提供一個基礎(chǔ)架構(gòu)平臺和一個植入安全服務的接口��。安全層面上,這個平臺具備基本的訪問控制和租戶隔離功能��,通過安全服務的接口���,可以接入安全廠商的防病毒保護等��,比如趨勢科技的Deep security,以及更新的TDA技術(shù)。
3, 云的應用給安全帶來很多新挑戰(zhàn)��,如云化后邊界模糊,需要平臺廠家和安全廠家合作解決��。但是下一代數(shù)據(jù)中心���,后端要利用安全廠家的經(jīng)驗把異常的信息進行關(guān)聯(lián)分析���,前端是安全廠家要跟平臺之間配合���,把各個地方的信息集中采集到分析中心�����。
4���, 云最大的特征是提升靈活度���,導致在安全防護手段上也要做出適當?shù)恼{(diào)整�����。以前安全部門更多的是限制,現(xiàn)在這些限制跟發(fā)展存在矛盾�����,如何調(diào)和這個矛盾��,需要在安全防護手段上要做很多革新。
5, 以前的安全防護是一個系統(tǒng)工程�����,企業(yè)一般設(shè)有專門的安全人員去協(xié)調(diào)廠商和廠商之間各個解決方案�����。但是在云時代���,當負載不斷增加時���,人手肯定不足��,必須靠系統(tǒng)之間自動化的協(xié)調(diào)去完成協(xié)作。所以平臺廠商現(xiàn)在做的事情主要是給安全廠商提供很好的合作接口和平臺,大家一起來構(gòu)建整個安全可靠的平臺,靠一個好的生態(tài)系統(tǒng)���,來滿足用戶在云安全方面的需求。
6��, 網(wǎng)絡(luò)虛擬化和軟件定義網(wǎng)絡(luò)最大的好處是網(wǎng)絡(luò)實現(xiàn)了真正的邏輯控制���,在控制中心有一個邏輯層在控制整個網(wǎng)絡(luò)的走向���。過去安全最大的問題是隔離性——客戶買了好多種設(shè)備擺在網(wǎng)關(guān)上�����,如防垃圾郵件���、有安全網(wǎng)關(guān)等�����,不同廠商的產(chǎn)品很難實現(xiàn)互動�����。有了軟件定義網(wǎng)絡(luò)之后���,如果安全廠商專業(yè)技術(shù)判斷這出事了��,可以立刻告訴網(wǎng)絡(luò)控制器�����,它立刻可以做隔離;再比如十臺機器同時都是一個網(wǎng)站的服務器��,是做負載均衡的�����,突然有一臺機器被惡意攻擊了��,網(wǎng)絡(luò)控制器也很容易把那臺有問題的機器切出去,重新調(diào)一臺機器繼續(xù)維持業(yè)務進行,而且這些過程都是自動的���。
7, 云時代廠家之間不再是安全責任的劃分,而是安全能力的互補。安全責任的劃分通常是在公有云的場景下,如果用房地產(chǎn)的模型來比喻�����,平臺廠家類似于建筑商�����,保證這個大樓的基礎(chǔ)是安全的,建筑商要給客戶提供一個防盜門��。防盜門可能需要很多安全設(shè)備�����,這是平臺廠家與安全廠家一起來合作的��。至于防盜門里面的安全,其實是用戶虛擬機之間的安全�����,其責任用戶自己要去承擔���。所以界限劃分的很清楚��,防盜門外面的都是服務提供商或者廠家要配合提供的���,防盜門里面是客戶要解決的一個問題�����。
