與人們的生產(chǎn)生活息息柜關(guān)的互聯(lián)網(wǎng),并非一個完美計劃的結(jié)果。安全隱患于互聯(lián)網(wǎng),是與生俱來的。在互聯(lián)網(wǎng)飛速發(fā)展的30年間,被動挨打之后再彌補安全漏洞,已經(jīng)成為解決互聯(lián)網(wǎng)安全問題的慣性思維。但是,在互聯(lián)網(wǎng)進入云時代后,這樣的安全理念還能保障云的安全嗎?我們還有機會改變這種局面嗎?
從網(wǎng)絡(luò)開始
云安全這個概念曾經(jīng)被眾多廠商所用,也出現(xiàn)了五花八門的定義。但在H3C安全產(chǎn)品部總工李彥賓看來,保障云計算基礎(chǔ)架構(gòu)安全的技術(shù),才能被真正納入云安全的范疇。而且,實現(xiàn)云安全僅靠信息安全技術(shù)還遠遠不夠,構(gòu)建一個可以全面支撐安全體系的云網(wǎng)絡(luò)將是解決云安全問題的第一步。
在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中,網(wǎng)絡(luò)與安全雖然表面上密不可分,但其體系架構(gòu)卻往往是“兩張圖”。對于下一代互聯(lián)網(wǎng)的安全,我們到底應(yīng)該從安全的角度審視網(wǎng)絡(luò),還是應(yīng)該從網(wǎng)絡(luò)的角度審視安全,這個話題似乎永遠爭論不休。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)在設(shè)計之初并沒有真正考慮到安全的需求,導(dǎo)致長久以來信息安全領(lǐng)域一直在為網(wǎng)絡(luò)基礎(chǔ)架構(gòu)打補丁。所以,在現(xiàn)有的大多網(wǎng)絡(luò)架構(gòu)中,幾乎昕有的安全著力點都是在問題爆發(fā)后才能被發(fā)現(xiàn)。
今年6月,H3C曾推出了新一代互聯(lián)網(wǎng)(NGIP)解決方案。NGIP被分為三大部分:云聯(lián)、基礎(chǔ)承載網(wǎng)絡(luò)以及物聯(lián)。而H3C昕提出的安全智能滲透網(wǎng)絡(luò)的概念正是基于NGIP的。在NGIP架構(gòu)中,記者卻發(fā)現(xiàn)安全的著力點清晰可見。以云聯(lián)為例,李彥賓告訴記者,云聯(lián)指的是應(yīng)用虛擬化技術(shù)的數(shù)據(jù)中心。虛擬化技術(shù)帶來的安全威脅主要體現(xiàn)在三個方面:首先,虛擬化平臺同樣會像Windows和Linux一樣存在漏洞,所以針對虛擬系統(tǒng)的攻擊就是下一代數(shù)據(jù)中心所面臨的核心安全問題。其次是虛擬機之間的安全訪問隔離,以及真實主機之間的安全訪問隔離問題。再次是基礎(chǔ)設(shè)備的虛擬化,因為云計算中心服務(wù)器的虛擬化,要求基礎(chǔ)承載網(wǎng)絡(luò)設(shè)備也要虛擬化,作為一個能融合到云計算基礎(chǔ)架構(gòu)中的安全設(shè)備就必須能夠適應(yīng)虛擬化的要求。透視H3C的安全理念,我們不難發(fā)現(xiàn),人們對于互聯(lián)網(wǎng)安全防御體系的設(shè)計首次變主動了。
曾經(jīng)有專家指出,安全要從地基開始做起。如今,人們對信息安全問題的認(rèn)識和理解越來越深刻,也積累了很多構(gòu)建安全防御體系的經(jīng)驗,如果能以搭建健康安全的網(wǎng)絡(luò)環(huán)境為著眼點為云安全打好基礎(chǔ),下一代互聯(lián)網(wǎng)的安全防御體系才能有機會改變以往的被動局面。
全還遠遠不夠
向云過渡的過程中,為何網(wǎng)絡(luò)中聽部署的安全防御體系變得無處施力?安全防御產(chǎn)品的性能、功能總在不斷提升,但為何部署在云網(wǎng)絡(luò)中反而成為瓶頸?在一個關(guān)于云計算安全痛點的CIO調(diào)查中,一些初涉云計算的企業(yè)提出了這樣的問題。
李彥賓直言,在云端實現(xiàn)云安全,做到安全防護的全面性還遠遠不夠。比如,人們對基礎(chǔ)承載網(wǎng)絡(luò)的要求是實現(xiàn)傳輸?shù)耐该餍裕舆t會導(dǎo)致網(wǎng)絡(luò)的效率下降。所以在基礎(chǔ)承載網(wǎng)絡(luò)中的安全產(chǎn)品的目標(biāo)就是實現(xiàn)高性能。而當(dāng)前,由安全產(chǎn)品造成的網(wǎng)絡(luò)傳輸瓶頸很多,這個問題必然會被業(yè)界所重視。在提升吞吐量之后,安全產(chǎn)品的硬件可按需擴展,功能可按需擴充也很重要。安全之優(yōu)做到可平滑升級,才能適應(yīng)云環(huán)境的變化。
當(dāng)所有的數(shù)據(jù)包括應(yīng)用都放在數(shù)據(jù)中心或者云端時,最讓用戶擔(dān)憂的問題自然是客戶端連接到云的通信環(huán)境是否安全??梢哉f,這個安全問題,是所有云服務(wù)商都必須要邁過的門檻。李彥賓認(rèn)為,目前在用戶端接入云的路徑上部署$SL安全認(rèn)證網(wǎng)關(guān),構(gòu)建起一個安全訪問隧道,是解決這一問題比較有效的方法。
李彥賓同時強調(diào),無論是公有云、私有云還是混合云,云網(wǎng)絡(luò)中所涉及的安全設(shè)備的數(shù)量和種類都會成級數(shù)增長。如何讓這些安全設(shè)備緊密協(xié)作,并實現(xiàn)統(tǒng)一的管理和調(diào)度是一個必須要考慮的問題。H3C的安全產(chǎn)品體系一直以解決這樣的問題為發(fā)展主線?!耙粋€租戶發(fā)生遷移,他的策略也可能發(fā)生變化。通過管理平臺,這樣的動態(tài)遷移很容易實現(xiàn),還能做到事后的報表分析和安全管控?!?/p>
融合,云時代的老調(diào)新談
下一代互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)將變成一個龐大而復(fù)雜的網(wǎng)絡(luò)系統(tǒng),一個真正有效的安全體系到底需要具備哪些特質(zhì)呢?
“常規(guī)的安全能否實現(xiàn)防護,云帶來的變化(如虛擬化)是否能高效地適應(yīng),是否能更方口精確地實現(xiàn)用戶端的訪問控制和認(rèn)證?我們認(rèn)為,這就是云安全要解決的核心問題?!盚3C安全產(chǎn)品部部長馬前祖如是總結(jié)了H3C對下一代互聯(lián)網(wǎng)安全的理解。
或許我們還無法想象,云會以何種模式走進我們的生活,但是人們對云服務(wù)的期待和要求已經(jīng)指明了云安全的方向。當(dāng)人們順暢地像享受自己的專有系統(tǒng)一樣去使用云的同時,也意味著將有數(shù)以億計不帶任何操作系統(tǒng)和業(yè)務(wù)系統(tǒng)的虛擬終端會接入網(wǎng)絡(luò),匯聚入云。云環(huán)境對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的高性能要求顯然是苛刻的,就像馬前祖所指出的那樣,如果缺乏百G以上的硬件核心技術(shù),想擠進云的市場是很準(zhǔn)的。
H3C的虛擬化技術(shù)一直堅持自主研發(fā)。馬前祖認(rèn)為,對實現(xiàn)設(shè)備虛擬化的技術(shù)的掌控程度很可能將成為決定云市場份額的一個新標(biāo)尺。從實踐來看,基于H3C自身開發(fā)的操作系統(tǒng)而實現(xiàn)的虛擬防火墻,目前最多可虛擬出256個虛擬設(shè)備,而借助和虛擬化技術(shù)主導(dǎo)廠商的合作而實現(xiàn)設(shè)備級虛擬化的產(chǎn)品,大多只能虛擬出4—8個虛擬設(shè)備。在進入云應(yīng)用環(huán)境后,這種差距造成的巨大的成本差距就會顯現(xiàn)出來。
云安全正在讓網(wǎng)絡(luò)與安全之間的傳統(tǒng)界限變得模糊。融合的趨勢顯然不可逆轉(zhuǎn),但安全似乎也不會完全消融在網(wǎng)絡(luò)產(chǎn)品中。在二者相互融合的過程中,雖然很多專業(yè)的安全技術(shù)領(lǐng)域依舊是目前大多網(wǎng)絡(luò)廠商無法企及的,但安全產(chǎn)品的硬件架構(gòu)設(shè)計與網(wǎng)絡(luò)設(shè)備的結(jié)合點卻越來越多。更重要的是,在云環(huán)境中,安全產(chǎn)品更不能成為網(wǎng)絡(luò)的瓶頸和負擔(dān)。而很多成熟的安全功能,也會在這一過程出現(xiàn)模塊化的發(fā)展趨勢,最終又融入網(wǎng)絡(luò)產(chǎn)品中。正如馬前祖聽說:“網(wǎng)絡(luò)與安全的融合區(qū)將會越來越廣泛?!?/p>