虚拟化是现阶段云计算数据中心实施最为广泛的技术,它可以极大程度提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势。对应的云计算数据中心的防火墙等安全控制设备,也必须支持虚拟化能力,像计算和存储、网络一样能按需提供服务。
动态变化的数据中心面临的安全新挑战
Hillstone新技术副总裁王钟认为,虚拟化带来的新挑战是模糊了网络的边界以及如何找准被保护的对象
基于服务器的虚拟化技术,可以将单台物理服务器虚拟出多台虚拟机并独立安装各自的操作系统和应用程序,从而有效提升服务器本身的利用效率。在这种模型下该虚拟化技术将可能导致新的安全风险,比如以VMware、Citrix和微软的虚拟化应用程序ESX/XEN/Hyper-V为代表的虚拟化应用程序本身可能存在的安全漏洞将影响到整个物理主机的安全。虚拟机应用程序包括Web前端的应用程序、各种中间件应用程序及数据库程序等,在云计算环境下,这些安全漏洞会继续存在。
服务器虚拟化在数据中心的广泛采用所带来的安全问题亟待解决,多数的识别和安全控制措施基于固定位置、静态网络或固定IP,难以应付虚拟机带来的安全问题,虚拟化环境的动态特性也意味着新的安全威胁和漏洞。
数据中心安全不只面临着服务器虚拟化带来的挑战,王钟进一步说到,网络虚拟化、软件定义网络(SDN)、BYOD这些都让数据中心处在动态变化中。
网络虚拟化将网络服务和物理网络设备分离,也带来网络部署方式的改变,即:从设备的手工单独配置方式变为可编程的自动部署,同时,网络也可以按需而动。基于固定物理网络设备环境的安全技术面临着动态变化的网络虚拟化的挑战。
软件定义网络(SDN)将网络控制平面和网络的物理拓扑分开,由此带来一些新的问题,如当网络变为可编程实现的时候,网络安全应该怎么做?当网络的控制和管理被虚拟化、集中化后,安全的管理应该在哪里?
BYOD让IP和位置处在动态和变化中。
数据中心防火墙新要求
王钟告诉记者,Hillstone对数据中心防火墙的关键特性的定义是:安全即服务(Security as a Service)、安全即资源(Security as a Resource)、开放可定义(Open and Definable)、冗余高可靠(Redundant)、分布可扩展(Distributed scalable)、绿色节能(Green)。Hillstone倡导数据中心安全防护不仅是一个设备,而是“数据中心防火墙+ 弹性安全架构+ 安全监控和管理”的解决方案。
王钟指出,针对数据中心虚拟化的特点,数据中心防火墙一方面需要提供大规格的虚拟防火墙,满足不用应用/租户对独立安全业务平面的需求。同时设备还可根据业务实际负载,动态调整每个虚拟防火墙的资源配给,更好的适应业务流量弹性变化的特点。
Hillstone数据中心防火墙可弹性适应云计算数据中心安全业务增长需求。通过增加安全服务模块(SSM)即可提高防火墙的处理能力。同时板卡支持即插即用,扩展过程中不会间断业务访问。
王钟强调,在分布式环境中,集中管理是安全的关键。系统管理员需要对全网部署的防火墙实施有效的监控和配置,帮助系统管理人员从全局性视角掌握信息系统的运行状态和安全态势,并降低运维难度,提高对安全事件的分析和响应效率。
(图)数据中心边界的安全资源池部署
(图)虚拟化数据中心内部的安全资源池部署