云數(shù)據(jù)中心越來越多,問題在于,很多傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)方式對(duì)云數(shù)據(jù)中心并不適用。我們應(yīng)該怎么辦?
毫無疑問,云數(shù)據(jù)中心具有前景廣闊的市場(chǎng)。
于是,很多廠商投身其中,希望能夠搭上云數(shù)據(jù)中心發(fā)展的快車,并發(fā)力行業(yè)云等領(lǐng)域。近日,漢柏科技云運(yùn)營(yíng)事業(yè)部總經(jīng)理邱召?gòu)?qiáng)和漢柏科技云安全事業(yè)部總經(jīng)理王智民接受了記者專訪,他們向記者指出,云數(shù)據(jù)中心作為行業(yè)專屬云的基礎(chǔ)平臺(tái),其重要性對(duì)于企業(yè)來說不言而喻,但是不管是自建云數(shù)據(jù)中心還是其他方式,都有兩個(gè)重要問題無法繞過,一個(gè)是能耗,一個(gè)是安全。
兩大難題
“數(shù)據(jù)中心運(yùn)營(yíng)產(chǎn)生的能耗投入在企業(yè)運(yùn)營(yíng)過程中所占比例最大。以電力費(fèi)用投入為例,通常它們?cè)谶\(yùn)營(yíng)成本中占比40%,在大型或超大型數(shù)據(jù)中心中則可以達(dá)60%。”邱召?gòu)?qiáng)表示,在新數(shù)據(jù)中心方面,漢柏推出的云計(jì)算融合系統(tǒng)——云立方,它融合計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、云軟件于一身,具有可統(tǒng)一管理、快速部署和橫向擴(kuò)展等特性,可以為新建的數(shù)據(jù)中心降低能耗。在原有數(shù)據(jù)中心改造方面,則可以利用漢柏推出的UMS整體機(jī)房管理方案,通過包括的虛擬化軟件、云平臺(tái)和應(yīng)用超市,將硬件軟件全部整合進(jìn)行統(tǒng)一管理,讓不運(yùn)行的服務(wù)器自動(dòng)休眠來降低能耗。
能耗問題是數(shù)據(jù)中心領(lǐng)域顯而易見、始終關(guān)注的,而安全問題則隱蔽得多,特別是在云數(shù)據(jù)中心中,解決安全問題顯得更加重要。
“云數(shù)據(jù)中心意味著數(shù)據(jù)更加集中,如果這些數(shù)據(jù)出現(xiàn)問題,無論是丟失還是被篡改甚至被竊,對(duì)任何企業(yè)都是一場(chǎng)毀滅性的災(zāi)難。”王智民認(rèn)為,目前為數(shù)不少的傳統(tǒng)行業(yè)企業(yè)對(duì)云數(shù)據(jù)中心安全防護(hù)的認(rèn)知還有較大偏差,他們通常認(rèn)為只要采用知名的虛擬化軟件將數(shù)據(jù)中心虛擬化,再部署防火墻、IPS(入侵防御系統(tǒng))等就能做好云數(shù)據(jù)中心的安全防護(hù)工作了。
“云數(shù)據(jù)中心的安全防護(hù)方式與傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)方式并不相同。如果用傳統(tǒng)數(shù)據(jù)中心的防護(hù)方式去防護(hù)云數(shù)據(jù)中心,其實(shí)相對(duì)于讓云數(shù)據(jù)中心裸奔。”王智民說。
王智民解釋說,這是因?yàn)樵茢?shù)據(jù)中心和傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)區(qū)別很大,常規(guī)的虛擬化軟件中并不包含有效的安全防護(hù)組件,而使用傳統(tǒng)的防火墻、IPS等安全產(chǎn)品來防護(hù)云數(shù)據(jù)中心,并不具備針對(duì)性。此外,在云數(shù)據(jù)中心架構(gòu)下,多租戶的計(jì)算環(huán)境、網(wǎng)絡(luò)環(huán)境和存儲(chǔ)環(huán)境均存在著安全隱患。王智民以云數(shù)據(jù)中心的存儲(chǔ)為例解釋說,租戶的存儲(chǔ)空間既需要隔離,不能讓別人訪問自己存儲(chǔ)的數(shù)據(jù),又需要在它們需要互相訪問和數(shù)據(jù)共享時(shí)提供安全控制功能等。
三個(gè)維度
王智民告訴記者,面對(duì)云數(shù)據(jù)中心帶來的安全挑戰(zhàn),需要從三個(gè)維度來考慮云數(shù)據(jù)中心的安全問題。
首先是可信。作為云服務(wù)商,可信顯得非常重要,如果沒有用戶、企業(yè)與云服務(wù)商之間的信任機(jī)制,云服務(wù)的推行將寸步難行。“業(yè)界現(xiàn)在很多人都在講可信,就漢柏科技而言,在這方面也做了很多工作。比如我們要防范超級(jí)管理員的風(fēng)險(xiǎn),云數(shù)據(jù)中心的核心就是數(shù)據(jù),數(shù)據(jù)就是企業(yè)的核心資產(chǎn)。而超級(jí)管理員對(duì)數(shù)據(jù)擁有相當(dāng)程度的管控權(quán),如果不能防范超級(jí)管理的風(fēng)險(xiǎn),就沒法實(shí)現(xiàn)云環(huán)境的可信。此外,要讓云數(shù)據(jù)中心可信,應(yīng)該對(duì)用戶更加開放和透明。比如用戶的數(shù)據(jù)存放在什么位置,在哪個(gè)地方的數(shù)據(jù)中心中,哪個(gè)機(jī)柜甚至哪個(gè)盤位等,從而讓用戶放心,讓用戶產(chǎn)生信任感。
其次是可靠。對(duì)于云數(shù)據(jù)中心而言,可靠性是必須保證的,當(dāng)然它和傳統(tǒng)數(shù)據(jù)中心的可靠性保證相一致,而且云數(shù)據(jù)中心的用戶可能會(huì)對(duì)可靠性的要求更高。
再次是安全。王智民認(rèn)為,要確保云數(shù)據(jù)中心的安全,就要確保基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、應(yīng)用、內(nèi)容等方方面面的安全。其中需要進(jìn)行大量的工作,甚至包括往來郵件的內(nèi)容、QQ號(hào)等應(yīng)用的檢查和內(nèi)容控制,才能確保整個(gè)云數(shù)據(jù)中心的安全。此外,王智民還認(rèn)為,從國(guó)家安全的層面上看,安全一定需要系統(tǒng)和軟硬件的國(guó)產(chǎn)化,而漢柏科技的行業(yè)專屬云也在打造一個(gè)全國(guó)產(chǎn)化的生態(tài)體系。
全方位防護(hù)
王智民介紹,漢柏科技為了消除云環(huán)境下的紛繁復(fù)雜的安全隱患,整合了多種安全產(chǎn)品,并借鑒SDN的理念推出了漢柏云安全產(chǎn)品OPC-Sec,以提供全面的云安全防護(hù)解決方案。
據(jù)介紹,漢柏科技OPC-Sec以網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)邊界與網(wǎng)絡(luò)節(jié)點(diǎn)聯(lián)動(dòng)三個(gè)方面為出發(fā)點(diǎn),在云的基礎(chǔ)設(shè)施、虛擬化、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、內(nèi)容、移動(dòng)及管理等多個(gè)方面提供全面的防護(hù)解決方案。
“云安全問題涵蓋了物理安全、基礎(chǔ)設(shè)施安全、虛擬化安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、內(nèi)容安全、移動(dòng)安全、運(yùn)維管理安全等各個(gè)方面,相應(yīng)地,漢柏科技OPC-Sec在各個(gè)方面都有專門的解決方案。”王智民說。
據(jù)介紹,在云主機(jī)病毒方面,漢柏科技OPC-Sec使用的是無代理病毒防護(hù)解決方案。它可以提升物理服務(wù)器的效率,相同硬件配置提高搭載虛機(jī)數(shù)量和提升虛機(jī)性能?;谖锢砉?jié)點(diǎn),簡(jiǎn)化管理,基于主機(jī)安裝,一次安裝。虛機(jī)無需安裝代理。自動(dòng)繼承的防護(hù),虛機(jī)鏡像即裝即防。
在網(wǎng)絡(luò)安全防護(hù)方面,漢柏科技OPC-Sec可以針對(duì)云數(shù)據(jù)中心運(yùn)維提供安全防護(hù),比如云平臺(tái)管理中心、應(yīng)用集群管理中心、安全防護(hù)控制中心等,可以針對(duì)云內(nèi)租戶網(wǎng)絡(luò)提供安全防護(hù)和安全服務(wù),比如針對(duì)租戶提供VPN,從而使得租戶方便構(gòu)建混合云,針對(duì)租戶提供虛擬防火墻,針對(duì)租戶提供IPS、抗DDoS、WAF等安全防護(hù)服務(wù)。
在云環(huán)境下應(yīng)用安全防護(hù)方面,漢柏科技OPC-Sec可以在數(shù)據(jù)中心的網(wǎng)關(guān)處部署“流量型”、“應(yīng)用型”、“資源耗盡型”的抗DDoS攻擊系統(tǒng),在數(shù)據(jù)中心的網(wǎng)關(guān)處部署針對(duì)Web服務(wù)系統(tǒng)的防護(hù)系統(tǒng)(WAF),在數(shù)據(jù)中心的網(wǎng)關(guān)處部署針對(duì)VDI server的安全防護(hù)系統(tǒng)比如防火墻,在數(shù)據(jù)中心網(wǎng)關(guān)處部署針對(duì)虛擬化系統(tǒng)的管理節(jié)點(diǎn)比如vCenter、OpenStack的安全防護(hù)系統(tǒng),同時(shí)定期、自動(dòng)對(duì)數(shù)據(jù)中心的應(yīng)用進(jìn)行滲透測(cè)試,發(fā)現(xiàn)漏洞和威脅,綜合分析并及時(shí)糾正。
除了產(chǎn)品,漢柏科技也可以通過服務(wù)的方式交付安全能力,讓企業(yè)不必購(gòu)買設(shè)備、不需配備專業(yè)人員,就可以完成安全防護(hù)工作。據(jù)介紹,漢柏安全云服務(wù)通過虛擬化技術(shù)實(shí)現(xiàn),可以幫助用戶搭建提供各種安全云服務(wù)的環(huán)境,比如內(nèi)網(wǎng)隱藏、帶寬保障、入侵防護(hù)、病毒檢測(cè)、流量清洗、Web防護(hù)等服務(wù)。
漢柏云安全系統(tǒng)作為安全云服務(wù)平臺(tái),可以支持多種租戶識(shí)別與隔離機(jī)制,支持虛機(jī)形態(tài)的獨(dú)立安全系統(tǒng)服務(wù)和邏輯隔離的安全特性服務(wù)。王智民告訴記者,漢柏安全云服務(wù)既為云提供安全防護(hù),又可以作為安全服務(wù)提供的云平臺(tái)。它以網(wǎng)絡(luò)安全資源的集群和池化為基礎(chǔ),將安全資源集中起來為多個(gè)用戶共享服務(wù),并根據(jù)客戶的需求動(dòng)態(tài)分配或再分配不同的物理或虛擬的資源;以互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的業(yè)務(wù)提供途徑,用戶可以隨時(shí)隨地通過網(wǎng)絡(luò)使用安全云服務(wù)提供的各種安全能力;系統(tǒng)具備為用戶提供靈活的功能模塊選擇的能力,而且安全云服務(wù)提供容量上的可伸縮的業(yè)務(wù)提供能力,用戶可以按需自助服務(wù)。