幾年前,人們談到數(shù)據(jù)中心、談到IDC的時(shí)候,印象中往往是分散的服務(wù)器、分散的網(wǎng)絡(luò)、分散的存儲(chǔ),都是離散的資源,而一臺(tái)臺(tái)的服務(wù)器所對(duì)應(yīng)的都是不同的企業(yè)以及不同的應(yīng)用,它們相互之間是離散和割裂。隨著虛擬化技術(shù)的發(fā)展,目前這樣分割的數(shù)據(jù)中心運(yùn)用到虛擬化技術(shù)。由于傳統(tǒng)的離散的數(shù)據(jù)中心不靈活對(duì)數(shù)據(jù)中心進(jìn)行遷移、進(jìn)行升級(jí)和改造,它會(huì)牽扯到很多不同的領(lǐng)域、不同的系統(tǒng)的升級(jí),所以說(shuō)對(duì)于虛擬化技術(shù)的廣泛應(yīng)用,數(shù)據(jù)中心就會(huì)顯得非常靈活。
談到數(shù)據(jù)中心的演變,一共涉及到3個(gè)概念,概念,物理、虛擬以及云計(jì)算,簡(jiǎn)稱(chēng)PVC,所以現(xiàn)在數(shù)據(jù)中心的發(fā)展的方向和模式,與虛擬化和云計(jì)算息息相關(guān)。通過(guò)虛擬化和云計(jì)算技術(shù)的引用,使得數(shù)據(jù)中心能夠非常靈活地去應(yīng)對(duì)現(xiàn)在不同用戶(hù)他的需求,因?yàn)樵谖锢淼膶用嬉约霸趹?yīng)用的層面都實(shí)現(xiàn)了這樣一個(gè)虛擬化的概念。而隨之而來(lái)的是保護(hù)下一代數(shù)據(jù)中心上的用戶(hù)的需求的變化。經(jīng)過(guò)調(diào)查,有77%的用戶(hù)認(rèn)為,數(shù)據(jù)中心需要保護(hù)是源于網(wǎng)絡(luò)層的威脅,而入侵的防護(hù)是最基本的需要。
那么如何對(duì)數(shù)據(jù)中心進(jìn)行優(yōu)化并提升虛擬安全的性能呢?說(shuō)的優(yōu)化,很多廠(chǎng)商就會(huì)提到綠色高效的數(shù)據(jù)中心,通過(guò)一個(gè)物理主機(jī),可以虛擬出若干的虛擬設(shè)備出來(lái),如果每一個(gè)虛擬設(shè)備都需要提供一個(gè)細(xì)粒度的安全保護(hù),那么進(jìn)行安全保護(hù)必然會(huì)消耗資源。
在傳統(tǒng)環(huán)境下,每一個(gè)物理設(shè)備的保護(hù)只需要占用自己的所有的資源,它這個(gè)資源的占用會(huì)通過(guò)操作系統(tǒng)對(duì)他的資源進(jìn)行調(diào)配,防止由于資源消耗干凈而導(dǎo)致設(shè)備宕機(jī)或者說(shuō)導(dǎo)致設(shè)備的不穩(wěn)定,但是對(duì)于虛擬設(shè)備而言,它所占用的只是你的一個(gè)虛擬的環(huán)境的資源,這個(gè)資源的調(diào)度一般不會(huì)出現(xiàn)宕機(jī)的情況。
綜合說(shuō)來(lái),下一代數(shù)據(jù)中心的安全需求,就需要具備如下幾個(gè)特點(diǎn):第一是提供可擴(kuò)展的性能,因?yàn)樵谡劦剿械倪@種物理的資源進(jìn)行匯合,進(jìn)行虛擬化的時(shí)候必然要談到的就是單位面積的IDC規(guī)模,已經(jīng)單位面積里面所能夠提供的服務(wù)的資源,這對(duì)安全保護(hù)的性能的要求更高。第二個(gè)是適應(yīng)虛擬化的環(huán)境,無(wú)論是VMware虛擬環(huán)境,例如思杰或者微軟的虛擬環(huán)境,都需要進(jìn)行有效地保護(hù)。第三對(duì)用戶(hù)和應(yīng)用的識(shí)別能力,談到安全防護(hù)的時(shí)候不能只去面對(duì)IP地址,還有對(duì) VLAN進(jìn)行保護(hù),因?yàn)楝F(xiàn)在所需要保護(hù)的必然只是一個(gè)針對(duì)不同用戶(hù)的不同應(yīng)用級(jí)別的防護(hù),所以需要能夠?qū)τ脩?hù)以及特定的應(yīng)用進(jìn)行識(shí)別。最后是針對(duì)高級(jí)攻擊設(shè)計(jì)一個(gè)安全架構(gòu),談到攻擊的時(shí)候都會(huì)談到ATP,提供防護(hù)措施的這樣一個(gè)集成,因?yàn)镮DC或者說(shuō)數(shù)據(jù)中心,它是一個(gè)非常復(fù)雜、非常大型的系統(tǒng),安全保護(hù)的這個(gè)模塊不能夠去增加它的防護(hù)的負(fù)擔(dān),所以需要把它納入到整個(gè)IDC的數(shù)據(jù)中心去,這樣一個(gè)安全的管理的架構(gòu)可以做到非常好的保護(hù)集成。