虛擬化是現(xiàn)階段云計算數(shù)據(jù)中心實施最為廣泛的技術(shù)，它可以極大程度提高資源利用率，降低運營成本。目前服務(wù)器、存儲器的虛擬資源池化技術(shù)已經(jīng)日趨成熟，網(wǎng)絡(luò)設(shè)備的虛擬資源池化也已經(jīng)成為趨勢。對應(yīng)的云計算數(shù)據(jù)中心的防火墻等安全控制設(shè)備，也必須支持虛擬化能力，像計算和存儲、網(wǎng)絡(luò)一樣能按需提供服務(wù)。

動態(tài)變化的數(shù)據(jù)中心面臨的安全新挑戰(zhàn)

Hillstone新技術(shù)副總裁王鐘認(rèn)為，虛擬化帶來的新挑戰(zhàn)是模糊了網(wǎng)絡(luò)的邊界以及如何找準(zhǔn)被保護(hù)的對象

基于服務(wù)器的虛擬化技術(shù)，可以將單臺物理服務(wù)器虛擬出多臺虛擬機并獨立安裝各自的操作系統(tǒng)和應(yīng)用程序，從而有效提升服務(wù)器本身的利用效率。在這種模型下該虛擬化技術(shù)將可能導(dǎo)致新的安全風(fēng)險，比如以VMware、Citrix和微軟的虛擬化應(yīng)用程序ESX/XEN/Hyper-V為代表的虛擬化應(yīng)用程序本身可能存在的安全漏洞將影響到整個物理主機的安全。虛擬機應(yīng)用程序包括Web前端的應(yīng)用程序、各種中間件應(yīng)用程序及數(shù)據(jù)庫程序等，在云計算環(huán)境下，這些安全漏洞會繼續(xù)存在。

服務(wù)器虛擬化在數(shù)據(jù)中心的廣泛采用所帶來的安全問題亟待解決，多數(shù)的識別和安全控制措施基于固定位置、靜態(tài)網(wǎng)絡(luò)或固定IP，難以應(yīng)付虛擬機帶來的安全問題，虛擬化環(huán)境的動態(tài)特性也意味著新的安全威脅和漏洞。

數(shù)據(jù)中心安全不只面臨著服務(wù)器虛擬化帶來的挑戰(zhàn)，王鐘進(jìn)一步說到，網(wǎng)絡(luò)虛擬化、軟件定義網(wǎng)絡(luò)(SDN)、BYOD這些都讓數(shù)據(jù)中心處在動態(tài)變化中。

網(wǎng)絡(luò)虛擬化將網(wǎng)絡(luò)服務(wù)和物理網(wǎng)絡(luò)設(shè)備分離，也帶來網(wǎng)絡(luò)部署方式的改變，即：從設(shè)備的手工單獨配置方式變?yōu)榭删幊痰淖詣硬渴穑瑫r，網(wǎng)絡(luò)也可以按需而動?；诠潭ㄎ锢砭W(wǎng)絡(luò)設(shè)備環(huán)境的安全技術(shù)面臨著動態(tài)變化的網(wǎng)絡(luò)虛擬化的挑戰(zhàn)。

軟件定義網(wǎng)絡(luò)(SDN)將網(wǎng)絡(luò)控制平面和網(wǎng)絡(luò)的物理拓?fù)浞珠_，由此帶來一些新的問題，如當(dāng)網(wǎng)絡(luò)變?yōu)榭删幊虒崿F(xiàn)的時候，網(wǎng)絡(luò)安全應(yīng)該怎么做?當(dāng)網(wǎng)絡(luò)的控制和管理被虛擬化、集中化后，安全的管理應(yīng)該在哪里?

BYOD讓IP和位置處在動態(tài)和變化中。

數(shù)據(jù)中心防火墻新要求

王鐘告訴記者，Hillstone對數(shù)據(jù)中心防火墻的關(guān)鍵特性的定義是：安全即服務(wù)(Security as a Service)、安全即資源(Security as a Resource)、開放可定義(Open and Definable)、冗余高可靠(Redundant)、分布可擴(kuò)展(Distributed scalable)、綠色節(jié)能(Green)。Hillstone倡導(dǎo)數(shù)據(jù)中心安全防護(hù)不僅是一個設(shè)備，而是“數(shù)據(jù)中心防火墻+ 彈性安全架構(gòu)+ 安全監(jiān)控和管理”的解決方案。

王鐘指出，針對數(shù)據(jù)中心虛擬化的特點，數(shù)據(jù)中心防火墻一方面需要提供大規(guī)格的虛擬防火墻，滿足不用應(yīng)用/租戶對獨立安全業(yè)務(wù)平面的需求。同時設(shè)備還可根據(jù)業(yè)務(wù)實際負(fù)載，動態(tài)調(diào)整每個虛擬防火墻的資源配給，更好的適應(yīng)業(yè)務(wù)流量彈性變化的特點。

Hillstone數(shù)據(jù)中心防火墻可彈性適應(yīng)云計算數(shù)據(jù)中心安全業(yè)務(wù)增長需求。通過增加安全服務(wù)模塊(SSM)即可提高防火墻的處理能力。同時板卡支持即插即用，擴(kuò)展過程中不會間斷業(yè)務(wù)訪問。

王鐘強調(diào)，在分布式環(huán)境中，集中管理是安全的關(guān)鍵。系統(tǒng)管理員需要對全網(wǎng)部署的防火墻實施有效的監(jiān)控和配置，幫助系統(tǒng)管理人員從全局性視角掌握信息系統(tǒng)的運行狀態(tài)和安全態(tài)勢，并降低運維難度，提高對安全事件的分析和響應(yīng)效率。

（圖）虛擬化數(shù)據(jù)中心內(nèi)部的安全資源池部署