在建设云数据中心前,多个用户单位的数据中心独立建设,分别拥有独立的网络设备、安全设备和服务器,此时部署的是传统的网络安全产品。
图1 传统数据中心集中化
在云计算时代背景下,数据中心需要向集中大规模共享平台推进,通过引入服务器虚拟化技术,提供弹性、按需、自助的部署。数据中心的云化,对传统的安全防护方案和安全产品也提出了新的要求。
笔者将云时代数据中心的安全建设划分成三个阶段。
1、 传统安全产品的虚拟化
2、 融合到云计算平台的虚拟机安全设备
3、 自主安全可控的云计算平台
传统安全产品的虚拟化
在云数据中心建设的第一个阶段,需要把各种物理硬件建设成资源池,以虚拟化的方式对多个用户单位提供服务,从而实现云计算数据中心的性价比优势。用户单位使用云数据中心提供的虚拟网络、虚拟安全设备和虚拟服务器。
在此阶段,使用的仍然是传统的安全产品,部署在服务器资源池的外围,为不同的用户单位,创建逻辑上独立的虚拟设备。因此,传统安全产品需要实现虚拟化,支持虚拟设备功能(包括引擎和管理界面)。如图2所示。
图2 传统安全产品的虚拟化
融合到云计算平台的虚拟机安全设备
在云数据中心建设的第二阶段,网络设备、安全设备和服务器等硬件资源需要进一步整合。在同一台物理服务器内部的多个虚拟机之间的访问控制,不能通过在服务器资源池外围的硬件安全设备来实现。
在此阶段,安全设备需要软件化,作为一个安全应用融合在虚拟化平台上(见图3)。
图3 虚拟化平台上的虚拟机安全设备
虚拟机安全设备可以通过两种方式融合到虚拟化平台,第一种方式是通过虚拟网络路由的方式部署(见图4);第二种方式是通过调用Hypervisor层的API,将安全控制功能嵌入到虚拟化平台(见图5)。
图4 虚拟网络路由部署方式
图5 Hypervisor API调用部署方式
自主安全可控的云计算平台
在云计算数据中心建设的第三阶段,我们需要考虑云计算平台自身的安全性。
首先,云计算平台本身也存在各种安全漏洞,例如利用典型的虚拟机逃逸漏洞——蓝色药丸,攻击者可以在控制客户机VM的情况下,攻击Hypervisor,安装后门,控制其他VM。由于云计算平台往往十分重要,这些安全漏洞需要比传统的主机安全漏洞更被重视。
其次,Hypervisor层的API调用,本身需要受虚拟化平台厂商的控制。以VMware为例,VMware曾经向其TAP(技术联盟伙伴)开放过VM-SAFE API,用于开发安全应用,但在最近,VMware关闭了VM-SAFE API。
最后,站在国家信息安全的战略角度,我们在建设云计算数据中心时,不能不考虑供应链的安全。只有实现完全自主安全可控的云计算平台,云计算数据中心的安全性才能得到彻底的保障。如图6所示。
图6 自主安全可控的云计算平台
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
看希思罗机场如何运用分析技术提高乘客体验
希思罗机场于两年前开始实施数字化项目,他们运用Microsoft Azure云计算和Microsoft Pow […]
-
洲际酒店集团与阿里云助推酒店业数字化转型
近日,国际酒店管理公司洲际酒店集团与阿里云在2018杭州云栖大会召开期间签署深化合作谅解备忘录。双方将强强联手 […]
-
数据和云计算对CIO工作的影响
近日笔者在报道云计算对首席信息官(CIO)的影响时,总是会得出相同的观点:CIO的工作已经不再是曾经的技术工作 […]
-
区块链和云计算联合推动企业部署
目前区块链在金融服务等行业受到越来越多的关注,而在推动这项技术在企业的部署方面,云服务提供商和IT团队将发挥关 […]