与人们的生产生活息息相关的互联网,并非一个完美计划的结果。安全隐患于互联网,是与生俱来的。在互联网飞速发展的30年间,被动挨打之后再弥补安全漏洞,已经成为解决互联网安全问题的惯性思维。但是,在互联网进入云时代后,这样的安全理念还能保障云的安全吗?我们还有机会改变这种局面吗?
从网络开始
云安全这个概念曾经被众多厂商所用,也出现了五花八门的定义。但在H3C安全产品部总工李彦宾看来,保障云计算基础架构安全的技术,才能被真正纳入云安全的范畴。而且,实现云安全仅靠信息安全技术还远远不够,构建一个可以全面支撑安全体系的云网络将是解决云安全问题的第一步。
在传统的网络架构中,网络与安全虽然表面上密不可分,但其体系架构却往往是“两张图”。对于下一代互联网的安全,我们到底应该从安全的角度审视网络,还是应该从网络的角度审视安全,这个话题似乎永远争论不休。传统的网络架构在设计之初并没有真正考虑到安全的需求,导致长久以来信息安全领域一直在为网络基础架构打补丁。所以,在现有的大多网络架构中,几乎所有的安全着力点都是在问题爆发后才能被发现。
今年6月,H3C曾推出了新一代互联网(NGIP)解决方案。NGIP被分为三大部分:云联、基础承载网络以及物联。而H3C所提出的安全智能渗透网络的概念正是基于NGIP的。在NGIP架构中,记者却发现安全的着力点清晰可见。以云联为例,李彦宾告诉记者,云联指的是应用虚拟化技术的数据中心。虚拟化技术带来的安全威胁主要体现在三个方面:首先,虚拟化平台同样会像Windows和Linux一样存在漏洞,所以针对虚拟系统的攻击就是下一代数据中心所面临的核心安全问题。其次是虚拟机之间的安全访问隔离,以及真实主机之间的安全访问隔离问题。再次是基础设备的虚拟化,因为云计算中心服务器的虚拟化,要求基础承载网络设备也要虚拟化,作为一个能融合到云计算基础架构中的安全设备就必须能够适应虚拟化的要求。****H3C的安全理念,我们不难发现,人们对于互联网安全防御体系的设计首次变主动了。
曾经有专家指出,安全要从地基开始做起。如今,人们对信息安全问题的认识和理解越来越深刻,也积累了很多构建安全防御体系的经验,如果能以搭建健康安全的网络环境为着眼点为云安全打好基础,下一代互联网的安全防御体系才能有机会改变以往的被动局面。
全还远远不够
向云过渡的过程中,为何网络中所部署的安全防御体系变得无处施力?安全防御产品的性能、功能总在不断提升,但为何部署在云网络中反而成为瓶颈?在一个关于云计算安全痛点的CIO调查中,一些初涉云计算的企业提出了这样的问题。
李彦宾直言,在云端实现云安全,做到安全防护的全面性还远远不够。比如,人们对基础承载网络的要求是实现传输的透明性,延迟会导致网络的效率下降。所以在基础承载网络中的安全产品的目标就是实现高性能。而当前,由安全产品造成的网络传输瓶颈很多,这个问题必然会被业界所重视。在提升吞吐量之后,安全产品的硬件可按需扩展,功能可按需扩充也很重要。安全之优做到可平滑升级,才能适应云环境的变化。
当所有的数据包括应用都放在数据中心或者云端时,最让用户担忧的问题自然是客户端连接到云的通信环境是否安全。可以说,这个安全问题,是所有云服务商都必须要迈过的门槛。李彦宾认为,目前在用户端接入云的路径上部署SSL安全认证网关,构建起一个安全访问隧道,是解决这一问题比较有效的方法。
李彦宾同时强调,无论是公有云、私有云还是混合云,云网络中所涉及的安全设备的数量和种类都会成级数增长。如何让这些安全设备紧密协作,并实现统一的管理和调度是一个必须要考虑的问题。H3C的安全产品体系一直以解决这样的问题为发展主线。“一个租户发生迁移,他的策略也可能发生变化。通过管理平台,这样的动态迁移很容易实现,还能做到事后的报表分析和安全管控。”
融合,云时代的老调新谈
下一代互联网的基础架构将变成一个庞大而复杂的网络系统,一个真正有效的安全体系到底需要具备哪些特质呢?
“常规的安全能否实现防护,云带来的变化(如虚拟化)是否能高效地适应,是否能更方口精确地实现用户端的访问控制和认证?我们认为,这就是云安全要解决的核心问题。”H3C安全产品部部长马前祖如是总结了H3C对下一代互联网安全的理解。
或许我们还无法想象,云会以何种模式走进我们的生活,但是人们对云服务的期待和要求已经指明了云安全的方向。当人们顺畅地像享受自己的专有系统一样去使用云的同时,也意味着将有数以亿计不带任何操作系统和业务系统的虚拟终端会接入网络,汇聚入云。云环境对网络设备和安全设备的高性能要求显然是苛刻的,就像马前祖所指出的那样,如果缺乏百G以上的硬件核心技术,想挤进云的市场是很难的。
H3C的虚拟化技术一直坚持自主研发。马前祖认为,对实现设备虚拟化的技术的掌控程度很可能将成为决定云市场份额的一个新标尺。从实践来看,基于H3C自身开发的操作系统而实现的虚拟防火墙,目前最多可虚拟出256个虚拟设备,而借助和虚拟化技术主导厂商的合作而实现设备级虚拟化的产品,大多只能虚拟出4—8个虚拟设备。在进入云应用环境后,这种差距造成的巨大的成本差距就会显现出来。
云安全正在让网络与安全之间的传统界限变得模糊。融合的趋势显然不可逆转,但安全似乎也不会完全消融在网络产品中。在二者相互融合的过程中,虽然很多专业的安全技术领域依旧是目前大多网络厂商无法企及的,但安全产品的硬件架构设计与网络设备的结合点却越来越多。更重要的是,在云环境中,安全产品更不能成为网络的瓶颈和负担。而很多成熟的安全功能,也会在这一过程出现模块化的发展趋势,最终又融入网络产品中。正如马前祖所说:“网络与安全的融合区将会越来越广泛。”