與人們的生產(chǎn)生活息息柜關(guān)的互聯(lián)網(wǎng)，并非一個(gè)完美計(jì)劃的結(jié)果。安全隱患于互聯(lián)網(wǎng)，是與生俱來的。在互聯(lián)網(wǎng)飛速發(fā)展的30年間，被動(dòng)挨打之后再彌補(bǔ)安全漏洞，已經(jīng)成為解決互聯(lián)網(wǎng)安全問題的慣性思維。但是，在互聯(lián)網(wǎng)進(jìn)入云時(shí)代后，這樣的安全理念還能保障云的安全嗎?我們還有機(jī)會(huì)改變這種局面嗎?

從網(wǎng)絡(luò)開始

      云安全這個(gè)概念曾經(jīng)被眾多廠商所用，也出現(xiàn)了五花八門的定義。但在H3C安全產(chǎn)品部總工李彥賓看來，保障云計(jì)算基礎(chǔ)架構(gòu)安全的技術(shù)，才能被真正納入云安全的范疇。而且，實(shí)現(xiàn)云安全僅靠信息安全技術(shù)還遠(yuǎn)遠(yuǎn)不夠，構(gòu)建一個(gè)可以全面支撐安全體系的云網(wǎng)絡(luò)將是解決云安全問題的第一步。

      在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)與安全雖然表面上密不可分，但其體系架構(gòu)卻往往是“兩張圖”。對(duì)于下一代互聯(lián)網(wǎng)的安全，我們到底應(yīng)該從安全的角度審視網(wǎng)絡(luò)，還是應(yīng)該從網(wǎng)絡(luò)的角度審視安全，這個(gè)話題似乎永遠(yuǎn)爭(zhēng)論不休。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)在設(shè)計(jì)之初并沒有真正考慮到安全的需求，導(dǎo)致長(zhǎng)久以來信息安全領(lǐng)域一直在為網(wǎng)絡(luò)基礎(chǔ)架構(gòu)打補(bǔ)丁。所以，在現(xiàn)有的大多網(wǎng)絡(luò)架構(gòu)中，幾乎昕有的安全著力點(diǎn)都是在問題爆發(fā)后才能被發(fā)現(xiàn)。

      今年6月，H3C曾推出了新一代互聯(lián)網(wǎng)(NGIP)解決方案。NGIP被分為三大部分：云聯(lián)、基礎(chǔ)承載網(wǎng)絡(luò)以及物聯(lián)。而H3C昕提出的安全智能滲透網(wǎng)絡(luò)的概念正是基于NGIP的。在NGIP架構(gòu)中，記者卻發(fā)現(xiàn)安全的著力點(diǎn)清晰可見。以云聯(lián)為例，李彥賓告訴記者，云聯(lián)指的是應(yīng)用虛擬化技術(shù)的數(shù)據(jù)中心。虛擬化技術(shù)帶來的安全威脅主要體現(xiàn)在三個(gè)方面：首先，虛擬化平臺(tái)同樣會(huì)像Windows和Linux一樣存在漏洞，所以針對(duì)虛擬系統(tǒng)的攻擊就是下一代數(shù)據(jù)中心所面臨的核心安全問題。其次是虛擬機(jī)之間的安全訪問隔離，以及真實(shí)主機(jī)之間的安全訪問隔離問題。再次是基礎(chǔ)設(shè)備的虛擬化，因?yàn)樵朴?jì)算中心服務(wù)器的虛擬化，要求基礎(chǔ)承載網(wǎng)絡(luò)設(shè)備也要虛擬化，作為一個(gè)能融合到云計(jì)算基礎(chǔ)架構(gòu)中的安全設(shè)備就必須能夠適應(yīng)虛擬化的要求。透視H3C的安全理念，我們不難發(fā)現(xiàn)，人們對(duì)于互聯(lián)網(wǎng)安全防御體系的設(shè)計(jì)首次變主動(dòng)了。

      曾經(jīng)有專家指出，安全要從地基開始做起。如今，人們對(duì)信息安全問題的認(rèn)識(shí)和理解越來越深刻，也積累了很多構(gòu)建安全防御體系的經(jīng)驗(yàn)，如果能以搭建健康安全的網(wǎng)絡(luò)環(huán)境為著眼點(diǎn)為云安全打好基礎(chǔ)，下一代互聯(lián)網(wǎng)的安全防御體系才能有機(jī)會(huì)改變以往的被動(dòng)局面。

全還遠(yuǎn)遠(yuǎn)不夠

      向云過渡的過程中，為何網(wǎng)絡(luò)中聽部署的安全防御體系變得無處施力?安全防御產(chǎn)品的性能、功能總在不斷提升，但為何部署在云網(wǎng)絡(luò)中反而成為瓶頸?在一個(gè)關(guān)于云計(jì)算安全痛點(diǎn)的CIO調(diào)查中，一些初涉云計(jì)算的企業(yè)提出了這樣的問題。

      李彥賓直言，在云端實(shí)現(xiàn)云安全，做到安全防護(hù)的全面性還遠(yuǎn)遠(yuǎn)不夠。比如，人們對(duì)基礎(chǔ)承載網(wǎng)絡(luò)的要求是實(shí)現(xiàn)傳輸?shù)耐该餍?，延遲會(huì)導(dǎo)致網(wǎng)絡(luò)的效率下降。所以在基礎(chǔ)承載網(wǎng)絡(luò)中的安全產(chǎn)品的目標(biāo)就是實(shí)現(xiàn)高性能。而當(dāng)前，由安全產(chǎn)品造成的網(wǎng)絡(luò)傳輸瓶頸很多，這個(gè)問題必然會(huì)被業(yè)界所重視。在提升吞吐量之后，安全產(chǎn)品的硬件可按需擴(kuò)展，功能可按需擴(kuò)充也很重要。安全之優(yōu)做到可平滑升級(jí)，才能適應(yīng)云環(huán)境的變化。

      當(dāng)所有的數(shù)據(jù)包括應(yīng)用都放在數(shù)據(jù)中心或者云端時(shí)，最讓用戶擔(dān)憂的問題自然是客戶端連接到云的通信環(huán)境是否安全?？梢哉f，這個(gè)安全問題，是所有云服務(wù)商都必須要邁過的門檻。李彥賓認(rèn)為，目前在用戶端接入云的路徑上部署$SL安全認(rèn)證網(wǎng)關(guān)，構(gòu)建起一個(gè)安全訪問隧道，是解決這一問題比較有效的方法。

      李彥賓同時(shí)強(qiáng)調(diào)，無論是公有云、私有云還是混合云，云網(wǎng)絡(luò)中所涉及的安全設(shè)備的數(shù)量和種類都會(huì)成級(jí)數(shù)增長(zhǎng)。如何讓這些安全設(shè)備緊密協(xié)作，并實(shí)現(xiàn)統(tǒng)一的管理和調(diào)度是一個(gè)必須要考慮的問題。H3C的安全產(chǎn)品體系一直以解決這樣的問題為發(fā)展主線?！耙粋€(gè)租戶發(fā)生遷移，他的策略也可能發(fā)生變化。通過管理平臺(tái)，這樣的動(dòng)態(tài)遷移很容易實(shí)現(xiàn)，還能做到事后的報(bào)表分析和安全管控?！?/p>

      融合，云時(shí)代的老調(diào)新談

      下一代互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)將變成一個(gè)龐大而復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，一個(gè)真正有效的安全體系到底需要具備哪些特質(zhì)呢?

      “常規(guī)的安全能否實(shí)現(xiàn)防護(hù)，云帶來的變化(如虛擬化)是否能高效地適應(yīng)，是否能更方口精確地實(shí)現(xiàn)用戶端的訪問控制和認(rèn)證?我們認(rèn)為，這就是云安全要解決的核心問題?！盚3C安全產(chǎn)品部部長(zhǎng)馬前祖如是總結(jié)了H3C對(duì)下一代互聯(lián)網(wǎng)安全的理解。

      或許我們還無法想象，云會(huì)以何種模式走進(jìn)我們的生活，但是人們對(duì)云服務(wù)的期待和要求已經(jīng)指明了云安全的方向。當(dāng)人們順暢地像享受自己的專有系統(tǒng)一樣去使用云的同時(shí)，也意味著將有數(shù)以億計(jì)不帶任何操作系統(tǒng)和業(yè)務(wù)系統(tǒng)的虛擬終端會(huì)接入網(wǎng)絡(luò)，匯聚入云。云環(huán)境對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的高性能要求顯然是苛刻的，就像馬前祖所指出的那樣，如果缺乏百G以上的硬件核心技術(shù)，想擠進(jìn)云的市場(chǎng)是很準(zhǔn)的。

      H3C的虛擬化技術(shù)一直堅(jiān)持自主研發(fā)。馬前祖認(rèn)為，對(duì)實(shí)現(xiàn)設(shè)備虛擬化的技術(shù)的掌控程度很可能將成為決定云市場(chǎng)份額的一個(gè)新標(biāo)尺。從實(shí)踐來看，基于H3C自身開發(fā)的操作系統(tǒng)而實(shí)現(xiàn)的虛擬防火墻，目前最多可虛擬出256個(gè)虛擬設(shè)備，而借助和虛擬化技術(shù)主導(dǎo)廠商的合作而實(shí)現(xiàn)設(shè)備級(jí)虛擬化的產(chǎn)品，大多只能虛擬出4—8個(gè)虛擬設(shè)備。在進(jìn)入云應(yīng)用環(huán)境后，這種差距造成的巨大的成本差距就會(huì)顯現(xiàn)出來。

      云安全正在讓網(wǎng)絡(luò)與安全之間的傳統(tǒng)界限變得模糊。融合的趨勢(shì)顯然不可逆轉(zhuǎn)，但安全似乎也不會(huì)完全消融在網(wǎng)絡(luò)產(chǎn)品中。在二者相互融合的過程中，雖然很多專業(yè)的安全技術(shù)領(lǐng)域依舊是目前大多網(wǎng)絡(luò)廠商無法企及的，但安全產(chǎn)品的硬件架構(gòu)設(shè)計(jì)與網(wǎng)絡(luò)設(shè)備的結(jié)合點(diǎn)卻越來越多。更重要的是，在云環(huán)境中，安全產(chǎn)品更不能成為網(wǎng)絡(luò)的瓶頸和負(fù)擔(dān)。而很多成熟的安全功能，也會(huì)在這一過程出現(xiàn)模塊化的發(fā)展趨勢(shì)，最終又融入網(wǎng)絡(luò)產(chǎn)品中。正如馬前祖聽說：“網(wǎng)絡(luò)與安全的融合區(qū)將會(huì)越來越廣泛。”