與人們的生產(chǎn)生活息息柜關(guān)的互聯(lián)網(wǎng)，并非一個(gè)完美計(jì)劃的結(jié)果。安全隱患于互聯(lián)網(wǎng)，是與生俱來(lái)的。在互聯(lián)網(wǎng)飛速發(fā)展的30年間，被動(dòng)挨打之后再?gòu)浹a(bǔ)安全漏洞，已經(jīng)成為解決互聯(lián)網(wǎng)安全問(wèn)題的慣性思維。但是，在互聯(lián)網(wǎng)進(jìn)入云時(shí)代后，這樣的安全理念還能保障云的安全嗎?我們還有機(jī)會(huì)改變這種局面嗎?

從網(wǎng)絡(luò)開(kāi)始

云安全這個(gè)概念曾經(jīng)被眾多廠商所用，也出現(xiàn)了五花八門(mén)的定義。但在H3C安全產(chǎn)品部總工李彥賓看來(lái)，保障云計(jì)算基礎(chǔ)架構(gòu)安全的技術(shù)，才能被真正納入云安全的范疇。而且，實(shí)現(xiàn)云安全僅靠信息安全技術(shù)還遠(yuǎn)遠(yuǎn)不夠，構(gòu)建一個(gè)可以全面支撐安全體系的云網(wǎng)絡(luò)將是解決云安全問(wèn)題的第一步。

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)與安全雖然表面上密不可分，但其體系架構(gòu)卻往往是“兩張圖”。對(duì)于下一代互聯(lián)網(wǎng)的安全，我們到底應(yīng)該從安全的角度審視網(wǎng)絡(luò)，還是應(yīng)該從網(wǎng)絡(luò)的角度審視安全，這個(gè)話題似乎永遠(yuǎn)爭(zhēng)論不休。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)在設(shè)計(jì)之初并沒(méi)有真正考慮到安全的需求，導(dǎo)致長(zhǎng)久以來(lái)信息安全領(lǐng)域一直在為網(wǎng)絡(luò)基礎(chǔ)架構(gòu)打補(bǔ)丁。所以，在現(xiàn)有的大多網(wǎng)絡(luò)架構(gòu)中，幾乎昕有的安全著力點(diǎn)都是在問(wèn)題爆發(fā)后才能被發(fā)現(xiàn)。

 今年6月，H3C曾推出了新一代互聯(lián)網(wǎng)(NGIP)解決方案。NGIP被分為三大部分：云聯(lián)、基礎(chǔ)承載網(wǎng)絡(luò)以及物聯(lián)。而H3C昕提出的安全智能滲透網(wǎng)絡(luò)的概念正是基于NGIP的。在NGIP架構(gòu)中，記者卻發(fā)現(xiàn)安全的著力點(diǎn)清晰可見(jiàn)。以云聯(lián)為例，李彥賓告訴記者，云聯(lián)指的是應(yīng)用虛擬化技術(shù)的數(shù)據(jù)中心。虛擬化技術(shù)帶來(lái)的安全威脅主要體現(xiàn)在三個(gè)方面：首先，虛擬化平臺(tái)同樣會(huì)像Windows和Linux一樣存在漏洞，所以針對(duì)虛擬系統(tǒng)的攻擊就是下一代數(shù)據(jù)中心所面臨的核心安全問(wèn)題。其次是虛擬機(jī)之間的安全訪問(wèn)隔離，以及真實(shí)主機(jī)之間的安全訪問(wèn)隔離問(wèn)題。再次是基礎(chǔ)設(shè)備的虛擬化，因?yàn)樵朴?jì)算中心服務(wù)器的虛擬化，要求基礎(chǔ)承載網(wǎng)絡(luò)設(shè)備也要虛擬化，作為一個(gè)能融合到云計(jì)算基礎(chǔ)架構(gòu)中的安全設(shè)備就必須能夠適應(yīng)虛擬化的要求。透視H3C的安全理念，我們不難發(fā)現(xiàn)，人們對(duì)于互聯(lián)網(wǎng)安全防御體系的設(shè)計(jì)首次變主動(dòng)了。

曾經(jīng)有專家指出，安全要從地基開(kāi)始做起。如今，人們對(duì)信息安全問(wèn)題的認(rèn)識(shí)和理解越來(lái)越深刻，也積累了很多構(gòu)建安全防御體系的經(jīng)驗(yàn)，如果能以搭建健康安全的網(wǎng)絡(luò)環(huán)境為著眼點(diǎn)為云安全打好基礎(chǔ)，下一代互聯(lián)網(wǎng)的安全防御體系才能有機(jī)會(huì)改變以往的被動(dòng)局面。

全還遠(yuǎn)遠(yuǎn)不夠

向云過(guò)渡的過(guò)程中，為何網(wǎng)絡(luò)中聽(tīng)部署的安全防御體系變得無(wú)處施力?安全防御產(chǎn)品的性能、功能總在不斷提升，但為何部署在云網(wǎng)絡(luò)中反而成為瓶頸?在一個(gè)關(guān)于云計(jì)算安全痛點(diǎn)的CIO調(diào)查中，一些初涉云計(jì)算的企業(yè)提出了這樣的問(wèn)題。

李彥賓直言，在云端實(shí)現(xiàn)云安全，做到安全防護(hù)的全面性還遠(yuǎn)遠(yuǎn)不夠。比如，人們對(duì)基礎(chǔ)承載網(wǎng)絡(luò)的要求是實(shí)現(xiàn)傳輸?shù)耐该餍?，延遲會(huì)導(dǎo)致網(wǎng)絡(luò)的效率下降。所以在基礎(chǔ)承載網(wǎng)絡(luò)中的安全產(chǎn)品的目標(biāo)就是實(shí)現(xiàn)高性能。而當(dāng)前，由安全產(chǎn)品造成的網(wǎng)絡(luò)傳輸瓶頸很多，這個(gè)問(wèn)題必然會(huì)被業(yè)界所重視。在提升吞吐量之后，安全產(chǎn)品的硬件可按需擴(kuò)展，功能可按需擴(kuò)充也很重要。安全之優(yōu)做到可平滑升級(jí)，才能適應(yīng)云環(huán)境的變化。

當(dāng)所有的數(shù)據(jù)包括應(yīng)用都放在數(shù)據(jù)中心或者云端時(shí)，最讓用戶擔(dān)憂的問(wèn)題自然是客戶端連接到云的通信環(huán)境是否安全。可以說(shuō)，這個(gè)安全問(wèn)題，是所有云服務(wù)商都必須要邁過(guò)的門(mén)檻。李彥賓認(rèn)為，目前在用戶端接入云的路徑上部署$SL安全認(rèn)證網(wǎng)關(guān)，構(gòu)建起一個(gè)安全訪問(wèn)隧道，是解決這一問(wèn)題比較有效的方法。

李彥賓同時(shí)強(qiáng)調(diào)，無(wú)論是公有云、私有云還是混合云，云網(wǎng)絡(luò)中所涉及的安全設(shè)備的數(shù)量和種類都會(huì)成級(jí)數(shù)增長(zhǎng)。如何讓這些安全設(shè)備緊密協(xié)作，并實(shí)現(xiàn)統(tǒng)一的管理和調(diào)度是一個(gè)必須要考慮的問(wèn)題。H3C的安全產(chǎn)品體系一直以解決這樣的問(wèn)題為發(fā)展主線。“一個(gè)租戶發(fā)生遷移，他的策略也可能發(fā)生變化。通過(guò)管理平臺(tái)，這樣的動(dòng)態(tài)遷移很容易實(shí)現(xiàn)，還能做到事后的報(bào)表分析和安全管控。”