隨著云計(jì)算時(shí)代的到來(lái)，更多企業(yè)會(huì)選擇將自己的業(yè)務(wù)和基礎(chǔ)IT設(shè)施向云平臺(tái)遷移。雖然云計(jì)算在IT界炙手可熱，但在云計(jì)算推廣或部署過(guò)程中，無(wú)論是對(duì)使用云服務(wù)的用戶，還是對(duì)云服務(wù)提供者，安全威脅卻一直存在。素有云計(jì)算鼻祖之稱的亞馬遜(Amazon)云計(jì)算業(yè)務(wù)自開(kāi)通以來(lái)，已發(fā)生兩次嚴(yán)重事故，最近2011年8月份的一次癱瘓，影響的業(yè)務(wù)涉及社交網(wǎng)站、在線視頻網(wǎng)站、圖片共享網(wǎng)站以及數(shù)百萬(wàn)用戶。雖然云計(jì)算服務(wù)很快恢復(fù)正常運(yùn)營(yíng)，但還是令人對(duì)云計(jì)算產(chǎn)生了諸多疑慮，業(yè)內(nèi)很多人戲稱云計(jì)算看上去很美，安全威脅變成了云計(jì)算的“夢(mèng)魘”。

　　由此看來(lái)，要讓云計(jì)算帶來(lái)的IT美好愿景落地，必須要解決安全這一弱點(diǎn)。對(duì)用戶來(lái)說(shuō)，他們擔(dān)心云服務(wù)提供者云中的數(shù)據(jù)是否安全；對(duì)于云服務(wù)提供者來(lái)說(shuō)，則是如何保證云中的數(shù)據(jù)不受威脅。不過(guò)，在云計(jì)算時(shí)代，用戶面臨的安全威脅與傳統(tǒng)的網(wǎng)絡(luò)有著不同的重點(diǎn)。對(duì)無(wú)論是對(duì)云計(jì)算方案提供商，還是傳統(tǒng)安全廠商，都必將進(jìn)入新一輪的安全技術(shù)革新中。

　　作為IP領(lǐng)域的領(lǐng)導(dǎo)者，H3C公司敏銳地注意到了云計(jì)算對(duì)網(wǎng)絡(luò)安全應(yīng)用需求帶來(lái)的新變化。在其尤其推出的NGIP新一代互聯(lián)網(wǎng)（Next Generation Internet Protocol，NGIP)解決方案中，H3C圍繞著如何保證NGIP安全問(wèn)題進(jìn)行了重點(diǎn)規(guī)劃與深度思考。

　　H3C新一代互聯(lián)網(wǎng)解決方案主要包含了云聯(lián)網(wǎng)、基礎(chǔ)承載網(wǎng)絡(luò)以及物聯(lián)網(wǎng)三個(gè)部分。在這三個(gè)層面，其安全的“軟肋”也各有不同。圍繞這三大不同安全焦點(diǎn)，H3C“修煉”了“全面、高效、智能”的“心法”，有針對(duì)性地設(shè)定了相應(yīng)的“絕招”。

　　彌補(bǔ)虛擬化“破綻”，防護(hù)云聯(lián)安全

　　云聯(lián)，顧名思義指的是云計(jì)算的網(wǎng)絡(luò)連接，其中最有代表性、應(yīng)用得最多的技術(shù)就是虛擬化技術(shù)。而虛擬化應(yīng)用帶來(lái)的安全新問(wèn)題也成為了云聯(lián)網(wǎng)面臨的最大挑戰(zhàn)。

　　虛擬化的安全“破綻”主要體現(xiàn)在三個(gè)方面。首先是針對(duì)虛擬化軟件的漏洞攻擊威脅，嚴(yán)重時(shí)將導(dǎo)致服務(wù)器無(wú)法使用，CVE組織也在陸續(xù)公布一些虛擬化軟件的漏洞，這一類的漏洞未來(lái)會(huì)成為黑客主攻的方向；其次是物理服務(wù)器虛擬化以后，虛擬機(jī)之間如何做訪問(wèn)控制的問(wèn)題；第三則是多租戶情況下，數(shù)據(jù)中心中安全設(shè)備虛擬化要求，由于不同租戶的安全策略不一定一致，在共用安全設(shè)備時(shí)，就必須能夠進(jìn)行分割，將一臺(tái)設(shè)備虛擬成多臺(tái)設(shè)備，從而滿足不同用戶的需求。

　　那么如何全面地解決這些“破綻”呢？H3C認(rèn)為，針對(duì)虛擬化軟件的漏洞，通過(guò)網(wǎng)絡(luò)設(shè)備+防火墻+入侵防御系統(tǒng)建立起L2-7層立體防御，增加針對(duì)虛擬化漏洞的特征庫(kù)研究，來(lái)滿足在云計(jì)算環(huán)境下服務(wù)器自身的威脅防范，來(lái)有效抵御安全風(fēng)險(xiǎn)。

　　

　　對(duì)于虛擬機(jī)訪問(wèn)控制的問(wèn)題，HP提出的VEPA協(xié)議則派上了用場(chǎng)。通過(guò)VEPA協(xié)議，可以將虛擬機(jī)內(nèi)部的數(shù)據(jù)流量通過(guò)安全設(shè)備進(jìn)行各種安全防護(hù)，從而實(shí)現(xiàn)解決服務(wù)器內(nèi)部VM之間的二層交換流量的安全訪問(wèn)和攻擊檢測(cè)問(wèn)題。

　　

　　而在安全設(shè)備虛擬化方面，H3C已經(jīng)實(shí)現(xiàn)了全方位的端到端的產(chǎn)品虛擬化，包括一臺(tái)設(shè)備虛擬成N多臺(tái)，或者根據(jù)虛擬需求實(shí)現(xiàn)N：1的收斂要求，從而在云中與網(wǎng)絡(luò)一起，形成端到端的虛擬通道。從而實(shí)現(xiàn)關(guān)鍵特性的多實(shí)例配置，比如防火墻的NAT多實(shí)例、支持獨(dú)立的安全域劃分和策略配置；實(shí)現(xiàn)基于虛擬設(shè)備資源劃分，比如負(fù)載均衡設(shè)備的最大虛服務(wù)（實(shí)服務(wù)）個(gè)數(shù)等；實(shí)現(xiàn)每個(gè)虛擬設(shè)備具備獨(dú)立的管理員權(quán)限，可以隨時(shí)監(jiān)控、調(diào)整策略的配置實(shí)現(xiàn)情況；且多個(gè)虛擬設(shè)備的管理員同時(shí)操作。