由于能夠跨越硬件平臺(tái)的動(dòng)態(tài)性����、分布性����、差異性構(gòu)建可共享和復(fù)用的資源池獨(dú)立分配給不同的應(yīng)用以靈活高效地利用資源并簡(jiǎn)化管理,虛擬化技術(shù)已經(jīng)成為建設(shè)云數(shù)據(jù)中心的一項(xiàng)重要技術(shù)���,VMware正受益于此��。
然而���,虛擬化的運(yùn)用同時(shí)也對(duì)云計(jì)算環(huán)境的安全提出了新的挑戰(zhàn),例如��,虛擬化層的數(shù)據(jù)泄漏可以導(dǎo)致所有托管應(yīng)用的數(shù)據(jù)泄漏����,對(duì)管理程序/VMM以及管理工具的管理性訪問缺乏充分的控制,等等����,這阻礙了云計(jì)算的應(yīng)用�����。事實(shí)上���,很多企業(yè)已經(jīng)逐步將非核心業(yè)務(wù)遷移到云平臺(tái)上,但因擔(dān)心數(shù)據(jù)中心和云平臺(tái)的安全問題����,對(duì)將核心業(yè)務(wù)放在云環(huán)境中心存疑慮。
虛擬化對(duì)云安全的影響�,首先在于這項(xiàng)技術(shù)的引入,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式����,使得傳統(tǒng)的安全技術(shù)手段無法做到有效的安全防護(hù)。再之��,如若虛擬機(jī)管理程序被劫持���,安全漏洞會(huì)導(dǎo)致平臺(tái)受到威脅�����,更嚴(yán)重的是�,安裝在基于主機(jī)操作系統(tǒng)分區(qū)上或者虛擬機(jī)管理程序上的傳統(tǒng)安全工具未能及時(shí)識(shí)別威脅,如果威脅發(fā)生在那些大規(guī)模的虛擬化平臺(tái)上�,危險(xiǎn)所產(chǎn)生的后果是可想而知的��。
因此����,對(duì)于采用基于虛擬化的云平臺(tái)架構(gòu)搭建IT環(huán)境的政府及企業(yè)用戶來說,考慮企業(yè)信息安全就必須考慮虛擬化技術(shù)帶來的變化�����。獨(dú)立安全廠商Fortinet(飛塔)公司中國(guó)區(qū)總裁李宏凱指出��,在云計(jì)算環(huán)境下�,網(wǎng)絡(luò)和安全之間的結(jié)合更加緊密,所以安全設(shè)備首先是一個(gè)網(wǎng)絡(luò)設(shè)備��。
藍(lán)盾信息安全技術(shù)股份有限公司認(rèn)為�,將虛擬化技術(shù)運(yùn)用到云安全之中,這種方法在一定程度上降低了“云安全”企業(yè)的硬件成本和管理成本����,從某種程度上提高了“云安全”技術(shù)的安全性。
藍(lán)盾的BDCSS(CloudSec-Station)云計(jì)算安全平臺(tái)的網(wǎng)絡(luò)連接建立在分布式虛擬交換機(jī)技術(shù)上,支持開源技術(shù)Openvswitch����。藍(lán)盾通過BDCSS為基于虛擬化的云數(shù)據(jù)中心提供系統(tǒng)性的安全解決方案,包括防火墻����、入侵檢測(cè)、審計(jì)�����,以及漏洞掃描�����、安管平臺(tái)等����,以確保物理、虛擬和云環(huán)境中服務(wù)器的應(yīng)用程序和數(shù)據(jù)的安全��。
Fortinet則認(rèn)為����,當(dāng)數(shù)據(jù)中心在全面轉(zhuǎn)向虛擬化時(shí)�,安全產(chǎn)品并不一定需要完全虛擬化��。“虛擬化會(huì)讓安全產(chǎn)品喪失原有的硬件加速能力�����,這與虛擬環(huán)境下的高性能需求相矛盾;另一方面��,在虛擬化環(huán)境下如何調(diào)用各個(gè)廠家的專有安全服務(wù)��,也將是很大的問題�����。”李宏凱說���,“因此,從效率上看���,安全平臺(tái)的虛擬化并不一定是云數(shù)據(jù)中心中的主流方向�,但至少會(huì)成為各類配套方案中的一種����。在后臺(tái)主機(jī)層面你需要虛擬化的安全���,但在數(shù)據(jù)中心層面,前端在還是需要在不同的安全域進(jìn)行獨(dú)立的控制���。”
李宏凱強(qiáng)調(diào)��,安全產(chǎn)品要進(jìn)行調(diào)整���,將策略管理、云資源調(diào)度進(jìn)行集成����,加快在云環(huán)境上的安全資源遷移或者說是安全服務(wù)的配套功能,最重要的是要能迅速恢復(fù)到安全問題發(fā)生之前的狀態(tài)���,因?yàn)樵朴?jì)算環(huán)境下不可能實(shí)現(xiàn)萬無一失的部署��。
作為獨(dú)立的安全廠家�����,F(xiàn)ortinet有計(jì)劃跟相應(yīng)的虛擬化廠商在接口方面、在引擎流上進(jìn)行合作���。李宏凱表示�,數(shù)據(jù)中心當(dāng)中管理、虛擬機(jī)之間的互動(dòng)�����、云數(shù)據(jù)出現(xiàn)之后產(chǎn)生的鏈?zhǔn)絾栴}都是由虛擬化廠家主導(dǎo)。獨(dú)立性安全廠家很難有機(jī)會(huì)干涉網(wǎng)絡(luò)結(jié)構(gòu)���,但他同時(shí)認(rèn)為�,術(shù)業(yè)有專攻��,架構(gòu)的決定者也不能決定安全的服務(wù)。
