圖1 傳統(tǒng)數(shù)據(jù)中心集中化
在云計(jì)算時(shí)代背景下�,數(shù)據(jù)中心需要向集中大規(guī)模共享平臺(tái)推進(jìn)�,通過引入服務(wù)器虛擬化技術(shù),提供彈性�、按需�����、自助的部署。數(shù)據(jù)中心的云化��,對傳統(tǒng)的安全防護(hù)方案和安全產(chǎn)品也提出了新的要求�����。
筆者將云時(shí)代數(shù)據(jù)中心的安全建設(shè)劃分成三個(gè)階段���。
1�����、 傳統(tǒng)安全產(chǎn)品的虛擬化
2����、 融合到云計(jì)算平臺(tái)的虛擬機(jī)安全設(shè)備
3�����、 自主安全可控的云計(jì)算平臺(tái)
傳統(tǒng)安全產(chǎn)品的虛擬化
在云數(shù)據(jù)中心建設(shè)的第一個(gè)階段���,需要把各種物理硬件建設(shè)成資源池�����,以虛擬化的方式對多個(gè)用戶單位提供服務(wù)��,從而實(shí)現(xiàn)云計(jì)算數(shù)據(jù)中心的性價(jià)比優(yōu)勢�����。用戶單位使用云數(shù)據(jù)中心提供的虛擬網(wǎng)絡(luò)���、虛擬安全設(shè)備和虛擬服務(wù)器��。
在此階段�����,使用的仍然是傳統(tǒng)的安全產(chǎn)品���,部署在服務(wù)器資源池的外圍,為不同的用戶單位���,創(chuàng)建邏輯上獨(dú)立的虛擬設(shè)備����。因此,傳統(tǒng)安全產(chǎn)品需要實(shí)現(xiàn)虛擬化�,支持虛擬設(shè)備功能(包括引擎和管理界面)���。如圖2所示���。
圖2 傳統(tǒng)安全產(chǎn)品的虛擬化
融合到云計(jì)算平臺(tái)的虛擬機(jī)安全設(shè)備
在云數(shù)據(jù)中心建設(shè)的第二階段,網(wǎng)絡(luò)設(shè)備��、安全設(shè)備和服務(wù)器等硬件資源需要進(jìn)一步整合����。在同一臺(tái)物理服務(wù)器內(nèi)部的多個(gè)虛擬機(jī)之間的訪問控制,不能通過在服務(wù)器資源池外圍的硬件安全設(shè)備來實(shí)現(xiàn)�。
在此階段,安全設(shè)備需要軟件化����,作為一個(gè)安全應(yīng)用融合在虛擬化平臺(tái)上(見圖3)。
圖3 虛擬化平臺(tái)上的虛擬機(jī)安全設(shè)備
虛擬機(jī)安全設(shè)備可以通過兩種方式融合到虛擬化平臺(tái)�,第一種方式是通過虛擬網(wǎng)絡(luò)路由的方式部署(見圖4);第二種方式是通過調(diào)用Hypervisor層的API,將安全控制功能嵌入到虛擬化平臺(tái)(見圖5)���。
圖4 虛擬網(wǎng)絡(luò)路由部署方式
圖5 Hypervisor API調(diào)用部署方式
自主安全可控的云計(jì)算平臺(tái)
在云計(jì)算數(shù)據(jù)中心建設(shè)的第三階段�,我們需要考慮云計(jì)算平臺(tái)自身的安全性。
首先����,云計(jì)算平臺(tái)本身也存在各種安全漏洞,例如利用典型的虛擬機(jī)逃逸漏洞——藍(lán)色藥丸�����,攻擊者可以在控制客戶機(jī)VM的情況下�����,攻擊Hypervisor����,安裝后門,控制其他VM���。由于云計(jì)算平臺(tái)往往十分重要��,這些安全漏洞需要比傳統(tǒng)的主機(jī)安全漏洞更被重視����。
其次��,Hypervisor層的API調(diào)用,本身需要受虛擬化平臺(tái)廠商的控制���。以VMware為例��,VMware曾經(jīng)向其TAP(技術(shù)聯(lián)盟伙伴)開放過VM-SAFE API,用于開發(fā)安全應(yīng)用����,但在最近,VMware關(guān)閉了VM-SAFE API�。
最后,站在國家信息安全的戰(zhàn)略角度�,我們在建設(shè)云計(jì)算數(shù)據(jù)中心時(shí),不能不考慮供應(yīng)鏈的安全�。只有實(shí)現(xiàn)完全自主安全可控的云計(jì)算平臺(tái),云計(jì)算數(shù)據(jù)中心的安全性才能得到徹底的保障�����。如圖6所示��。
圖6 自主安全可控的云計(jì)算平臺(tái)
