對(duì)于虛擬機(jī)訪問(wèn)控制的問(wèn)題，HP提出的VEPA協(xié)議則派上了用場(chǎng)。通過(guò)VEPA協(xié)議，可以將虛擬機(jī)內(nèi)部的數(shù)據(jù)流量通過(guò)安全設(shè)備進(jìn)行各種安全防護(hù)，從而實(shí)現(xiàn)解決服務(wù)器內(nèi)部VM之間的二層交換流量的安全訪問(wèn)和攻擊檢測(cè)問(wèn)題。

而在安全設(shè)備虛擬化方面，H3C已經(jīng)實(shí)現(xiàn)了全方位的端到端的產(chǎn)品虛擬化，包括一臺(tái)設(shè)備虛擬成N多臺(tái)，或者根據(jù)虛擬需求實(shí)現(xiàn)N：1的收斂要求，從而在 云中與網(wǎng)絡(luò)一起，形成端到端的虛擬通道。從而實(shí)現(xiàn)關(guān)鍵特性的多實(shí)例配置，比如防火墻的NAT多實(shí)例、支持獨(dú)立的安全域劃分和策略配置;實(shí)現(xiàn)基于虛擬設(shè)備資 源劃分，比如負(fù)載均衡設(shè)備的最大虛服務(wù)(實(shí)服務(wù))個(gè)數(shù)等;實(shí)現(xiàn)每個(gè)虛擬設(shè)備具備獨(dú)立的管理員權(quán)限，可以隨時(shí)監(jiān)控、調(diào)整策略的配置實(shí)現(xiàn)情況;且多個(gè)虛擬設(shè)備 的管理員同時(shí)操作。

“唯快不破”，基礎(chǔ)承載網(wǎng)安全“秘訣”

在中華武學(xué)中有一個(gè)重要原則，就是“千破萬(wàn)破，唯快不破”，核心意思就是速度是克敵的制勝法寶。對(duì)于基礎(chǔ)承載網(wǎng)絡(luò)來(lái)說(shuō)，云計(jì)算應(yīng)用安全防護(hù)的性能是否足夠“快”，則是問(wèn)題的焦點(diǎn)。

基礎(chǔ)承載網(wǎng)負(fù)責(zé)的是云計(jì)算數(shù)據(jù)中心和用戶終端的互聯(lián)，其特點(diǎn)就是透明傳輸，所強(qiáng)調(diào)的就是性能無(wú)收斂，沒(méi)有延遲，沒(méi)有丟包。這對(duì)安全設(shè)備提出的要求就 是“高效”，在園區(qū)網(wǎng)中，安全設(shè)備性能要滿足與網(wǎng)絡(luò)相匹配的性能，滿足10G、40G、100G的傳輸性能需求。在廣域網(wǎng)應(yīng)用中，要通過(guò)應(yīng)用交付實(shí)現(xiàn)應(yīng)用 的加速。

針對(duì)基礎(chǔ)承載網(wǎng)的安全焦點(diǎn)，H3C是通過(guò)安全I(xiàn)RF技術(shù)來(lái)解決的。這種彈性擴(kuò)展技術(shù)，可根據(jù)業(yè)務(wù)發(fā)展需要，輕松地實(shí)現(xiàn)系統(tǒng)擴(kuò)容。一方面，可以做大性 能的擴(kuò)容，目前H3C第三代安全板卡的單卡性能為20G，通過(guò)IRF技術(shù)可以虛擬為800G的高性能設(shè)備，完全可以滿足未來(lái)在云計(jì)算環(huán)境下40G和 100G以太網(wǎng)標(biāo)準(zhǔn)的性能處理要求。

另一方面，通過(guò)安全和網(wǎng)絡(luò)設(shè)備高度融合，還可以實(shí)現(xiàn)安全功能的擴(kuò)充。用戶可以隨著業(yè)務(wù)發(fā)展需要，靈活地增加防火墻、入侵防御、流量監(jiān)管、負(fù)載均衡等各種安全功能。這也是高效網(wǎng)絡(luò)安全很重要的一點(diǎn)。

安全智能化，物聯(lián)安全“如臂使指”

物聯(lián)網(wǎng)(The Internet of things)就是“物物相連的互聯(lián)網(wǎng)”，實(shí)現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡(luò)的連接，方便識(shí)別、管理和控制。很多客戶最關(guān)心的是，所有的數(shù)據(jù)包括應(yīng)用都放在數(shù)據(jù)中心或者云端了，安全性如何保障?

歸根結(jié)底來(lái)說(shuō)，云時(shí)代的物聯(lián)層面安全關(guān)注的是兩個(gè)問(wèn)題。一是安全接入的問(wèn)題，云計(jì)算環(huán)境用戶的數(shù)據(jù)從終端到云計(jì)算環(huán)境的傳輸中，容易被截獲; 如何保證用戶端到云端安全訪問(wèn)和接入?二是安全設(shè)備的管理問(wèn)題，無(wú)論是公有云、私有云還是混合云，網(wǎng)絡(luò)規(guī)模都非常龐大，部署的安全設(shè)備數(shù)量也很多，而且分散在網(wǎng)中不同節(jié)點(diǎn)，如何進(jìn)行有效的設(shè)備管理?安全策略如何做到統(tǒng)一的管理?這都是必須要考慮的。

對(duì)于安全接入的風(fēng)險(xiǎn)，H3C認(rèn)為，在云端部署SSL VPN網(wǎng)關(guān)是可行的接入方案。利用SSL VPN技術(shù)，隨時(shí)隨地的在客戶端與資源中心之間建立一個(gè)私密通道以保證不同客戶信息私密性，客戶端HttPS方式訪問(wèn)SSL VPN網(wǎng)關(guān)登錄頁(yè)面，通過(guò)證書(shū)客戶端與網(wǎng)關(guān)進(jìn)行身份相互確認(rèn)，客戶端與網(wǎng)關(guān)身份確認(rèn)后，客戶端就可訪問(wèn)云中心預(yù)先設(shè)定好的訪問(wèn)資源，客戶端到SSL VPN數(shù)據(jù)流經(jīng)過(guò)了PKI系統(tǒng)進(jìn)行嚴(yán)格的加密保護(hù)，保證數(shù)據(jù)私密性。

同時(shí)，針對(duì)龐大物聯(lián)網(wǎng)中的安全設(shè)備，H3C通過(guò)統(tǒng)一的安全管理平臺(tái)——SecCenter安全管理中心來(lái)實(shí)現(xiàn)安全的統(tǒng)一管理。有了這個(gè)智能化的安全 “指揮所”，用戶可以實(shí)現(xiàn)安全事件的實(shí)時(shí)監(jiān)控，并通過(guò)系統(tǒng)提供的各種報(bào)告進(jìn)行安全事件的統(tǒng)計(jì)和分析，最重要的是可以實(shí)現(xiàn)設(shè)備的統(tǒng)一管理和策略配置，從而讓 整個(gè)安全體系更加智能化。

結(jié)束語(yǔ)

總的來(lái)說(shuō)，H3C不斷尋求在云計(jì)算安全的技術(shù)突破和創(chuàng)新，將“全面、智能、高效”的概念融入到具體的解決方案之中，直指云時(shí)代安全的三大“軟肋”。

從關(guān)注路由器、交換機(jī)上安全特性以及實(shí)現(xiàn)，到構(gòu)建L2-7層綜合防御的防火墻、IPS產(chǎn)品，再到融合到園區(qū)網(wǎng)、廣域網(wǎng)和數(shù)據(jù)中心的安全綜合解決方 案，H3C一直致力于網(wǎng)絡(luò)安全的研究和技術(shù)創(chuàng)新。對(duì)于云計(jì)算與數(shù)據(jù)中心安全方面的技術(shù)發(fā)展和應(yīng)用，H3C也將持續(xù)并重點(diǎn)研究，在面向?qū)ο蟮陌踩渴?、虛擬 化等方面不斷突破，為用戶提供新一代網(wǎng)絡(luò)安全解決方案。

wanglin