云時(shí)代數(shù)據(jù)中心安全建設(shè)三部曲

　　(聯(lián)合電訊社/北京)--在建設(shè)云數(shù)據(jù)中心前，多個(gè)用戶單位的數(shù)據(jù)中心獨(dú)立建設(shè)，分別擁有獨(dú)立的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器，此時(shí)部署的是傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品。

　　在云計(jì)算時(shí)代背景下，數(shù)據(jù)中心需要向集中大規(guī)模共享平臺(tái)推進(jìn)，通過(guò)引入服務(wù)器虛擬化技術(shù)，提供彈性、按需、自助的部署。數(shù)據(jù)中心的云化，對(duì)傳統(tǒng)的安全防護(hù)方案和安全產(chǎn)品也提出了新的要求。

　　云時(shí)代數(shù)據(jù)中心的安全建設(shè)劃分成三個(gè)階段。

　　1、 傳統(tǒng)安全產(chǎn)品的虛擬化

　　2、 融合到云計(jì)算平臺(tái)的虛擬機(jī)安全設(shè)備

　　3、 自主安全可控的云計(jì)算平臺(tái)

　　傳統(tǒng)安全產(chǎn)品的虛擬化

　　在云數(shù)據(jù)中心建設(shè)的第一個(gè)階段，需要把各種物理硬件建設(shè)成資源池，以虛擬化的方式對(duì)多個(gè)用戶單位提供服務(wù)，從而實(shí)現(xiàn)云計(jì)算數(shù)據(jù)中心的性價(jià)比優(yōu)勢(shì)。用戶單位使用云數(shù)據(jù)中心提供的虛擬網(wǎng)絡(luò)、虛擬安全設(shè)備和虛擬服務(wù)器。

　　在此階段，使用的仍然是傳統(tǒng)的安全產(chǎn)品，部署在服務(wù)器資源池的外圍，為不同的用戶單位，創(chuàng)建邏輯上獨(dú)立的虛擬設(shè)備。因此，傳統(tǒng)安全產(chǎn)品需要實(shí)現(xiàn)虛擬化，支持虛擬設(shè)備功能(包括引擎和管理界面)。

　　融合到云計(jì)算平臺(tái)的虛擬機(jī)安全設(shè)備

　　在云數(shù)據(jù)中心建設(shè)的第二階段，網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器等硬件資源需要進(jìn)一步整合。在同一臺(tái)物理服務(wù)器內(nèi)部的多個(gè)虛擬機(jī)之間的訪問(wèn)控制，不能通過(guò)在服務(wù)器資源池外圍的硬件安全設(shè)備來(lái)實(shí)現(xiàn)。

　　在此階段，安全設(shè)備需要軟件化，作為一個(gè)安全應(yīng)用融合在虛擬化平臺(tái)上。

　　虛擬機(jī)安全設(shè)備可以通過(guò)兩種方式融合到虛擬化平臺(tái)，第一種方式是通過(guò)虛擬網(wǎng)絡(luò)路由的方式部署;第二種方式是通過(guò)調(diào)用Hypervisor層的API，將安全控制功能嵌入到虛擬化平臺(tái)。

　　自主安全可控的云計(jì)算平臺(tái)

　　在云計(jì)算數(shù)據(jù)中心建設(shè)的第三階段，我們需要考慮云計(jì)算平臺(tái)自身的安全性。

　　首先，云計(jì)算平臺(tái)本身也存在各種安全漏洞，例如利用典型的虛擬機(jī)逃逸漏洞——藍(lán)色藥丸，攻擊者可以在控制客戶機(jī)VM的情況下，攻擊Hypervisor，安裝后門，控制其他VM。由于云計(jì)算平臺(tái)往往十分重要，這些安全漏洞需要比傳統(tǒng)的主機(jī)安全漏洞更被重視。

　　其次，Hypervisor層的API調(diào)用，本身需要受虛擬化平臺(tái)廠商的控制。以VMware為例，VMware曾經(jīng)向其TAP(技術(shù)聯(lián)盟伙伴)開放過(guò)VM-SAFE API，用于開發(fā)安全應(yīng)用，但在最近，VMware關(guān)閉了VM-SAFE API。

　　最后，站在國(guó)家信息安全的戰(zhàn)略角度，我們?cè)诮ㄔO(shè)云計(jì)算數(shù)據(jù)中心時(shí)，不能不考慮供應(yīng)鏈的安全。只有實(shí)現(xiàn)完全自主安全可控的云計(jì)算平臺(tái)，云計(jì)算數(shù)據(jù)中心的安全性才能得到徹底的保障。