打造下一代資料中心安全堡壘

2014年8月15日，以「萬物趨互聯•雲啟下一代」為主題的2014年高端CIO峰會在北京隆重召開。 本次峰會立足萬物互聯的未來網路，剖析下一代移動互聯安全、下一代資料中心安全的需求特點，全面展示了趨勢科技雲安全動態威脅智慧防護網路及技術產品説明使用者贏得現在、決勝未來的能量。

下一代資料中心安全：智慧優化

尤其是資料中心的安全，是企業安全的重中之重。 資料中心是資訊資源的集中地、最頻繁的交換地，也是安全事件的多發地，而威脅防護上的任何疏漏都可能導致無法彌補的損失。 在資料中心從以物理伺服器為核心，向虛擬化和雲計算演進，並正在進入由軟體主宰的下一代資料中心，圍繞其周邊與內部變革後的安全管理也需隨之更新。

趨勢科技正在將通過「適應化、感知化、軟體化、平臺化」的革新技術和Deep Security產品，攜手資料中心管理者完成下一代資料中心安全本應實現的智慧優化功能。 為虛擬化而生的Deep Security，完全拋棄了傳統防毒的概念，從虛擬化底層的防護入手，其在資源消耗方面的節省使得組織可以大幅提升虛擬機器密度，從而降低了企業的資本支出 （CAPEX）和運營支出（OPEX）。 其次，基於軟體定義安全架構設計的Deep Security，通過SDN介面技術與VMware NSX實現無縫對接，這可以讓安全性原則自由的從內部私有雲和公有雲平臺之間移動，管理員將能夠快速且高水準的自動追蹤資源， 並使其保持最新的安全狀態。

同時，安全也絕不是一家廠商就能解決的問題，尤其是雲計算時代，趨勢科技（中國區）業務發展總監童甯認為：平臺廠商和安全廠商必須要有一種開放的心態和配合的態度，明確自己的定位，比如下一代虛擬化網路，Vmware做的很好， 華為也會有這方面的方案，我們作為安全廠商會進一步在業界的架構下面為客戶提供安全服務。

比如，支援多租戶架構的Deep Security，已經與VMware VCenter NSX、Citrix XenServer、Amazon AWS、華為FusionSphere、Microsoft Hyper-V、 中電華雲ChinaCloud等雲管理平臺集成在一起，這使得任何一個組織可以將資料中心的安全性原則擴展到任意的雲平臺。

VMware雲安全專家臧鐵軍（左），華為雲計算架構設計師葉思海（中），趨勢科技（中國區）業務發展總監童甯（右）

會後，趨勢科技（中國區）業務發展總監童甯，華為雲計算架構設計師葉思海，VMware雲安全專家臧鐵軍共同接受採訪，就下一代資料中心的安全問題為我們答疑解惑。 在採訪中，大家都認為下一代資料中心的安全問題，需要各個廠家比以往更緊密的合作；軟體定義網路技術，由於控制層對資源的靈活調配，所以能夠快速回應安全問題；童甯還介紹了趨勢科技利用大資料技術解決安全問題的案例。

記者：在下一代資料中心這一塊兒趨勢接下來怎麼樣説明企業規避風險？

葉思海：雲是一個很大的系統，肯定會在安全方面帶來很多的新挑戰，比如雲化以後的邊界模糊這些東西，需要平臺廠家和安全廠家合作解決。 但是下一代資料中心這塊，後端要利用安全廠家的經驗把異常的資訊進行關聯分析，前端是安全廠家要跟平臺之間配合，把各個地方的資訊集中採集到分析中心。

臧鐵軍：首先我們從現在對安全需求的變化來說，本身我們做安全建設是為我們的應用以及業務服務的，我們現在往雲的方向發展最大的特徵是靈活度要提升，導致我們在安全防護手段上也要做出適當的調整，以前安全部門更多的是限制， 現在這些限制跟我們現在的發展存在矛盾，如何調和這個矛盾？ 需要我們在安全防護手段上要做很多革新，趨勢科技在這方面已經處於領先的位置。

以前的安全防護也是一個系統的工程，但廠商和廠商之間的合作沒有這麼緊密，很多企業都有專門的安全人員去協調各個解決方案，讓他們很快的工作在一起，但是在雲時代，當你的負載不斷增加的時候，你的人手肯定不足， 必須靠系統之間自動化的協調去完成協作，所以Vmware現在做的事情主要是給安全廠商提供很好的合作介面和平臺，大家可以一起來構建整個安全可靠的平臺，所以我們靠一個好的生態系統，來滿足使用者在雲安全這方面的需求。

記者：趨勢科技跟華為和VMware兩家的合作，主要在哪些方面？

葉思海：我們跟趨勢合作有三個維度，首先是傳統的電信領域，電信設備的安全防護，趨勢是我們的第一大供應商，從這個維度講，華為是趨勢的客戶，是我們客戶的客戶的合作夥伴，也是一種整體解決方案。

第二個維度，華為本身也是一個大企業，內部也大量使用了趨勢的安全設備進行IT防護。

第三個維度，我們也正在跟趨勢科技合作共同打造雲下面的安全解決方案，但是雲這塊的華為的起步肯定比Vmware晚一點，所以這方面的合作也稍微晚一點點。

其實IT領域大家更多的是合作大於競爭，我們跟Vmware之間肯定有一定競爭關係，但是也有合作，比如一些大型專案都是雙方聯合拿下來的。

臧鐵軍：Vmware不是一個安全廠商，沒有能力為使用者提供非常全面的安全服務，必須依賴合作夥伴的説明，在這個過程中，我們主要是提供一個很好的基礎架構平臺，和一個植入安全服務的介面。 安全層面上，這個平臺具備基本的存取控制盒租戶隔離功能，通過安全服務的介面，可以接入安全廠商的防防毒保護等。 趨勢科技也是第一個提出來要利用這個介面跟我們合作的，比如大家已經非常瞭解的Deepsecurity，以及更新的TDA技術。

記者：其實在資料中心雲化過程中網路虛擬化是最難的，而且對安全影響可能是最大的，那麼我們現在的技術能不能實現在整個網路虛擬化的安全？

葉思海：網路虛擬化現在業界有兩個基礎方向，一個是純軟體的模式，另外一個是思科和華為，硬體的方案。 華為現在的策略，是兩條腿都在走，因為技術的選擇最終是由市場來決定的。 安全這塊兒，現在實際上是變好了，做雲資料中心以後，大家有個想法是想把安全做池化，防火牆和安全性原則都能方便快速得部署。 大家的擔心更多的應該不是安全本身，而是以後怎麼樣快速的切過去。

童甯：進入網路虛擬化和軟體定義網路以後最大的一個好處，是網路實現了真正的邏輯控制，在控制中心有一個邏輯層在控制整個網路的走向。 過去安全最大的問題是隔離性，客戶買了好多種設備擺在閘道上，有防垃圾郵件的，有安全閘道等，都是不同廠商的，結果很難實現互動。 有了軟體定義網路之後，如果安全廠商專業技術判斷這出事了，可以立刻告訴網路控制器，這個網路控制器立刻可以做隔離；再比如十台機器同時都是一個網站的伺服器，是做負載均衡的，突然有一台機器被惡意攻擊了， 網路控制器也很容易就把那台機器切出去，重新調一台機器，繼續維持業務的進行，而且這些過程都是自動的。

記者：在安全領域有一個很重要的問題是責任劃分，在雲安全方面三家在合作的時候，如何劃分責任？

臧鐵軍：廠商之間的分工我應該已經談的比較清楚了，還有一個分工到使用者那裡，你最終一整套解決方案給使用者了，使用者怎麼看？ 可能以前使用者有他的組織架構，有他的人員分工，有他的職能分工，那麼到雲裡面呢？ 我們現在目標是盡可能的把管理平臺統一起來，但是保持企業原本的架構或職能分工不變。

葉思海：其實我們廠家之間不是安全責任的劃分，而是需要安全能力的互補。 安全責任的劃分通常是在公有雲的場景下，私有雲其實不存在，我們廠家提供出來的方案好還是不好，投資到不到位客戶都是自己承擔的。 公有雲中安全責任的劃分我是這樣一個觀點，我更願意用類似于房地產的模型來講，我們平臺廠家類似于建築商，保證這個大樓的基礎是安全的，我們要給客戶提供一個防盜門，打造防盜門可能需要很多安全設備，我們是跟安全廠家一起來合作的， 至於防盜門裡面的安全，其實是使用者虛擬機器之間的安全，那個責任實際上是使用者自己要去承擔的，他可以買安全廠家的專業安全設備，也可以買雲平臺提供的安全服務，比如無代理的防病毒服務等。 所以界限劃分的很清楚，防盜門外面的都是我們服務提供者或者廠家要配合提供的，防盜門裡面是客戶要解決的一個問題。

童甯：其實責任劃分這件事情，在公有雲產生之前很少有人問，因為客戶有一句話叫免費即免責，比如虛擬化有很多開源的、免費的方案，但是客戶為什麼還要購買專業的，比如說華為或者Vmware的解決方案， 部分原因在於這樣可以把責任通過某種方式轉嫁一下。

公有雲剛出來的時候，公有雲廠商他們去推銷公有雲的時候，客戶第一個問題就是過去我自己在家抗這個責任，現在我把東西放到你那裡去，可是我又不能碰你底層的東西，這個責任該如何劃分？ 所以最著名的安全廠商提出了責任劃分論。

但是對趨勢科技來講，安全是一種服務，只要客戶買了我的安全產品，我向他承諾了我的服務，我們就有責任。 不管客戶的安全問題是什麼原因，是誰的責任，我們都要跟客戶站在一起，幫客戶解決問題。

記者：有沒有在安全防禦上應用到大資料技術的案例？

童甯：趨勢對大資料的應用已經蠻久了，大概從2004年開始我們碰到一個很大的問題，每天送過來的病毒樣本數量非常多，一天幾百個病毒，我們發現雇再多的人也解決不了問題，傳統的巨型資料庫+IBM小機的解決方案也行不通了。 那個時候Hadoop剛出來，我們就開始試用，剛開始很簡單，就是樣本處理，判斷是不是病毒，後來發現這件事情越來越複雜，所以我們就開始採用一種叫做關聯分析的方法。

什麼是關聯分析呢？ 邏輯是這樣的，比如說我收到一封郵件，這個郵件發送的位址在我的黑名單裡面，這個IP位址經常發垃圾郵件，他發給我的郵件可能是一個垃圾郵件，我就提高處理的級別，那如果他裡面帶了一個附件，不管附件是什麼，我們可能又得提高級別， 第一個我懷疑這個人本來發垃圾郵件了，第二個還帶了一個附件，這個附件可能又是一支病毒，但是如果附件一旦被運行了，這個附件可能會是個程式，他又上網更新自己，到另外一個地方去更新，更新這個地方可能就是他的主控台或者什麼之類， 所以我們整個故事就串起來了。 但是你怎麼知道這些故事是這樣的，因為趨勢每天收集大量攻擊資訊，我們是把人工在樣本分析當中總結出來的經驗教訓，實現在了大資料的智慧化中。

未來我們會跟虛擬化平臺廠商合作，利用SDN的擴充性，將這種關聯分析的能力放在客戶環境中，不但可以從海量資料庫中分析出安全問題，同時能夠自動擴張其計算能力。