中華電信劉順德：雲資料中心亟需消除虛擬環境安全疑慮

　　中華電信是臺灣最大的電信運營商，業務涵蓋了固網通信、移動通信，以及資料通信三大領域。 基於雲時代的資料中心規劃原則，中華電信除了對環保、節能、可靠因素的考量外，安全也是其重點規劃之一。
　　為此，在中華電信研究院專門成立了資料通信安全研究所，一是建立自主及先進的資訊安全防衛技術，二是支援中華電信資訊安全防衛。 中華電信研究院資料通信安全研究所研究員劉順德在近日的趨勢科技高端CIO峰會上表示，「雲計算下資料中心的發展趨勢是以更小的主機、更低的電耗、更低的成本，創造更快的計算、更大的存儲空間和更高的彈性。 Internet資料中心向虛擬化、雲化的演進過程中，安全要兼具傳統與新興雲防禦機制，並需要全自動的公司資訊安全政策監控機制。 」

　　中華電信資料中心基本安全設計
　　由於臺灣位於南太平洋地震帶上，為確保資料中心的安全，中華電信所有建築皆採用SRC鋼骨防震結構，可耐震達7級以上。 此外，為了避免水災，資料中心建築主體的周邊皆設計了防水閘門、截水溝等防洪裝置。
　　除了實體層面的安全之外，中華電信當然不會忽視資料中心的冗余設計。 比如雙套配備，包括兩個以上不同區域的變電所供電，另設柴油發電機組提供備用電力;雙回路UPS系統;雙回路路由。 資料冗余，包括磁帶備份，連續的資料保護，多點機房資料異地備份等。
　　劉順德指出，中華電信在落實機房安全管理時主要是依據中華電信資訊安全政策與實施細則，細則每年都在不斷完善，從過去的六章增長為現在的九章。 例如，在細則中有一項關於機房與設備安全管理，中華電信將機房分為一、二、三級，每個等級都有不同的規範標準。 當然，網路安全的基本配備是每個資料中心的必要設計，像防火牆、入侵偵測系統、防毒和漏洞掃描的部署等。
　　雲資料中心的資訊安全威脅及防護
　　雲服務使用虛擬化技術來共用硬體資源，它如同將資料置於外包供應商。 在使用者看來是存在很多對雲資訊安全的擔憂的，雲資料會不會被竊取，資料有沒有加密，是否有其他人可以側錄我的網路資料包，雲是否有訪問記錄，這些面臨的不管是資料安全、訪問安全、虛擬環境安全還是資訊安全監控都是供應商面臨的挑戰。
　　劉順德認為，以虛擬化為基礎的雲環境繼承了所有以前所面臨的資訊安全問題。 但新出現的安全問題集中在虛擬環境上，首先是虛擬平臺弱點，虛擬平臺如同Windows作業系統，存在安全性漏洞時要即時更新;其次是共用資源風險，高級駭客通過申租Guest OS發動Side Attack獲取硬體RAM上的資料或直接進入他人的Guest OS;另外是虛擬機器器遷移與備份管理，Guest OS遷移到不同的虛擬平臺要確保安全政策一致並且嚴格執行備份管理;還包括了跨虛擬主機攻擊，這就需要實施VM安全監控， 以VLAN確保VM獨立，利益衝突的公司或個人的Guest OS要放在不同的虛擬平臺。
　　劉順德介紹了中華電信的雲安全構建指引與發展方向，包括法規遵循、實體安全與備份、虛擬環境安全、身份認證安全、資料安全、應用程式安全、通信安全和整體資訊安全監控與專業團隊建設。
　　中華電信遵循標準法規，確保客戶在使用雲服務時的各種安全考慮。 首先是遵循臺灣法規，如果沒有則遵循國際標準，例如NIST、ENISA、PCI和ODCA鄧。 「標準分幾個層次，第一是參考，第二是符合，第三是遵循，從而期望營造給客戶是一個值得信賴的IDC機房。 」劉順德指出。
　　客戶與雲機房通信時，使用中華電信提供的通信安全機制，如SSL、SSL VPN 與hiGate VPN的傳輸加密通道及安全認證;依ISMS規範創建冗余，機房對外提供服務的網路採用雙路由設計，確保雲服務不斷線; 雲服務按照標準軟體發展生命週期完成，並以 X.509 簽名保證其未被篡改。 上線後系統以弱點掃描與滲透測試持續保證安全等這些都是中華電信雲資料中心的安全構建實踐。
　　劉順德介紹了中華電信在雲資料中心的安全構建上與趨勢科技的合作。 中華電信通過部署趨勢科技Deep Security來保護物理機及虛擬機器安全，防止軟體漏洞攻擊所導致的資料外泄，提供虛擬與雲環境所需的安全性，消除這些環境特有的安全疑慮。 利用趨勢科技SafeSync保證雲存儲安全，除了SSL外，提供類似S3的加解密API。 另外，中華電信針對VM檔管理提供了SafeVM全加密機制，虛擬主機映射檔運行中均自動加解密，即使映射檔被竊取，資料為加密狀態而使其無法辨別。
　　資料中心的構建朝虛擬化前進已是必然，劉順德指出，虛擬化的資訊安全議題應在構建前一併考慮。 資訊安全防護是一個流程，並沒有一次性的解決方案，需要一個持續的維護團隊，好的設備是一方面，但有好的專家才能做更好的安全防護。