探討：雲時代資料中心安全建設三部曲

498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" width="561" height="256" src="HTTP ://images.51cto.com/files/uploadimg/20110919/1320120.png" />在雲計算時代背景下，資料中心需要向集中大規模共用平臺推進，通過引入伺服器虛擬化技術，提供彈性、 按需、自助的部署。 資料中心的雲化，對傳統的安全防護方案和安全產品也提出了新的要求。 筆者將雲時代資料中心的安全建設劃分成三個階段：1、 傳統安全產品的虛擬化2、 融合到雲計算平臺的虛擬機器安全設備3、 自主安全可控的雲計算平臺傳統安全產品的虛擬化在雲資料中心建設的第一個階段，需要把各種物理硬體建設成資源池， 以虛擬化的方式對多個使用者單位提供服務，從而實現雲計算資料中心的性價比優勢。 使用者單位使用雲資料中心提供的虛擬網路、虛擬安全設備和虛擬伺服器。 在此階段，使用的仍然是傳統的安全產品，部署在伺服器資源池的週邊，為不同的使用者單位，創建邏輯上獨立的虛擬裝置。 因此，傳統安全產品需要實現虛擬化，支援虛擬裝置功能(包括引擎和管理介面)。 如圖2所示。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" width="581" height="263" src="HTTP ://images.51cto.com/files/uploadimg/20110919/1320121.png" />融合到雲計算平臺的虛擬機器安全設備在雲資料中心建設的第二階段，網路設備、 安全設備和伺服器等硬體資源需要進一步整合。 在同一台物理伺服器內部的多個虛擬機器之間的存取控制，不能通過在伺服器資源池週邊的硬體安全設備來實現。 在此階段，安全設備需要軟體化，作為一個安全應用融合在虛擬化平臺上(見圖3)。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" width="535" height="251" src="HTTP ://images.51cto.com/files/uploadimg/20110919/1320122.png" />虛擬機器安全設備可以通過兩種方式融合到虛擬化平臺，第一種方式是通過虛擬網路路由的方式部署(見圖4); 第二種方式是通過調用Hypervisor層的API，將安全控制功能嵌入到虛擬化平臺(見圖5)。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" width="515" height="519" src="HTTP ://images.51cto.com/files/uploadimg/20110919/1320123.png" />自主安全可控的雲計算平臺在雲計算資料中心建設的第三階段，我們需要考慮雲計算平臺自身的安全性。 首先，雲計算平臺本身也存在各種安全性漏洞，例如利用典型的虛擬機器逃逸漏洞——藍色藥丸，攻擊者可以在控制客戶機VM的情況下，攻擊Hypervisor，安裝後門，控制其他VM。 由於雲計算平臺往往十分重要，這些安全性漏洞需要比傳統的主機安全性漏洞更被重視。 其次，Hypervisor層的API調用，本身需要受虛擬化平臺廠商的控制。 以VMware為例，VMware曾經向其TAP(技術聯盟夥伴)開放過VM-SAFE API，用於開發安全應用，但在最近，VMware關閉了VM-SAFE API。 【編輯推薦】 網路安全廠商如何在「第二戰場」獲勝？ 網路安全：駭客技術你瞭解多少？ Blue Coat發佈《2011年中網路安全報告》 綠盟科技再次入選國家級網路安全應急服務支撐單位 美反網路安全之防火牆安全管理不容忽視【責任編輯：洋洋 TEL：（010）68476606】 原文：探討：雲時代資料中心安全建設三部曲 返回網路安全首頁