H3C：領跑運營商雲安全之路

在雲計算應用領域，運營商一直是一支不容小覷的力量。 為了在下一輪市場競爭中搶佔更加有利的位置，以電信企業為代表的運營商，在雲計算建設大潮中沖在了最前沿。 例如中國移動斥鉅資打造了大雲專案，中國聯通則發佈了互聯雲計畫，中國電信也將星雲計畫納入戰略轉型的重要組成部分。 各地以電信企業為主導的雲計算中心專案紛紛啟動，也印證了這一點。

運營商在雲計算方面的逐漸發力，一方面尋找到了新的業務增長點，另一方面也遇到了許多新的挑戰。 隨著智慧終端機的快速普及、移動互聯、雲計算以及物聯網的發展，各運營商紛紛推出基於IP承載技術的各類業務應用，帶來了許多技術創新和業務發展機遇。 這一過程中，資訊安全風險能否得到有效控制，對運營商雲業務的正常開張有著決定性意義。

在運營商和雲計算領域都積累了大量經驗的H3C，也充分意識到了運營商安全建設需求的新變化，並借助新一代互聯網NGIP解決方案的技術與產品，對運營商雲計算安全建設提供了更多支援與保障。

虛擬化的AB面運營商雲安全的重點

運營商的雲計算建設分為供內部使用的私有雲，以及對公眾提供服務的公有雲兩個部分，所面臨的安全需求也不盡相同。 H3C安全產品線總工李彥賓表示，從私有雲應用的角度來看，運營商雲計算的安全與其他行業相比相差並不大。

李彥賓指出，雲計算網路安全的最顯著特點，就是要解決雲計算應用中十分常見的虛擬化的安全威脅。 在H3C看來，這方面的問題主要集中在三個方面，一是針對虛擬化軟體的漏洞攻擊威脅，嚴重時將導致伺服器無法使用，CVE組織也在陸續公佈一些虛擬化軟體的漏洞，這一類的漏洞未來會成為駭客主攻的方向；其次是物理伺服器虛擬化以後， 虛擬機器之間如何做存取控制的問題；另外運營商不同的營業單位都集中到一個雲計算中心的時候，不同部門的安全性原則不一定一致，對資料中心中安全設備產生虛擬化要求，需要共用安全設備必須能夠進行分割，將一台設備虛擬成多台設備， 從而滿足不同使用者的需求。

針對運營商私有雲安全問題，目前H3C已有成體系的一整套方法。 一方面通過網路設備+防火牆+入侵防禦系統建立起L2-7層立體防禦，增加針對虛擬化漏洞的特徵庫研究，來解決虛擬化軟體安全問題；另一方面，通過HP/H3C共推的VEPA協定，將虛擬機器內部的資料流量通過安全設備進行各種安全防護 ，來實現解決伺服器內部VM之間的二層交換流量的安全訪問和攻擊檢測問題。 此外，H3C通過實現全方位的端到端的產品虛擬化在實際應用中，H3C的安全設備既可以將一台設備虛擬成N多台，也可根據虛擬需求實現N：1的收斂要求，從而在雲中與網路一起，形成端到端的虛擬通道， 來滿足運營商雲資料中心安全設備虛擬化的需要。

然而對於運營商提供的公有雲服務的網路安全來說，其考慮的重點有著很大的不同。 H3C電信系統部副部長許全會介紹，從以往來說，運營商的雲計算資料中心與互聯網企業有些類似，在出口端不部署防火牆等閘道設備，從而儘量實現出口頻寬速率的最大化。 然而近一兩年來，運營商公有雲從業務開拓的角度出發，開始對安全設備產生更多需求。 運營商在向使用者提供雲計算資料中心服務時，一些客戶往往需要運營商也能提供安全方面的增值服務。 因此運營商需要把安全資源像計算、存儲等一樣實現資源池化，從而在客戶需要的時候作為一種資源提供給使用者。

這樣一來，安全設備的虛擬化問題，就成為運營商公有雲安全建設的焦點。 這時H3C安全設備虛擬化方面的優勢得以進一步體現。 H3C安全產品線總工李彥賓介紹到，目前在安全設備虛擬化方面H3C已實現關鍵特性的多實例配置，比如防火牆的NAT多實例、支援獨立的安全域劃分和策略配置；實現基於虛擬裝置資源劃分，比如負載均衡設備的最大虛服務（實服務）個數等 ；實現每個虛擬裝置具備獨立的管理員許可權，可以隨時監控、調整策略的配置實現情況；且多個虛擬裝置的管理員同時操作。

同時，李彥賓還指出，運營商公有雲對安全設備的性能也有著更高的要求。 作為一種面向客戶的服務，公有雲對安全設備容量的要求比私有雲更為嚴格，而且擴充性要更好，在客戶提出需求時，能十分快捷地提升系統性能。 對此，H3C通過安全IRF技術輕鬆地實現系統擴容，最高可虛擬出1280G的高性能設備，完全可以滿足未來在雲計算環境下40G和100G乙太網標準的性能處理要求，從而解決運營商雲服務的後顧之憂。

運營商安全市場H3C發力

隨著運營商對安全問題越來越重視，安全設備的選擇也越來越受到運營商的重視。 據瞭解，近幾年運營商加大了安全設備集采的力度，不僅高度關注安全廠商的回應和服務能力，對其產品和方案的性價比也提出了更高要求，運營商安全設備市場也迎來了新的一輪洗牌過程。

H3C電信系統部副部長許全會表示，近幾年來H3C安全設備進入運營商市場，取得的了十分突出的成績，尤其是高端安全產品，在性能、價格、服務等各面都具備了領先優勢。 在運營商集采中，H3C防火牆/VPN/LB已連續兩年出貨量第一，超萬兆防火牆連續四年成為中國電信、中國移動集團的核心短名單供應商。 目前，H3C的安全設備已經廣泛應用於中國移動、中國電信、中國聯通以及廣電的各級公司。 在雲計算領域，H3C參與建設的四川電信私有雲、江西電信雲計算、海南移動IDC等雲安全或網路安全加固專案，已經成為雲安全領域的典範。 除此之外，H3C還與中國電信、中國移動以及聯通積極開展合作，協助進行雲計算、雲安全相關規範的制定，與電信集成開展深度合作，成為運營商雲安全領域最重要的廠商。

對此李彥賓表示，這與H3C長期對安全的專注與投入密不可分。 作為網路安全和應用安全領域的領導先企業，H3C從關注路由器、交換器上安全特性以及實現，到構建L2-7層綜合防禦的防火牆、IPS產品，再到融合到園區網、廣域網路和資料中心的安全綜合解決方案， H3C一直致力於網路安全融合的研究和技術創新。 因此取得這樣的成績並不意外。

同時，他還強調，在雲安全時代H3C仍將把握資訊安全技術發展趨勢，研發立足世界前沿的資訊安全產品，為運營商提供量身定制的網路安全解決方案和完善的服務。 下一步H3C還將針對運營商需求，發佈20G安全插卡、萬兆IPS等新產品，進一步説明運營商解決安全問題。

運營商雲計算的腳步將繼續加快，對安全的要求也將更加迫切。 許全會表示，對於H3C來說，未來的運營商雲安全市場，仍將是一片廣闊的天地。