RSA中國大會張振倫：私有雲安全構架概覽(1)

在前不久，剛剛結束的RSA 2010大會上，我們聆聽了多為嘉賓的演講。 51CTO作為特邀媒體，對大會進行了相關報導。 更多內容請參閱RSA 2010資訊安全國際論壇專題報導。 那麼，對於大會中所涉及的一些演講內容，這裡我們再來總結一下。 現在，先讓我們一起來回顧下VMware公司大中華技術總監張振倫，所帶來的演講《私有雲安全構架概覽》。 張振倫：大家下午好！ 今天很高興有這樣一個機會，一起跟大家分享一下關于虛擬化以及雲計算上的安全問題。 實際上我相信大家剛才聽了很多介紹，包括我剛才聽陳教授的介紹，大家都在講雲存儲以及雲各個方面的安全，好像現在所有的安全在雲上也變成的一個特別特別重要的話題。 今天大家都在講公有雲的時候，都覺得最最重要的一個障礙也是安全。 我們如何看安全？ 在雲的架構下，會發生哪些方式的一些改變，從整個架構的角度，我們應該怎麼樣重新考量？ 在這之前，我想問一下在座的各位，我不知道有多少人知道VMware公司是做什麼的？ （聽眾回答：虛擬機器）這位先生說VMware公司是做虛擬機器的，還有人知道VMware公司是做什麼的？ 我相信幾年前大家去看VMware的時候，很多人都知道VMware做伺服器虛擬化，這個概念已經過時了。 可能兩三年前，或者說到我加入VMware的時候，說VMware開始做資料中心虛擬化，資料中心虛擬化比伺服器虛擬化的內容拓展了很多，因為這中間加入了網路虛擬化、存儲虛擬化、記憶體虛擬化、應用虛擬化、桌面虛擬化、安全虛擬化等等。 也就是說它變成了整個資料中心，在做虛擬化。 今天我告訴各位，VMware也不是做資料中心虛擬化，這個概念也已經過時了，那VMware到底在做什麼？ 如果說前些日子大家去關注VMware剛剛在美國召開的使用者大會，我們VMware 2010，相信大家看到一個很明確的主題，在這次大會上VMware正式發佈的內容。 以前很多人都在用VMware的伺服器，後來我們改名VMware。 今天看到我們發佈vSphere，標誌著VMware在雲計算方面的產品正式落地，同時上周我們在歐洲的使用者大會上，VMware又正式發佈了vSphere 4.20。 這兩個重要的發佈意味著我們雲不是一直飄在天上，要落地了一旦要落地，我們就引出今天的話題，如果說前幾年大家一直在說雲在天上，這個雲下到地上，變成雨之後，長成什麼樣子，大家會有各種各樣的想法， 這些想法就造成我們今天根本就沒有方向。但是今天這兩個對於雲計算重要的發佈，已經讓我們雲計算真正可以落地，有現成的產品，我相信如果說我們回過去20年的時候，大家都會覺得互聯網是一個很神秘的東西，但是說互聯網會帶來什麼樣的影響，沒人知道。 大家只是覺得我們有很多的東西要往這個方向去走。 但是今天我們已經到了另外一個時點，就是雲計算。 這個時點就是雲計算真正落地之後，我們架構的一些挑戰。 我們今天開始正式看我們整個架構的挑戰，在這個架構上，我們怎麼樣把我們安全的東西加到這個平臺，讓我們構建一個安全的私有雲，或者公有雲。 我們分成幾個階段去看，我們去看今天我們的資料中心或者這樣一個虛擬的雲計算的平臺到底有什麼樣的挑戰，我們如果用傳統的安全架構去做，我們還有一些什麼樣的漏洞，或者有一些什麼樣的差距，我們要去彌補，來確保我們上到雲計算的時候， 我們在安全體系上沒有任何的問題。 在這裡討論很多可能都是面向于體系結構的角度，可能不是加密、解密等等某一個元件角度怎麼樣去看。 我們去構建整個安全的架構，然後在雲計算這個平臺上，同時我們也會看一下混合雲的平臺下如何解決安全的問題。 比如這是一個企業級的虛擬的雲計算中心，或者我們叫做內部雲。 今天很多人都聽到內部雲、外部雲、混合雲，或者說內部雲和外部雲之間如何協同的問題，這不是我們今天討論的主題，但是我們會想到今天雲計算的第一步，對於企業的資料中心來說，大家想到就是怎麼變成內部雲。 從今天或者說從前些年大家一直在提的概念，（NGDC），到今天大家基本上又把這個概念OUT了，然後變成內部雲這個概念，我們要想完成這個華麗的轉身，其中從安全的架構商來說，我們有誰挑戰，比如我們看到有各種各樣的安全的設備， 無論從防火牆，從VPN等等，IDS、IPS一些防禦機制，這些事情逐漸堆積在我們整個雲計算或者企業資料中心當中，同時我們傳統都是煙囪式的管理機制，每一個部分可能都沒有很好的實現均衡，我們也建了越來越多的VLAN， 如果說隨著雲規模逐漸擴大，整個架構變得越來越複雜，我們在VLAN建設上可能也會窮盡我們所能設計的VLAN數量，導致我們最後設不下去，同時我們所有建制的這些安全傳統的策略都是靜態的。 所謂靜態的，我們怎麼樣跟著虛擬機器或者我們雲架構上的動態資源調度，能夠確保安全跟著動態變化。 如果這些安全結構和體系不能夠給雲計算動態的調整和優化做好很好的整合的話，那麼安全就帶來了巨大的挑戰，可能會限制很多資源就無法調度。 在這裡可能又回到傳統的模式。 當然我們也看到其他一些挑戰，跟雲結合的時候一系列的挑戰，我們傳統都沒有考慮這些動態的因素，資源可以調度來調度去，虛擬機器可以在不同物理機上通過其他一些機制進行漂移，漂移走了之後，連接物理的埠， 連接防火牆或者一些安全機制都在發生變更，怎麼樣來保證這些有效的連接。 剛才講的是資料中心，另外一塊也不容忽視，就是我們的桌面或者我們的終端。 有很多人都會說資料中心是我們今天要重點關注的，桌面，有專門做IT的人去管。 實際上我們走到雲計算階段的時候，大家千萬不要忽略了桌面。 我們在桌面上可以發生各種各樣的問題。 我不知道大家有沒有去關注，前一段時間，比如我們都知道一個事件，肯德基的"秒殺門"，是怎麼導致的。 另外在歐洲一個事件，滙豐銀行發生了9.7萬個客戶資訊的洩露，這意味著什麼？ 這意味著要有很多的罰款，要有很多形象的損失等等一系列問題。 大家想想這些都是駭客攻擊到你的資料中心，把這些資料給拿走的嗎？ 真的是有人跑到你的資料中心把你的門撬開，把裡面的磁片搬走的嗎？ 我們說可能那個磁片搬走也沒有用。 剛才陳教授講的時候，裡面也有各種資料的加密，我搬走這個資料也沒有用，也解不開，但為什麼這些資料輕輕鬆松洩露到市場上去了？ 到底誰幹的？ 到底我們的問題何在？ 實際上不是資料中心的保安問題，也不是資料中心設置一些防火牆或者防入侵等等系統有問題，而是我們的桌面有問題，我們的人有問題。 這是最最重要的，最最關鍵的，無論怎麼樣加密，無論這個系統再怎麼樣安全，總歸有幾個人，甚至幾十個人，能夠去訪問這些資料。 如果你要訪問這些資料的時候，這些人會不會把這個資料挪作他用，那怎麼辦。 這實際上就是我們今天很多時候講到桌面雲的概念，桌面建資料中心的時候，千萬不要覺得它不重要，建雲的時候，千萬要覺得這一塊也是整個安全架構最薄弱環節，也應該把它考慮進來，應該形成桌面雲。 作為桌面雲，給我們企業級的資料中心，或者虛擬資料中心有同樣的問題，當然我們也有很多不同的一些問題，比如說我們桌面這一塊要裝各種各樣的軟體，要裝安全防護，今天防病毒，明天防入侵，不斷往裡面加很多的東西，一旦形成桌面雲， 就是想桌面應該是放在資料中心的，前面盡可能是一種安全的訪問架構，這種安全的訪問架構意味著前臺的東西就變成了類似于受客戶機一切軟體裝到你的傳統筆記本、桌上型電腦上，然後直接存取後臺，盡可能不讓你前臺能夠拿到這些資料，你可以看， 但是你沒辦法把它拷走，把它複製，然後把它刻成光碟，把它從網路上傳走，等等都不可以做。 但是你一旦做成這些架構之後，比如早晨上班，所有員工登陸這些系統，所有機器開始幾點鐘指定做病毒掃描，會不會造成整個桌面的災難。 這些方面怎麼解決？ 如果我們還是在玩傳統員警抓小偷的遊戲，那我們今天的社會治安肯定就會變得更為糟糕。 1 2 3 4 下一頁>>查看全文 內容導航第 1 頁：VMware發展的方向 第 2 頁：讓IT變成產業化 第 3 頁：私有雲安全構架 第 4 頁：提問環節 原文：RSA中國大會張振倫：私有雲安全構架概覽(1) 返回網路安全首頁