雲計算環境下的傳統安全產品虛擬化

【51CTO.com綜合報導】傳統的IT建設，使用者需要自己採購硬體設備、作業系統，購買或開發自己的業務系統，並投入大量的維護成本。 考慮到業務的擴展和暫態的使用高峰，每個系統的計算、存儲能力必須有一定的冗余，這就意味著大部分時候冗余的資源都被浪費。 然而當業務爆發式增長時， IT設施由由於建設週期的制約，又無法立即滿足需要。 雲計算的出現，將徹底解決這些問題。 雲計算通過網路將大量的計算和存儲資源連接起來，進行統一的管理和調度，按需提供服務。 消費者只需要通過網路訪問就可以來獲取存儲空間、計算能力或應用系統。 根據NIST的定義，雲計算的基本特徵有：按需自服務、廣泛的網路接入、資源池、快速彈性、可測量的服務。 三種服務模式，分別為基礎設施即服務（IaaS），平臺即服務（PaaS）和軟體即服務（SaaS）。 相對於傳統的IT建設模式，業務擁有者無需再搭建自己的IT系統，只需要成為雲計算的租戶，就可獲得靈活的擴充性，還能免除了繁瑣的系統維護工作。 由於這種模式下只需要為已經使用的資源付費，因而極大提高了IT建設的投資回報率。 然而雲計算卻對網路安全提出了嚴重的挑戰。 從雲計算租戶的角度來看，網路、設備、應用、資料都不在自己的控制之下，甚至都不知道具體的物理位置，如何保障資料安全和業務連續性顯然就成了最大的挑戰。 以至於思科CEO錢伯斯驚呼「這將是一個安全噩夢」。 從雲供應商的角度來看，傳統模式下的網路安全需求並沒有什麼變化，無論從資訊安全的保密性、完整性、可用性，還是根據網路層次劃分的從實體層到應用層安全，仍然是需要解決的問題。 傳統模式下的網路安全解決方案中，最重要的一點就是建立網路邊界，區分信任域和非信任域，然後在網路邊界進行存取控制和安全防禦。 而雲計算資源池與Internet之間仍然是有邊界的，在資源池內部由於管理的需要，也會有不同域的劃分，從而形成內部邊界。 這意味著傳統的網路安全產品能繼續發揮其作用。 那麼是否傳統的網路安全產品是否就能充分滿足雲計算環境下的安全需求呢？ 傳統IT建設中業務擁有者就是平臺擁有者、從而也是安全責任人。 《電腦資訊網路國際聯網安全保護管理辦法》第十條也明確規定各單位負責本網路的安全責任，確立「誰主管、誰負責，誰運營、誰負責」的原則。 雲計算及虛擬化的應用，業務擁有者僅僅只是雲計算的租戶，並不是平臺擁有者，從而改變了這種安全責任關係。 在不同的服務模式下，業務擁有者的安全責任也有所不同：在SaaS模式，業務擁有者基本上依賴服務提供著來保證網路安全；而PaaS或IaaS模式，業務所有需要對安全進行監控和管理，但把物理安全等留給雲計算服務提供者。 這樣的安全責任變化勢必要求雲計算服務提供者和雲租戶需要不同的安全視圖。 對於雲租戶來說只需要關心自己的資料安全和業務連續性，不論實際的物理伺服器是處在地球的哪個角落。 而對於雲服務提供者來說，既需要關注每台伺服器、每個網路的安全，也需要關注重點租戶的安全狀態。 網路安全產品如何滿足這些靈活的管理需求？ 答案就是虛擬化。 安全產品的虛擬化將為雲服務提供者和雲使用者提供靈活的、可擴展的安全防護。 我們來進一步分析不同的應用場景下傳統安全產品的虛擬化需求。 應用場景一：在SaaS的情況下，雲計算服務提供者為租戶建立了資源池，通過物理線路連接到Internet上。 雲計算服務提供者需要在Internet的出入口進行安全監控和管理，因此部署了FW/UTM、IDS、審計等安全設備，這些設備能監控資源池中所有的伺服器和設備對外的流量。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' height="282" alt="" src="HTTP://images.51cto.com/ files/uploadimg/20111024/1547240.jpg" width="586" border="0" />由於統一資源池流量都經過同一台安全設備，而不同的租戶可能對安全的要求並不相同， 這就意味著要求安全設備能為不同的租戶提供不同的安全性原則，而區分不同的租戶不能僅僅依靠物理埠，而必須使用IP位址、Vlan等標識，而產生的日誌還需要根據不同的使用者進行過濾和篩選。 這就要求安全設備從功能層面能具備虛擬裝置的能力，即可以把安全設備上的虛擬裝置與使用者的資源池對應起來。 應用場景二：隨著雲計算租戶對服務能力需求的增加，同一個雲計算租戶使用的伺服器已經不在同一個資源池中，甚至不在同一個地理位置，即同一個雲計算租戶的流量會經過多個安全設備。 在這個應用場景中，就要求能對不同物理安全設備上的虛擬裝置進行統一管理，並能把多個虛擬裝置綁定為一個邏輯裝置。 應用場景三：在PaaS或IaaS情況下，除了雲計算服務提供者對安全繼續監控外，雲計算租戶也需要對自己的安全狀態進行監控。 也就是說安全設備的消費者除了雲服務提供者外，還有雲計算租戶。 這種情況下，安全設備上除了具備有虛擬引擎的功能外，還必須可以為雲計算租戶來建立帳戶，並指定一個或多個虛擬裝置進行管理。 通過對以上不同場景的分析可以看出，不同的安全形色有自己的安全需求，在不同的服務模式下、不同的資源規模情況下，同一個安全形色對安全產品的需求也不同。 其中場景一和場景二分析了雲計算中心的網路邊界上對安全產品的需求，場景三分析了雲計算租戶和服務提供者的不同需求。 這些需求可以通過傳統安全產品增加虛擬化能力來得到滿足。 雲計算的出現，對傳統網路安全理念提出了挑戰。 啟明星辰認為，必須主動迎接新的變化，積極思索，不斷創新，才能為使用者的業務保駕護航，為安全業界做出貢獻。 【責任編輯：守望幸福 TEL：（010）68476606】 原文：雲計算環境下的傳統安全產品虛擬化 返回網路安全首頁