趨勢科技張偉欽：資料中心安全是怎麼演化的

12月12日，全球首個探討產業互聯網的大型會議，2014 CVW﹒產業互聯網大會在北京亦莊召開，並通過紐約時代廣場大螢幕同步呈現。 大會由亞信集團、雲基地和亦莊經濟技術開發區聯合舉辦，彙聚超過5000名關注互聯網和傳統產業發展的全球IT和傳統行業領袖和精英，探討「互聯網進入傳統行業」、「傳統行業互聯網化」的演進以及產業互聯網的技術模式和業務創新。

在下午的「網路安全@互聯網」主題論壇上，趨勢科技全球研發大中華區執行總裁張偉欽帶來《演化的資料中心安全》主題演講。

以下是他的演講全文：

張偉欽：各位下午好。 我做安全做了幾年，趨勢早期做防病毒，那時候找一個病毒很難。 因為病毒有時候會有區域性，那時候為了一個病毒還要跑到墨西哥。 我記得那時候大家最經常講，什麼樣的病毒？ 大家講一個人，20多歲，沒有女朋友，就是傻傻的，那時候沒有想到世界會變成這樣。 這20年我自己感觸非常深，從來沒有想到一個網路安全問題，我現在講資料中心的安全。

資料中心，這幾年整個資料中心，有人喜歡用雲計算有人不喜歡，我覺得無所謂。 我覺得這是整個資料中心的演變，從一開始尤其這幾年大家碰到的最大的問題就是所謂的虛擬化這種概念，所以說整個IT環境在變化，趨勢這家公司比較特別，今年是第26年。 26年來經過很多不同波折，所謂的IT變革。 95年的互聯網時代，到今天大家講雲時代。 其實每個IT變革裡面都有一個新的接觸點，新的接觸點對於人有新的好處。 這些新的好處，同樣會被壞人拿來利用。 但是所以說整個變化過程中，不斷是廠商也好客戶也好，這個改變是不是帶來壞的利用？ 你也說，對，帶來一個新的利益。 很多時候大家想新的利益比較容易，我們今天看到傳統的物理機和虛擬機器的概念。 大家如果說，不把這個東西虛擬化。 但是因為沒有跟著架構沒有跟著跑，你說我現在好不容易虛擬機器，幾秒鐘就好。 但是我裝成一個防病毒，反而安全把我拖累了。

你的虛擬機器要擴展，防病毒，有時候變得很慢。 有時候你可以擴充很大，我們用虛擬機器一個很大的原因，就是有一天你說我用公有雲，因為你不想買那麼多機器。 這個過程中你必須考慮各個環境，所以這裡面有些時候，你的防護你要注意它，我們自己認為，當然我們一般看業界。 我們認為我們今天講整個資料中心，我們認為這幾年的整個變化，當然最後一步大概還沒有出現，我覺得現在有些人應該已經慢慢做到第一步。 第一步就是虛擬化，我們只要有一台機器，所有的伺服器上面只用15%，85%在那邊沒有用，為了節能減排我們用到90%，一般大家不可能用90%，但是80%是有可能。 所以一開始的時候我們發現物理伺服器就在那邊，當然這時候有人也做虛擬桌面，但是我覺得虛擬桌面跟資料桌面沒有那麼直接的聯繫。 我這個人事部和研發部，我混在一起用。 因為現在網路情況有變化，我在每個地方都建一個資料中心，我可不可以集中一下，讓它可以分享。 這個分享過程中開始出現所謂的多租戶，這個人是不是我認識的？ 研發部的說你把我的資料跟行政的放在一起，這不對，我的代碼很重要。 這個時候就會出現所謂的多租戶，最後用軟體的方法解決。

這個時候發現虛擬網路、虛擬存儲出來了，這條路看起來阻擋不了，最後變成軟體定義的資料中心。 所有的硬體都是用最標準的硬碟來做，比如X86，所以成本是一個很大的考慮。 從趨勢來說，你所謂的研發中的資料中心，你要考慮在這個時代的變化過程中，你可不可以看到安全的技術，核心技術要改變。 當然第二個要匹配，因為從安全，做安全裡面其實客戶裡面一般都會講到你的成本，我被攻擊的時候我要付出的代價是什麼？ 第二個代價，我管理的成本，以前早期防病毒，這個軟體部署的時候，我讓客戶一台一台裝，有時候客戶沒有更新，後來管理成本變得很多。 我們現在如果說從資料中心有這三樣的變化，安全產品在管理上如何跟它配合？ 這時候趨勢提出四個概念，我們叫四化。

第一個是效率化，傳統安全產品包括我們自己的產品。 其實新的概念就是這樣，我們那時候碰到一個很簡單的概念，我想說好，我們把機器虛擬化。 你可以有十台伺服器，現在只用一台把十台操作，你就不用十台。 這時候有人問，我既然有十台了，有沒有只裝一套防毒軟體，因為傳統的方法裝十套。 防火牆是不是只需要裝一套，或者要不要做路徑檢測？ 這個概念沒有什麼。 但是一開始大家就問，有沒有一個方法？ 那時候趨勢第一個提出這個問題，我們那時候碰到一個願意跟我們合作的虛擬化廠商。 我們那時候變成說，有沒有辦法？ 這個後來業界有一個名字叫無代理安全。 我現在十台物理機，我只要裝一台就好了。 它最大的好處，它本身對於記憶體對於硬碟，你就想想要裝20套防病毒，20套的病毒庫，現在只要一套，從虛擬機器的密度方面，你的掃描也會增快，速度也會變快。 最重要的網路更新，你可能20套要更新20套，現在變成你只要更新一套就可以解決，這是無代理的觀念。

其實這個觀念現在目前，你做虛擬化安全，這是唯一的標準，這個概念真的很好。 第二個你本身要感知，因為我們以前做防病毒，常常碰到一個問題，早期沒有無代理的概念。 經常碰到一個問題，我們客戶用虛擬化，客戶中毒我們幫他查查。 突然找到了，那個機器突然不見了。 其實有一個很大的問題，你說不見了，那時候可能是機器已經關掉了。 因為虛擬機器也可以關，那時候是一個外包人員。 你本身做一個好的資料中心安全，本身跟你的系統要配合，基本上如果說，你的機器，比如說機器走的時候，安全要跟著走。 這個是自動跟著的，你本身做安全的解決方案的時候，它本身跟系統要連接，最主要你不需要花太多時間部署。

下面一個就是軟體化，虛擬機器在這個過程中硬體基本上，因為虛擬裡面有新的安全。 基本網路之間，你考慮虛擬之間的互相攻擊，硬體本身維護成本不會很高，我覺得它的彈性會比較弱。 比較重要一點是說，要把自己安全的解決方案要考慮，它是一個軟體。 因為它比較好，第一個現在一般的軟體化，相當於他用X86就可以，基本相對維護成本比較低。 講到SDN這塊，軟體化在SDN裡面他會自動説明你配置。 資料中心管理成本是一個很高的，現在是客戶最討厭的東西。 裡面傳統上面，我跟你講安全是很寬的，安全本身是一個很寬的，可是安全裡面很多問題需要各個廠商去協調，但是又很難。 很多人在講，因為我們業界有一個產品叫SIEM，我們公司搞那麼久，防病毒才搞懂一點。 很多人說你們講路徑，我說路徑完全不懂。 你要每個東西都懂，不是很容易。 如果說有一個好的平臺，至少讓這些安全產品在上面可以做一些互相交互。

這是VMware的SDN的平臺，叫做NSX，是一個管理平臺，可以讓安全的產品簡化。 但是更重要一點，可以讓安全產品在裡面，大家互相協作。 我覺得協作是一個比較重要的概念，如果每個產品可以協作，還是有它的價值。 效率化、感知化、軟體化和最後一個平臺，趨勢科技我們就是一個產品，當初設計這個產品的時候，我們從物理機一直做，以後公有雲私有雲可以用同一個產品使用。 我們做防火牆不一樣，我們防火牆是主機系統的防火牆，所以基本比較簡單。 我們那時候跟VMware一直合作，VMware平臺是全世界第一個做出來的。 除了做VMware還做什麼？ 我們華為也做，我們大概是全世界所有公司都有的。 華為是絕對百分百的代理，我們也跟一些公有雲，我剛才講那個產品直接買的，你一直用到公有雲沒有問題。 我們跟阿裡、騰訊都有合作。 這是一個市場定位，我們在國內現在有很多客戶。 因為買這個東西，我很多客戶買的，在不同的階段就買，我有一個客戶是運營商，他一開始是為了物理機而買，但是大概90%多的客戶，大部分因為用我們虛擬化以後才開始慢慢用這個產品。 我今天就講到這裡，謝謝各位。

(責任編輯：mengyishan)