本刊記者 | 黃海峰

云計算在引發(fā)眾多新威脅的同時，也給市場帶來新的彎道超車機(jī)遇，這將促使安全產(chǎn)業(yè)鏈企業(yè)積極發(fā)力云安全防護(hù)。

面對云時代安全新威脅，云數(shù)據(jù)中心運(yùn)營者需要聯(lián)合安全企業(yè)共同努力，搭建可信賴的云生態(tài)環(huán)境，為云計算用戶和高層管理人士提高信心。另一方面，只有持續(xù)關(guān)注并進(jìn)行云安全實踐的企業(yè)才能在云時期獲得成功。就電信領(lǐng)域云計算中心安全防護(hù)問題，《通信世界》邀請四家安全專業(yè)廠商分享其2013年實踐經(jīng)驗。

山石網(wǎng)科：提供FWaaS方案實現(xiàn)云業(yè)務(wù)隔離

傳統(tǒng)數(shù)據(jù)中心有清晰的物理邊界，如果用戶需要對自己的物理主機(jī)進(jìn)行安全防護(hù)，可以自行在自己的服務(wù)器前部署防火墻等網(wǎng)絡(luò)安全設(shè)備。而云計算數(shù)據(jù)中心提供的是虛擬主機(jī)租賃服務(wù)，物理邊界消失，租戶已經(jīng)不是物理設(shè)備的擁有者，無法再部署物理網(wǎng)絡(luò)安全設(shè)備。

因此，山石網(wǎng)科電信安全專家譚 儀表示，像虛擬主機(jī)租賃服務(wù)一樣，云計算數(shù)據(jù)中心也需要為租戶提供FWaaS（Firewall as a Service）解決方案來實現(xiàn)租戶的安全防護(hù)和不同租戶間或同一租戶不同業(yè)務(wù)間的隔離。

此外，采用服務(wù)器虛擬化技術(shù)后，數(shù)據(jù)中心內(nèi)承載各種業(yè)務(wù)的虛擬機(jī)越來越多，使得數(shù)據(jù)中心內(nèi)部不同租戶間或同一租戶不同業(yè)務(wù)間的互訪（東西向）的流量越來越大，甚至東西向的流量超過了南北向流量的帶寬，這對數(shù)據(jù)中心內(nèi)部業(yè)務(wù)隔離防火墻的性能提出更高的要求。

為此，Hillstone數(shù)據(jù)中心防火墻設(shè)備采用了“多核+分布式”硬件模塊化架構(gòu)，并與新一代分布式軟件架構(gòu)配合，最大限度的發(fā)揮了多核處理器的能力，使整機(jī)性能得到前所未有的提升。Hillstone數(shù)據(jù)中心防火墻設(shè)備整機(jī)最大吞吐量為360Gbit/s，每秒新建連接數(shù)達(dá)240萬，并發(fā)會話連接數(shù)最大可達(dá)1．2億，提供高達(dá)1000個虛擬墻數(shù)量，完全能夠滿足大型數(shù)據(jù)中心的業(yè)務(wù)需求。

“我們已經(jīng)參與了包括上海電信金融云項目、Trystack(openstack在中國社區(qū))私有云安全項目等解決了上述的南北向、東西向流量的安全防護(hù)問題。”譚 儀表示。

東軟：打造虛擬網(wǎng)管與云管理平臺

在云數(shù)據(jù)中心環(huán)境中需要部署很多應(yīng)用系統(tǒng)，各個虛擬機(jī)及應(yīng)用系統(tǒng)之間的安全防護(hù)和訪問控制帶來了很多新的安全威脅與挑戰(zhàn)：因為傳統(tǒng)硬件安全設(shè)備只能部署于物理邊界，無法對同一物理計算機(jī)上的虛擬機(jī)之間的通信進(jìn)行細(xì)粒度訪問控制。東軟網(wǎng)絡(luò)安全解決方案部部長徐松泉告訴記者，東軟針對云數(shù)據(jù)中心的虛擬機(jī)安全防護(hù)需求，推出了云安全網(wǎng)關(guān)NISG-VA系列產(chǎn)品，可有效增強(qiáng)虛擬環(huán)境內(nèi)部虛擬機(jī)流量的可視性和可控性，為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護(hù)。

由于安全管理人員管理的系統(tǒng)越來越龐大，雖然有眾多安全設(shè)備和安全手段做支撐，但安全管理人員的配備不會隨著信息系統(tǒng)的擴(kuò)容而成比例增長，所以安全管理人員并沒有足夠的精力去分析那些海量的安全告警日志，導(dǎo)致一些安全隱患時刻存在于運(yùn)營商信息系統(tǒng)中。

另外，運(yùn)營商公眾服務(wù)云平臺要向用戶提供一個安全的運(yùn)行環(huán)境，這個安全環(huán)境不僅包括系統(tǒng)安全、網(wǎng)絡(luò)安全、業(yè)務(wù)安全、數(shù)據(jù)安全和內(nèi)容安全，還有運(yùn)維管理安全。

對此，東軟為運(yùn)營商打造了NetEye SOC方案, 從云計算中心業(yè)務(wù)出發(fā)，通過業(yè)務(wù)需求分析等多個環(huán)節(jié)，實現(xiàn)一體化安全體系的目標(biāo)。徐松泉介紹，該方案可以為信息共享和數(shù)據(jù)交換提供數(shù)據(jù)基礎(chǔ)，使得技術(shù)人員快速的從海量數(shù)據(jù)中獲取有價值的信息，并實時監(jiān)控每個安全事件的發(fā)生狀態(tài)、處理過程和最終結(jié)果，是響應(yīng)安全事件的跟蹤器。

瑞星：發(fā)布首款國產(chǎn)虛擬化安全產(chǎn)品

云計算及虛擬化技術(shù)憑借高效的資源利用、智能的管理模式以及強(qiáng)大便捷的移動辦公能力，獲得眾多企事業(yè)單位的青睞，并在電信等行業(yè)迅速普及，可以預(yù)見，用虛擬化系統(tǒng)支持企業(yè)辦公，將是未來的大趨勢。瑞星副總裁張雨牧表示，虛擬化技術(shù)將是未來企業(yè)辦公的發(fā)展方向，同時也將在各行各業(yè)起到推動作用。

瑞星方面介紹，虛擬化系統(tǒng)本身具有資源、數(shù)據(jù)、服務(wù)高度集中的特點(diǎn)，這就使得系統(tǒng)的可靠性、服務(wù)的持續(xù)性、數(shù)據(jù)的安全性及網(wǎng)絡(luò)的穩(wěn)定性成為影響整個系統(tǒng)運(yùn)行的關(guān)鍵性因素，一旦其中任何一個環(huán)節(jié)出現(xiàn)問題，虛擬化系統(tǒng)就面臨嚴(yán)重的安全風(fēng)險。

10月15日，瑞星推出了虛擬化系統(tǒng)安全軟件。該款產(chǎn)品的問世為整個行業(yè)帶來了巨大的震動，它填補(bǔ)了國內(nèi)信息安全市場的空白，是國內(nèi)問鼎虛擬化信息安全技術(shù)巔峰的產(chǎn)品。 據(jù)介紹，該新品是以瑞星多年的信息安全經(jīng)驗為基礎(chǔ)，結(jié)合VMware強(qiáng)大的虛擬化技術(shù)，針對未來信息安全模式所研發(fā)的一套全新安全解決方案。該產(chǎn)品是國內(nèi)首個自主研發(fā)的虛擬化系統(tǒng)信息安全解決方案，采用業(yè)界先進(jìn)的無代理模式，并實現(xiàn)了虛擬網(wǎng)絡(luò)病毒掃描的零安全風(fēng)暴。

趨勢科技：助江蘇移動構(gòu)建全新預(yù)警系統(tǒng)

在運(yùn)營商大型或者超大型網(wǎng)絡(luò)中，必然存在著一些安全威脅讓IT運(yùn)維部門防不勝防，要在動態(tài)變化中找到這些威脅來源絕非易事，這就如同“大海撈針”。除了保護(hù)云數(shù)據(jù)中心，廠商還可以合理利用云方案來解決這些安全問題。

如江蘇移動呼叫中心網(wǎng)絡(luò)終端和服務(wù)器數(shù)量巨大，購置了IDS 系統(tǒng)來應(yīng)對辦公網(wǎng)病毒和內(nèi)網(wǎng)交叉感染的問題，但傳統(tǒng)的IDS對于電信行業(yè)大型的網(wǎng)絡(luò)明顯力不從心，IDS的誤報和漏報問題開始顯現(xiàn)出來。據(jù)趨勢科技方面介紹，在全面提高用戶體驗感的同時，為全面消除異常流量和應(yīng)用層漏洞，江蘇移動最終選擇趨勢科技威脅發(fā)現(xiàn)設(shè)備TDA 6000，通過云安全技術(shù)，從網(wǎng)絡(luò)安全評估和主動安全運(yùn)維兩大方面解決用戶安全管理中的兩大難題。

據(jù)介紹，該產(chǎn)品通過全網(wǎng)監(jiān)控和定位2～7層的網(wǎng)絡(luò)可疑活動，將威脅消滅在萌芽狀態(tài)，大幅降低了日常安全管理的壓力。尤其是對電信企業(yè)這種大型網(wǎng)絡(luò)而言，能自動形成映射全公司安全形勢的總體視圖，通過集中管理界面幫助企業(yè)應(yīng)對緊急事件響應(yīng)，并能在更詳細(xì)的交互式報表中形成更加顆粒化的補(bǔ)救措施和改進(jìn)建議。