迈克菲郑林：携手运营商共筑云安全系统

　　8月31日，中国电信正式对外发布天翼云计算战略、品牌及解决方案，计划于明年正式推出云主机、云存储等系列天翼云计算产品。实际上，三大运营商都在云计算领域进行大手笔布局，这势必会推动整个云计算产业的发展。

　　然而，企业用户对云计算的安全防护依然心存怀疑，运营商也认为安全防护是推广云计算业务的关键。今年是云计算应用年，北京通信展也将云计算作为展会重要主题之一。在这样的时机下，《通信世界周刊》对话了专业安全厂商迈克菲(McAfee)公司中国区技术总监郑林，就“云化”数据中心所面临的安全新威胁以及防护等话题进行了深入探讨。

　　IDC面临“云化”新安全挑战

　　《通信世界周刊》：运营商IDC分为网络层和业务层，传统上IDC这两个方面面临着哪些安全风险?

　　郑林：网络层的安全风险主要包括：DoS/DDoS攻击、来自外部的网络攻击行为、各种僵尸/蠕虫/木马等恶意代码的侵害等。业务层的安全风险主要包括针对Web/DNS/FTP/数据库等服务器的应用层攻击、数据泄漏、身份和访问控制风险等。

　　《通信世界周刊》：就您了解，相比传统IDC，从网络与业务方面看“云”化的IDC将面临哪些不同的安全威胁?会出现哪些新的挑战?

　　郑林：从从网络层看，“云化”数据中心主要有三个挑战。一是数据中心规模越来越大，带宽越来越大，承载的业务差异化增加，重要性也越来越高，这让数据中心从外到内的的安全检测和防御需求进一步提高。二是数据中心内部通信在迅速增多。随着虚拟化等技术的应用以及数据中心网络层的扁平化趋势，内部通信量增加，并且同时需要考虑IDC内部网络的强化安全隔离。三是云化数据中心不仅需要保证不遭受外部攻击，还要保证不被黑客利用其云资源，去攻击内部其他用户和外部其他网络，即划清“边界责任”问题。

　　从业务层看，数据中心“云化”会带来主要两个问题。一是数据泄露的威胁更大。由于数据中心存放着较多用户的数据资源，如出现数据泄露，不再是传统的单个用户或者单个企业的损失，可能危及较多用户。二是“云池”中用户数据的审计难度加大。传统上数据中心业务单一，用户单一，现在用户数据需要数据中心管理者实时监控其被访问情况，确保其在安全使用。

　　协力构建云安全防护系统

　　《通信世界周刊》：云计算发展背景下，从业务层面看，运营商该如何应对上述IDC新挑战?

　　郑林：业务层的安全防护应该从网络、操作系统、虚拟化技术、数据库以及身份认证等几个方面入手。通过综合采用多宿主环境下的高速网络入侵检测和防护、动态白名单、虚拟化安全、数据库安全等多方案，并对云应用下的数据和身份信息交互预留相关安全互联和审计接口，形成综合的安全防护系统。

　　《通信世界周刊》：运营商亟需构建合适的“云化”IDC安全系统，在选择合作伙伴和方案方面该关注哪些环节?

　　郑林：在我看来，建议运营商首先选择具有丰富的云安全系统建设经验的国际化专业的安全厂商。IDC作为电信行业对外的服务窗口，对SLA以及安全防护级别要求非常高。而IDC的防护发展趋势是选择与有成熟云安全技术和虚拟化技术的安全厂商进行合作。这使得运营商在选择安全合作伙伴时，尽量选择具有相关领域经验的、国际化领先的专业安全厂商。

　　此外，运营商需要在设计方案时预先充分考虑到虚拟化技术对安全带来的影响，并且采取支持虚拟化技术的网络和系统安全防护解决方案。

　　最后，通过与专业安全厂商合作，运营商可以实现基于SaaS的云安全防护平台，通过提供SaaS的云安全防护服务，运营商IDC能够以很小的代价和资源消耗为用户提供领先、丰富的安全增值服务，实现最佳投资回报的建设目标。

　　提供差异化云增值服务

　　《通信世界周刊》：目前安全因素对云计算发展有哪些影响?迈克菲与国内三大运营商在IDC的云安全方面合作进展如何?

　　郑林：当前私有云发展更快，基于公有云的“虚拟私有云”也成为一种发展趋势。国内运营商提供云安全增值服务则刚起步。我们与国内三大运营商在安全防护方面一直合作紧密，其中一个重要方向就是虚拟化技术应用方面的合作。我们还参与到运营商数据中心安全防护规范的制定中。对于云计算安全，我们和运营商之间一直有较多的沟通与交流。

　　《通信世界周刊》：迈克菲是专业的安全厂商，已经推出了GTI云安全系统，从云安全整体看，您认为在理解电信客户需求方面，迈克菲公司有哪些优势?

　　郑林：迈克菲作为全球最大的专业安全厂商，不仅仅在保护云计算环境方面具有丰富的经验，而且还与大量电信运营商合作推出了以用户为导向的差异化安全增值服务。迈克菲能够帮助运营商IDC安全资源优化达到最佳，实现高效、可靠的安全防护体系。

　　《通信世界周刊》：迈克菲与国外运营商在云安全防护方面，合作进展如何?

　　郑林：目前我们的云安全增值服务解决方案在全球应用非常广泛，客户包括BT、Verizon、at&t、PAETEC、ntt docomo、IIJ等国外运营商，合作包括托管安全服务、入侵防御、Web和邮件安全等Clean Pipe类型的安全增值服务等等。近期，我们在亚洲市场进展快速，如马来西亚、日本、新加坡等国家，在中国也在和相关运营商和合作伙伴推出或试点相关云安全增值服务。