“剑指”云时代安全三大“软肋”

　　——H3C打造全面、高效、智能的安全解决方案

　　随着云计算时代的到来，更多企业会选择将自己的业务和基础IT设施向云平台迁移。虽然云计算在IT界炙手可热，但在云计算推广或部署过程中，无论是对使用云服务的用户，还是对云服务提供者，安全威胁却一直存在。素有云计算鼻祖之称的亚马逊(Amazon)云计算业务自开通以来，已发生两次严重事故，最近2011年8月份的一次瘫痪，影响的业务涉及社交网站、在线视频网站、图片共享网站以及数百万用户。虽然云计算服务很快恢复正常运营，但还是令人对云计算产生了诸多疑虑，业内很多人戏称云计算看上去很美，安全威胁变成了云计算的“梦魇”。

　　由此看来，要让云计算带来的IT美好愿景落地，必须要解决安全这一弱点。对用户来说，他们担心云服务提供者云中的数据是否安全;对于云服务提供者来说，则是如何保证云中的数据不受威胁。不过，在云计算时代，用户面临的安全威胁与传统的网络有着不同的重点。对无论是对云计算方案提供商，还是传统安全厂商，都必将进入新一轮的安全技术革新中。

　　作为IP领域的领导者，H3C公司敏锐地注意到了云计算对网络安全应用需求带来的新变化。在其尤其推出的NGIP新一代互联网(Next Generation Internet Protocol，NGIP)解决方案中，H3C围绕着如何保证NGIP安全问题进行了重点规划与深度思考。

　　H3C新一代互联网解决方案主要包含了云联网、基础承载网络以及物联网三个部分。在这三个层面，其安全的“软肋”也各有不同。围绕这三大不同安全焦点，H3C“修炼”了“全面、高效、智能”的“心法”，有针对性地设定了相应的“绝招”。

　　弥补虚拟化“破绽”，防护云联安全

　　云联，顾名思义指的是云计算的网络连接，其中最有代表性、应用得最多的技术就是虚拟化技术。而虚拟化应用带来的安全新问题也成为了云联网面临的最大挑战。

　　虚拟化的安全“破绽”主要体现在三个方面。首先是针对虚拟化软件的漏洞攻击威胁，严重时将导致服务器无法使用，CVE组织也在陆续公布一些虚拟化软件的漏洞，这一类的漏洞未来会成为黑客主攻的方向;其次是物理服务器虚拟化以后，虚拟机之间如何做访问控制的问题;第三则是多租户情况下，数据中心中安全设备虚拟化要求，由于不同租户的安全策略不一定一致，在共用安全设备时，就必须能够进行分割，将一台设备虚拟成多台设备，从而满足不同用户的需求。

　　那么如何全面地解决这些“破绽”呢?H3C认为，针对虚拟化软件的漏洞，通过网络设备+防火墙+入侵防御系统建立起L2-7层立体防御，增加针对虚拟化漏洞的特征库研究，来满足在云计算环境下服务器自身的威胁防范，来有效抵御安全风险。

　　对于虚拟机访问控制的问题，HP提出的VEPA协议则派上了用场。通过VEPA协议，可以将虚拟机内部的数据流量通过安全设备进行各种安全防护，从而实现解决服务器内部VM之间的二层交换流量的安全访问和攻击检测问题。

　　而在安全设备虚拟化方面，H3C已经实现了全方位的端到端的产品虚拟化，包括一台设备虚拟成N多台，或者根据虚拟需求实现N：1的收敛要求，从而在云中与网络一起，形成端到端的虚拟通道。从而实现关键特性的多实例配置，比如防火墙的NAT多实例、支持独立的安全域划分和策略配置;实现基于虚拟设备资源划分，比如负载均衡设备的最大虚服务(实服务)个数等;实现每个虚拟设备具备独立的管理员权限，可以随时监控、调整策略的配置实现情况;且多个虚拟设备的管理员同时操作。

　　“唯快不破”，基础承载网安全“秘诀”

　　在中华武学中有一个重要原则，就是“千破万破，唯快不破”，核心意思就是速度是克敌的制胜法宝。对于基础承载网络来说，云计算应用安全防护的性能是否足够“快”，则是问题的焦点。

　　基础承载网负责的是云计算数据中心和用户终端的互联，其特点就是透明传输，所强调的就是性能无收敛，没有延迟，没有丢包。这对安全设备提出的要求就是“高效”，在园区网中，安全设备性能要满足与网络相匹配的性能，满足10G、40G、100G的传输性能需求。在广域网应用中，要通过应用交付实现应用的加速。

　　针对基础承载网的安全焦点，H3C是通过安全IRF技术来解决的。这种弹性扩展技术，可根据业务发展需要，轻松地实现系统扩容。一方面，可以做大性能的扩容，目前H3C第三代安全板卡的单卡性能为20G，通过IRF技术可以虚拟为800G的高性能设备，完全可以满足未来在云计算环境下40G和100G以太网标准的性能处理要求。

　　另一方面，通过安全和网络设备高度融合，还可以实现安全功能的扩充。用户可以随着业务发展需要，灵活地增加防火墙、入侵防御、流量监管、负载均衡等各种安全功能。这也是高效网络安全很重要的一点。