科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全中华电信刘顺德:云数据中心亟需消除虚拟环境安全疑虑

中华电信刘顺德:云数据中心亟需消除虚拟环境安全疑虑

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

以虚拟化为基础的云环境继承了所有以前所面临的信息安全问题。数据中心向虚拟化、云化的演进过程中,安全要兼具传统与新兴云防御机制,并需要全自动的企业信息安全政策监控机制。中华电信提供虚拟与云环境所需的安全性,正努力消除这些环境特有的安全疑虑。

作者:陈广成 来源:ZDNet安全频道【原创】 2013年8月20日

关键字: 中华电信 数据中心安全 云安全 虚拟化安全 趋势科技

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 08月20日 北京报道: 中华电信是台湾最大的电信运营商,业务涵盖了固网通信、移动通信,以及数据通信三大领域。基于云时代的数据中心规划原则,中华电信除了对环保、节能、可靠因素的考量外,安全也是其重点规划之一。

为此,在中华电信研究院专门成立了数据通信安全研究所,一是建立自主及先进的信息安全防卫技术,二是支持中华电信信息安全防卫。中华电信研究院数据通信安全研究所研究员刘顺德在近日的趋势科技高端CIO峰会上表示,“云计算下数据中心的发展趋势是以更小的主机、更低的电耗、更低的成本,创造更快的计算、更大的存储空间和更高的弹性。Internet数据中心向虚拟化、云化的演进过程中,安全要兼具传统与新兴云防御机制,并需要全自动的企业信息安全政策监控机制。”

中华电信刘顺德:云数据中心亟需消除虚拟环境安全疑虑

中华电信研究院数据通信安全研究所研究员刘顺德

中华电信数据中心基本安全设计

由于台湾位于南太平洋地震带上,为确保数据中心的安全,中华电信所有建筑皆采用SRC钢骨防震结构,可耐震达7级以上。此外,为了避免水灾,数据中心建筑主体的周边皆设计了防水闸门、截水沟等防洪装置。

除了物理层面的安全之外,中华电信当然不会忽视数据中心的冗余设计。比如双套配备,包括两个以上不同区域的变电所供电,另设柴油发电机组提供备用电力;双回路UPS系统;双回路路由。数据冗余,包括磁带备份,连续的数据保护,多点机房数据异地备份等。

刘顺德指出,中华电信在落实机房安全管理时主要是依据中华电信信息安全政策与实施细则,细则每年都在不断完善,从过去的六章增长为现在的九章。例如,在细则中有一项关于机房与设备安全管理,中华电信将机房分为一、二、三级,每个等级都有不同的规范标准。当然,网络安全的基本配备是每个数据中心的必要设计,像防火墙、入侵检测系统、防毒和漏洞扫描的部署等。

云数据中心的信息安全威胁及防护

云服务使用虚拟化技术来共享硬件资源,它如同将数据置于外包供应商。在用户看来是存在很多对云信息安全的担忧的,云数据会不会被窃取,数据有没有加密,是否有其他人可以侧录我的网络数据包,云是否有访问记录,这些面临的不管是数据安全、访问安全、虚拟环境安全还是信息安全监控都是供应商面临的挑战。

刘顺德认为,以虚拟化为基础的云环境继承了所有以前所面临的信息安全问题。但新出现的安全问题集中在虚拟环境上,首先是虚拟平台弱点,虚拟平台如同Windows操作系统,存在安全漏洞时要实时更新;其次是共享资源风险,高级黑客通过申租Guest OS发动Side Attack获取硬件RAM上的数据或直接进入他人的Guest OS;另外是虚拟机器迁移与备份管理,Guest OS迁移到不同的虚拟平台要确保安全政策一致并且严格执行备份管理;还包括了跨虚拟主机攻击,这就需要实施VM安全监控,以VLAN确保VM独立,利益冲突的公司或个人的Guest OS要放在不同的虚拟平台。

刘顺德介绍了中华电信的云安全构建指引与发展方向,包括法规遵循、实体安全与备份、虚拟环境安全、身份认证安全、数据安全、应用程序安全、通信安全和整体信息安全监控与专业团队建设。

中华电信遵循标准法规,确保客户在使用云服务时的各种安全考虑。首先是遵循台湾法规,如果没有则遵循国际标准,例如NIST、ENISA、PCI和ODCA邓。“标准分几个层次,第一是参考,第二是符合,第三是遵循,从而期望营造给客户是一个值得信赖的IDC机房。”刘顺德指出。

客户与云机房通信时,使用中华电信提供的通信安全机制,如SSL、SSL VPN 与hiGate VPN的传输加密通道及安全认证;依ISMS规范创建冗余,机房对外提供服务的网络采用双路由设计,确保云服务不断线;云服务按照标准软件开发生命周期完成,并以 X.509 签名保证其未被篡改。上线后系统以弱点扫描与渗透测试持续保证安全等这些都是中华电信云数据中心的安全构建实践。

刘顺德介绍了中华电信在云数据中心的安全构建上与趋势科技的合作。中华电信通过部署趋势科技Deep Security来保护物理机及虚拟机安全,防止软件漏洞攻击所导致的数据外泄,提供虚拟与云环境所需的安全性,消除这些环境特有的安全疑虑。利用趋势科技SafeSync保证云存储安全,除了SSL外,提供类似S3的加解密API。另外,中华电信针对VM文件管理提供了SafeVM全加密机制,虚拟主机映像文件运行中均自动加解密,即使映像文件被窃取,数据为加密状态而使其无法辨别。

数据中心的构建朝虚拟化前进已是必然,刘顺德指出,虚拟化的信息安全议题应在构建前一并考虑。信息安全防护是一个流程,并没有一次性的解决方案,需要一个持续的维护团队,好的设备是一方面,但有好的专家才能做更好的安全防护。


 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章