傳統的IT建設，用戶需要自己采購硬件設備、操作系統，購買或開發自己的業務系統，并投入大量的維護成本。考慮到業務的擴展和瞬時的使用高峰，每個系統的計算、存儲能力必須有一定的冗余，這就意味著大部分時候冗余的資源都被浪費。然而當業務爆發式增長時， IT設施由由于建設周期的制約，又無法立即滿足需要。云計算的出現，將徹底解決這些問題。

云計算通過網絡將大量的計算和存儲資源連接起來，進行統一的管理和調度，按需提供服務。使用者只需要通過網絡訪問就可以來獲取存儲空間、計算能力或應用系統。

根據NIST的定義，云計算的基本特征有：按需自服務、廣泛的網絡接入、資源池、快速彈性、可測量的服務。三種服務模式，分別為基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）。

相對于傳統的IT建設模式，業務所有者無需再搭建自己的IT系統，只需要成為云計算的租戶，就可獲得靈活的擴展性，還能免除了繁瑣的系統維護工作。由于這種模式下只需要為已經使用的資源付費，因而極大提高了IT建設的投資回報率。

然而云計算卻對網絡安全提出了嚴重的挑戰。從云計算租戶的角度來看，網絡、設備、應用、數據都不在自己的控制之下，甚至都不知道具體的物理位置，如何保障數據安全和業務連續性顯然就成了最大的挑戰。以至于思科CEO錢伯斯驚呼“這將是一個安全噩夢”。

從云提供商的角度來看，傳統模式下的網絡安全需求并沒有什么變化，無論從信息安全的保密性、完整性、可用性，還是根據網絡層次劃分的從物理層到應用層安全，仍然是需要解決的問題。傳統模式下的網絡安全解決方案中，最重要的一點就是建立網絡邊界，區分信任域和非信任域，然后在網絡邊界進行訪問控制和安全防御。而云計算資源池與Internet之間仍然是有邊界的，在資源池內部由于管理的需要，也會有不同域的劃分，從而形成內部邊界。這意味著傳統的網絡安全產品能繼續發揮其作用。

那么是否傳統的網絡安全產品是否就能充分滿足云計算環境下的安全需求呢？

傳統IT建設中業務所有者就是平臺所有者、從而也是安全責任人。《計算機信息網絡國際聯網安全保護管理辦法》第十條也明確規定各單位負責本網絡的安全責任，確立“誰主管、誰負責，誰運營、誰負責”的原則。云計算及虛擬化的應用，業務所有者僅僅只是云計算的租戶，并不是平臺所有者，從而改變了這種安全責任關系。在不同的服務模式下，業務所有者的安全責任也有所不同：在SaaS模式，業務所有者基本上依賴服務提供著來保證網絡安全；而PaaS或IaaS模式，業務所有需要對安全進行監控和管理，但把物理安全等留給云計算服務提供商。

這樣的安全責任變化勢必要求云計算服務提供商和云租戶需要不同的安全視圖。對于云租戶來說只需要關心自己的數據安全和業務連續性，不論實際的物理服務器是處在地球的哪個角落。而對于云服務提供商來說，既需要關注每臺服務器、每個網絡的安全，也需要關注重點租戶的安全狀態。

網絡安全產品如何滿足這些靈活的管理需求？答案就是虛擬化。安全產品的虛擬化將為云服務提供商和云用戶提供靈活的、可擴展的安全防護。

我們來進一步分析不同的應用場景下傳統安全產品的虛擬化需求。

應用場景一：

在SaaS的情況下，云計算服務提供商為租戶建立了資源池，通過物理線路連接到Internet上。云計算服務提供商需要在Internet的出入口進行安全監控和管理，因此部署了FW/UTM、IDS、審計等安全設備，這些設備能監控資源池中所有的服務器和設備對外的流量。

由于統一資源池流量都經過同一臺安全設備，而不同的租戶可能對安全的要求并不相同，這就意味著要求安全設備能為不同的租戶提供不同的安全策略，而區分不同的租戶不能僅僅依靠物理端口，而必須使用IP地址、Vlan等標識，而產生的日志還需要根據不同的用戶進行過濾和篩選。這就要求安全設備從功能層面能具備虛擬設備的能力，即可以把安全設備上的虛擬設備與用戶的資源池對應起來。

應用場景二：

隨著云計算租戶對服務能力需求的增加，同一個云計算租戶使用的服務器已經不在同一個資源池中，甚至不在同一個地理位置，即同一個云計算租戶的流量會經過多個安全設備。

在這個應用場景中，就要求能對不同物理安全設備上的虛擬設備進行統一管理，并能把多個虛擬設備綁定為一個邏輯設備。

應用場景三：

在PaaS或IaaS情況下，除了云計算服務提供商對安全繼續監控外，云計算租戶也需要對自己的安全狀態進行監控。也就是說安全設備的使用者除了云服務提供商外，還有云計算租戶。

這種情況下，安全設備上除了具備有虛擬引擎的功能外，還必須可以為云計算租戶來建立賬戶，并指定一個或多個虛擬設備進行管理。

通過對以上不同場景的分析可以看出，不同的安全角色有自己的安全需求，在不同的服務模式下、不同的資源規模情況下，同一個安全角色對安全產品的需求也不同。其中場景一和場景二分析了云計算中心的網絡邊界上對安全產品的需求，場景三分析了云計算租戶和服務提供商的不同需求。這些需求可以通過傳統安全產品增加虛擬化能力來得到滿足。

云計算的出現，對傳統網絡安全理念提出了挑戰。啟明星辰認為，必須主動迎接新的變化，積極思索，不斷創新，才能為用戶的業務保駕護航，為安全業界做出貢獻。

原文鏈接：http://netsecurity.51cto.com/art/201110/298891.htm