在建設云數(shù)據(jù)中心前，多個用戶單位的數(shù)據(jù)中心獨立建設，分別擁有獨立的網(wǎng)絡設備、安全設備和服務器，此時部署的是傳統(tǒng)的網(wǎng)絡安全產(chǎn)品。

圖1 傳統(tǒng)數(shù)據(jù)中心集中化

在云計算時代背景下，數(shù)據(jù)中心需要向集中大規(guī)模共享平臺推進，通過引入服務器虛擬化技術(shù)，提供彈性、按需、自助的部署。數(shù)據(jù)中心的云化，對傳統(tǒng)的安全防護方案和安全產(chǎn)品也提出了新的要求。

筆者將云時代數(shù)據(jù)中心的安全建設劃分成三個階段。

1、傳統(tǒng)安全產(chǎn)品的虛擬化

2、融合到云計算平臺的虛擬機安全設備

3、自主安全可控的云計算平臺

傳統(tǒng)安全產(chǎn)品的虛擬化

在云數(shù)據(jù)中心建設的第一個階段，需要把各種物理硬件建設成資源池，以虛擬化的方式對多個用戶單位提供服務，從而實現(xiàn)云計算數(shù)據(jù)中心的性價比優(yōu)勢。用戶單位使用云數(shù)據(jù)中心提供的虛擬網(wǎng)絡、虛擬安全設備和虛擬服務器。

在此階段，使用的仍然是傳統(tǒng)的安全產(chǎn)品，部署在服務器資源池的外圍，為不同的用戶單位，創(chuàng)建邏輯上獨立的虛擬設備。因此，傳統(tǒng)安全產(chǎn)品需要實現(xiàn)虛擬化，支持虛擬設備功能（包括引擎和管理界面）。如圖2所示。

圖2 傳統(tǒng)安全產(chǎn)品的虛擬化

融合到云計算平臺的虛擬機安全設備

在云數(shù)據(jù)中心建設的第二階段，網(wǎng)絡設備、安全設備和服務器等硬件資源需要進一步整合。在同一臺物理服務器內(nèi)部的多個虛擬機之間的訪問控制，不能通過在服務器資源池外圍的硬件安全設備來實現(xiàn)。

在此階段，安全設備需要軟件化，作為一個安全應用融合在虛擬化平臺上（見圖3）。

圖3 虛擬化平臺上的虛擬機安全設備

虛擬機安全設備可以通過兩種方式融合到虛擬化平臺，第一種方式是通過虛擬網(wǎng)絡路由的方式部署（見圖4）；第二種方式是通過調(diào)用Hypervisor層的API，將安全控制功能嵌入到虛擬化平臺（見圖5）。

圖4 虛擬網(wǎng)絡路由部署方式

圖5 Hypervisor API調(diào)用部署方式

自主安全可控的云計算平臺

在云計算數(shù)據(jù)中心建設的第三階段，我們需要考慮云計算平臺自身的安全性。

首先，云計算平臺本身也存在各種安全漏洞，例如利用典型的虛擬機逃逸漏洞--藍色藥丸，攻擊者可以在控制客戶機VM的情況下，攻擊Hypervisor，安裝后門，控制其他VM。由于云計算平臺往往十分重要，這些安全漏洞需要比傳統(tǒng)的主機安全漏洞更被重視。

其次，Hypervisor層的API調(diào)用，本身需要受虛擬化平臺廠商的控制。以VMware為例，VMware曾經(jīng)向其TAP（技術(shù)聯(lián)盟伙伴）開放過VM-SAFE API，用于開發(fā)安全應用，但在最近，VMware關(guān)閉了VM-SAFE API。

最后，站在國家信息安全的戰(zhàn)略角度，我們在建設云計算數(shù)據(jù)中心時，不能不考慮供應鏈的安全。只有實現(xiàn)完全自主安全可控的云計算平臺，云計算數(shù)據(jù)中心的安全性才能得到徹底的保障。如圖6所示。

圖6 自主安全可控的云計算平臺

原文鏈接：http://netsecurity.51cto.com/art/201109/291378.htm