面对云时代安全新威胁，云数据中心运营者需要联合安全企业共同努力，搭建可信赖的云生态环境，为云计算用户和高层管理人士提高信心。另一方面，只有持续关注并进行云安全实践的企业才能在云时期获得成功。就电信领域云计算中心安全防护问题，《通信世界》邀请四家安全专业厂商分享其2013年实践经验。

山石网科：提供FWaaS方案实现云业务隔离

传统数据中心有清晰的物理边界，如果用户需要对自己的物理主机进行安全防护，可以自行在自己的服务器前部署防火墙等网络安全设备。而云计算数据中心提供的是虚拟主机租赁服务，物理边界消失，租户已经不是物理设备的拥有者，无法再部署物理网络安全设备。

因此，山石网科电信安全专家谭仪表示，像虚拟主机租赁服务一样，云计算数据中心也需要为租户提供FWaaS（Firewall as a Service）解决方案来实现租户的安全防护和不同租户间或同一租户不同业务间的隔离。

此外，采用服务器虚拟化技术后，数据中心内承载各种业务的虚拟机越来越多，使得数据中心内部不同租户间或同一租户不同业务间的互访（东西向）的流量越来越大，甚至东西向的流量超过了南北向流量的带宽，这对数据中心内部业务隔离防火墙的性能提出更高的要求。

为此，Hillstone数据中心防火墙设备采用了“多核+分布式”硬件模块化架构，并与新一代分布式软件架构配合，最大限度的发挥了多核处理器的能力，使整机性能得到前所未有的提升。Hillstone数据中心防火墙设备整机最大吞吐量为360Gbit/s，每秒新建连接数达240万，并发会话连接数最大可达1.2亿，提供高达1000个虚拟墙数量，完全能够满足大型数据中心的业务需求。

“我们已经参与了包括上海电信金融云项目、Trystack(openstack在中国社区)私有云安全项目等解决了上述的南北向、东西向流量的安全防护问题。”谭仪表示。

东软：打造虚拟网管与云管理平台

在云数据中心环境中需要部署很多应用系统，各个虚拟机及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战：因为传统硬件安全设备只能部署于物理边界，无法对同一物理计算机上的虚拟机之间的通信进行细粒度访问控制。东软网络安全解决方案部部长徐松泉告诉记者，东软针对云数据中心的虚拟机安全防护需求，推出了云安全网关NISG-VA系列产品，可有效增强虚拟环境内部虚拟机流量的可视性和可控性，为用户提供虚拟环境内部的全方位网络安全防护。

由于安全管理人员管理的系统越来越庞大，虽然有众多安全设备和安全手段做支撑，但安全管理人员的配备不会随着信息系统的扩容而成比例增长，所以安全管理人员并没有足够的精力去分析那些海量的安全告警日志，导致一些安全隐患时刻存在于运营商信息系统中。

另外，运营商公众服务云平台要向用户提供一个安全的运行环境，这个安全环境不仅包括系统安全、网络安全、业务安全、数据安全和内容安全，还有运维管理安全。

对此，东软为运营商打造了NetEye SOC方案, 从云计算中心业务出发，通过业务需求分析等多个环节，实现一体化安全体系的目标。徐松泉介绍，该方案可以为信息共享和数据交换提供数据基础，使得技术人员快速的从海量数据中获取有价值的信息，并实时监控每个安全事件的发生状态、处理过程和最终结果，是响应安全事件的跟踪器。