对于新架构的新的安全问题,举例来说,以前一台机器上装一个模块,现在一台机器上有多个虚拟机,相当于一台机器复用成几十台机器,每一台机器之间就需要隔离,不能因为一台虚拟机的崩溃影响到其它相关的虚拟机。再比如说,根据系统负载均衡的要求,虚拟机会不停地在系统内进行迁移,保证整个系统的忙闲均衡,保证最大使用率,但在这个迁移过程中,就需要对系统进行动态的审计和回溯,就如IP地址一般,有什么问题可以追溯到这个地方。
从根本上来说,谈安全也好谈可信也好,都离不开那句话“三分技术,七分管理”。可信相对安全而言,更偏向于管理,或者说制度上的准备。
马蔚彦:保持业务稳定性是运营商的一个基本原则,因此他们本身有很好的机制和手段,也有非常充足的经验。不过值得注意的是,随着数据中心的规模扩大,出现了越来越多的服务器、操作系统、中间件等设施,运营商也在面临一个新的问题,就是可能需要更加专业化的分类的安全。原来可能只是一个省的小的数据中心,一位安全维护人员从服务器、中间件等多个层面都能兼顾,但数据中心大型化集中化后,可能就需要分类监控的安全管理,可以保证业务更稳固地发展。
“云”安全需新管理制度保障
《通信世界周刊》:目前,国内很多电信运营商都对“云计算”产生兴趣,但是将电信级的数据中心的IT基础架构实现与服务的迁移是一个渐进的过程,在这一过程中,可靠性是否是最大短板,应如何保障?
张云勇:云计算或者说异架构,很多人认为较大的问题就是安全,国外咨询公司也做过调查报告,表明安全确实是影响云计算推广的几个最重要因素之一。但实际上根据我们的认知和了解,云计算架构是一个演进的架构,并不是一个新诞生的架构,它实际上结合了传统的互联网技术、分布式处理技术以及一些电信网络技术,所以我们认为,云计算架构下是有些新的安全问题或者说可信问题需要考虑,但这些问题并没有大家想得那么严重。
现在业界有两种主要的声音,一种是说云计算的安全问题没有什么技术含量,或者说简单地等同于互联网技术,原来的网络有多安全,现在的云计算就有多安全;还有一种声音过于夸大云计算安全隐患。我们认为这两种声音都比较极端,实际上云计算安全主要还是采用互联网的一些安全技术,同时结合一些新的管理制度和管理技术来保障。
不过目前市场上的一些云计算安全产品还是存在一些问题的,因为云计算安全的标准尚未完全统一,云安全联盟CSA目前对于云计算安全的工作也只进行到反映需求的阶段。云安全事实上包含两个层面,一是云架构或者说内部云的安全,另一是外部云或者说云安全服务,目前据我们了解,不少产品并没有符合这些云安全的要求。
马蔚彦:电信业IT架构迁移到云端,对于运营商来说是一个非常自然和现实的要求,这一迁移不仅是可靠性的问题,还包括安全问题—架构和模式上的转变导致了新的安全问题,包括运维管理模式也都会有一些新转变。我们的观点是以一个恰当的服务来渐进式、平滑地帮助运营商过渡,比如我们的云安全服务、云存储都可以以最小的代价来实现这种向云端的迁移,因为它基本不需要去改变原来这种IT应用的使用和维护模式,其结构变化前后的界面很清晰、业务剥离也很干净。比如说云安全服务有对邮件安全的检查,那么只需要把邮件流量镜像到云端然后再送回来。以这样的方式来迁移到云端就不是说纯尝试一个新技术,或者说基础架构进行一个大的改变,可靠性就会有一定的保障。
陈钢:云计算在电信级的核心系统中应用还有很长的路要走,而如果真的在核心系统实现了云计算环境的大规模部署,恰恰是可靠性将大为提高,无论是从硬件还是安全方面提高可靠性都是云计算的特点。
魏亮:与IT企业相比,电信企业更加重视可靠性;云计算本身就是强调将资源虚拟化,因此能增加系统的可靠性。就我个人观点,电信企业使用云计算的过程中,可靠性并不是最大的短板,如何运营云服务应该是更大的挑战。
“云终端”保障部分领域安全
