在云计算应用领域,运营商一直是一支不容小觑的“力量”。为了在下一轮市场竞争中抢占更加有利的位置,以电信企业为代表的运营商,在云计算建设大潮中冲在了最前沿。例如中国移动斥巨资打造了大云项目,中国联通则发布了互联云计划,中国电信也将“星云计划”纳入战略转型的重要组成部分。各地以电信企业为主导的云计算中心项目纷纷启动,也印证了这一点。
运营商在云计算方面的逐渐发力,一方面寻找到了新的业务增长点,另一方面也遇到了许多新的挑战。随着智能终端的快速普及、移动互联、云计算以及物联网的发展,各运营商纷纷推出基于IP承载技术的各类业务应用,带来了许多技术创新和业务发展机遇。这一过程中,信息安全风险能否得到有效控制,对运营商云业务的正常开张有着决定性意义。
在运营商和云计算领域都积累了大量经验的H3C,也充分意识到了运营商安全建设需求的新变化,并借助新一代互联网NGIP解决方案的技术与产品,对运营商云计算安全建设提供了更多支持与保障。
虚拟化的AB面——运营商云安全的重点
“运营商的云计算建设分为供内部使用的私有云,以及对公众提供服务的公有云两个部分,所面临的安全需求也不尽相同。”H3C安全产品线总工李彦宾表示,从私有云应用的角度来看,运营商云计算的安全与其他行业相比相差并不大。
李彦宾指出,云计算网络安全的最显著特点,就是要解决云计算应用中十分常见的虚拟化的安全威胁。在H3C看来,这方面的问题主要集中在三个方面,一是针对虚拟化软件的漏洞攻击威胁,严重时将导致服务器无法使用,CVE组织也在陆续公布一些虚拟化软件的漏洞,这一类的漏洞未来会成为黑客主攻的方向;其次是物理服务器虚拟化以后,虚拟机之间如何做访问控制的问题;另外运营商不同的业务部门都集中到一个云计算中心的时候,不同部门的安全策略不一定一致,对数据中心中安全设备产生虚拟化要求,需要共用安全设备必须能够进行分割,将一台设备虚拟成多台设备,从而满足不同用户的需求。
针对运营商私有云安全问题,目前H3C已有成体系的一整套方法。一方面通过网络设备+防火墙+入侵防御系统建立起L2-7层立体防御,增加针对虚拟化漏洞的特征库研究,来解决虚拟化软件安全问题;另一方面,通过HP/H3C共推的VEPA协议,将虚拟机内部的数据流量通过安全设备进行各种安全防护,来实现解决服务器内部VM之间的二层交换流量的安全访问和攻击检测问题。此外,H3C通过实现全方位的端到端的产品虚拟化在实际应用中,H3C的安全设备既可以将一台设备虚拟成N多台,也可根据虚拟需求实现N:1的收敛要求,从而在云中与网络一起,形成端到端的虚拟通道,来满足运营商云数据中心安全设备虚拟化的需要。
