H3C:下一代網際網路的安全起點

狼人2007發表於2019-05-09

與人們的生產生活息息櫃關的網際網路,並非一個完美計劃的結果。安全隱患於網際網路,是與生俱來的。在網際網路飛速發展的30年間,被動挨打之後再彌補安全漏洞,已經成為解決網際網路安全問題的慣性思維。但是,在網際網路進入雲時代後,這樣的安全理念還能保障雲的安全嗎?我們還有機會改變這種局面嗎?

從網路開始

雲安全這個概念曾經被眾多廠商所用,也出現了五花八門的定義。但在H3C安全產品部總工李彥賓看來,保障雲端計算基礎架構安全的技術,才能被真正納入雲安全的範疇。而且,實現雲安全僅靠資訊保安技術還遠遠不夠,構建一個可以全面支撐安全體系的雲網路將是解決雲安全問題的第一步。

在傳統的網路架構中,網路與安全雖然表面上密不可分,但其體系架構卻往往是“兩張圖”。對於下一代網際網路的安全,我們到底應該從安全的角度審視網路,還是應該從網路的角度審視安全,這個話題似乎永遠爭論不休。傳統的網路架構在設計之初並沒有真正考慮到安全的需求,導致長久以來資訊保安領域一直在為網路基礎架構打補丁。所以,在現有的大多網路架構中,幾乎昕有的安全著力點都是在問題爆發後才能被發現。

今年6月,H3C曾推出了新一代網際網路(NGIP)解決方案。NGIP被分為三大部分:雲聯、基礎承載網路以及物聯。而H3C昕提出的安全智慧滲透網路的概念正是基於NGIP的。在NGIP架構中,記者卻發現安全的著力點清晰可見。以雲聯為例,李彥賓告訴記者,雲聯指的是應用虛擬化技術的資料中心。虛擬化技術帶來的安全威脅主要體現在三個方面:首先,虛擬化平臺同樣會像Windows和Linux一樣存在漏洞,所以針對虛擬系統的攻擊就是下一代資料中心所面臨的核心安全問題。其次是虛擬機器之間的安全訪問隔離,以及真實主機之間的安全訪問隔離問題。再次是基礎裝置的虛擬化,因為雲端計算中心伺服器的虛擬化,要求基礎承載網路裝置也要虛擬化,作為一個能融合到雲端計算基礎架構中的安全裝置就必須能夠適應虛擬化的要求。透視H3C的安全理念,我們不難發現,人們對於網際網路安全防禦體系的設計首次變主動了。

曾經有專家指出,安全要從地基開始做起。如今,人們對資訊保安問題的認識和理解越來越深刻,也積累了很多構建安全防禦體系的經驗,如果能以搭建健康安全的網路環境為著眼點為雲安全打好基礎,下一代網際網路的安全防禦體系才能有機會改變以往的被動局面。

全還遠遠不夠

向雲過渡的過程中,為何網路中聽部署的安全防禦體系變得無處施力?安全防禦產品的效能、功能總在不斷提升,但為何部署在雲網路中反而成為瓶頸?在一個關於雲端計算安全痛點的CIO調查中,一些初涉雲端計算的企業提出了這樣的問題。

李彥賓直言,在雲端實現雲安全,做到安全防護的全面性還遠遠不夠。比如,人們對基礎承載網路的要求是實現傳輸的透明性,延遲會導致網路的效率下降。所以在基礎承載網路中的安全產品的目標就是實現高效能。而當前,由安全產品造成的網路傳輸瓶頸很多,這個問題必然會被業界所重視。在提升吞吐量之後,安全產品的硬體可按需擴充套件,功能可按需擴充也很重要。安全之優做到可平滑升級,才能適應雲環境的變化。

當所有的資料包括應用都放在資料中心或者雲端時,最讓使用者擔憂的問題自然是客戶端連線到雲的通訊環境是否安全。可以說,這個安全問題,是所有云服務商都必須要邁過的門檻。李彥賓認為,目前在使用者端接入雲的路徑上部署$SL安全認證閘道器,構建起一個安全訪問隧道,是解決這一問題比較有效的方法。

李彥賓同時強調,無論是公有云、私有云還是混合雲,雲網路中所涉及的安全裝置的數量和種類都會成級數增長。如何讓這些安全裝置緊密協作,並實現統一的管理和排程是一個必須要考慮的問題。H3C的安全產品體系一直以解決這樣的問題為發展主線。“一個租戶發生遷移,他的策略也可能發生變化。通過管理平臺,這樣的動態遷移很容易實現,還能做到事後的報表分析和安全管控。”

融合,雲時代的老調新談

下一代網際網路的基礎架構將變成一個龐大而複雜的網路系統,一個真正有效的安全體系到底需要具備哪些特質呢?

“常規的安全能否實現防護,雲帶來的變化(如虛擬化)是否能高效地適應,是否能更方口精確地實現使用者端的訪問控制和認證?我們認為,這就是雲安全要解決的核心問題。”H3C安全產品部部長馬前祖如是總結了H3C對下一代網際網路安全的理解。

或許我們還無法想象,雲會以何種模式走進我們的生活,但是人們對雲服務的期待和要求已經指明瞭雲安全的方向。當人們順暢地像享受自己的專有系統一樣去使用雲的同時,也意味著將有數以億計不帶任何作業系統和業務系統的虛擬終端會接入網路,匯聚入雲。雲環境對網路裝置和安全裝置的高效能要求顯然是苛刻的,就像馬前祖所指出的那樣,如果缺乏百G以上的硬體核心技術,想擠進雲的市場是很準的。

H3C的虛擬化技術一直堅持自主研發。馬前祖認為,對實現裝置虛擬化的技術的掌控程度很可能將成為決定雲市場份額的一個新標尺。從實踐來看,基於H3C自身開發的作業系統而實現的虛擬防火牆,目前最多可虛擬出256個虛擬裝置,而藉助和虛擬化技術主導廠商的合作而實現裝置級虛擬化的產品,大多隻能虛擬出4—8個虛擬裝置。在進入雲應用環境後,這種差距造成的巨大的成本差距就會顯現出來。

雲安全正在讓網路與安全之間的傳統界限變得模糊。融合的趨勢顯然不可逆轉,但安全似乎也不會完全消融在網路產品中。在二者相互融合的過程中,雖然很多專業的安全技術領域依舊是目前大多網路廠商無法企及的,但安全產品的硬體架構設計與網路裝置的結合點卻越來越多。更重要的是,在雲環境中,安全產品更不能成為網路的瓶頸和負擔。而很多成熟的安全功能,也會在這一過程出現模組化的發展趨勢,最終又融入網路產品中。正如馬前祖聽說:“網路與安全的融合區將會越來越廣泛。”

本文來自:機房360

(責任編輯:王旭東)


相關文章