云时代数据中心安全建设“三部曲”

安全 云安全
在建设云数据中心前,多个用户单位的数据中心独立建设,分别拥有独立的网络设备、安全设备和服务器,此时部署的是传统的网络安全产品。

在建设云数据中心前,多个用户单位的数据中心独立建设,分别拥有独立的网络设备、安全设备和服务器,此时部署的是传统的网络安全产品。

 

云时代数据中心安全建设“三部曲”

在云计算时代背景下,数据中心需要向集中大规模共享平台推进,通过引入服务器虚拟化技术,提供弹性、按需、自助的部署。数据中心的云化,对传统的安全防护方案和安全产品提出了新的要求。如图1所示。

在此,我们将云时代数据中心的安全建设划分为三个阶段。

第一阶段是传统安全产品的虚拟化;

第二阶段是融合到云计算平台的虚拟机安全设备;

第三阶段是自主安全可控的云计算平台。

传统安全产品的虚拟化

在云数据中心建设的第一个阶段,需要把各种物理硬件建设成资源池,以虚拟化的方式对多个用户单位提供服务,从而实现云计算数据中心的性价比优势。用户单位使用云数据中心提供的虚拟网络、虚拟安全设备和虚拟服务器。

 

云时代数据中心安全建设“三部曲”

在此阶段,使用的仍然是传统的安全产品,部署在服务器资源池的外围,为不同的用户单位创建逻辑上独立的虚拟设备。因此,传统安全产品需要实现虚拟化,支持虚拟设备功能(包括引擎和管理界面)。如图2所示。

融合到云计算平台的

虚拟机安全设备

在云数据中心建设的第二阶段,网络设备、安全设备和服务器等硬件资源需要进一步整合。在同一台物理服务器内部的多个虚拟机之间的访问控制,不能通过在服务器资源池外围的硬件安全设备来实现。

 

云时代数据中心安全建设“三部曲”

在此阶段,安全设备需要软件化,作为一个安全应用融合在虚拟化平台上(见图3)。

虚拟机安全设备可以通过两种方式融合到虚拟化平台,第一种方式是通过虚拟网络路由的方式部署;第二种方式是通过调用Hypervisor层的API,将安全控制功能嵌入到虚拟化平台。

自主安全可控的

云计算平台

在云计算数据中心建设的第三阶段,我们需要考虑云计算平台自身的安全性。

首先,云计算平台本身也存在各种安全漏洞,例如利用典型的虚拟机逃逸漏洞——蓝色药丸,攻击者可以在控制客户机VM的情况下,攻击Hypervisor,安装后门,控制其他VM。由于云计算平台往往十分重要,这些安全漏洞需要比传统的主机安全漏洞更被重视。

其次,Hypervisor层的API调用本身需要受虚拟化平台厂商的控制。以VMware为例,VMware曾经向其TAP(技术联盟伙伴)开放过VM-SAFE API,用于开发安全应用,但在最近,VMware关闭了VM-SAFE API。

 

云时代数据中心安全建设“三部曲”

最后,站在国家信息安全的战略角度,我们在建设云计算数据中心时,不能不考虑供应链的安全。只有实现完全自主安全可控的云计算平台,云计算数据中心的安全性才能得到彻底保障。如图4所示。

责任编辑:Oo小孩儿 来源: 中国信息产业网
相关推荐

2011-09-15 09:14:08

2017-04-11 09:07:20

互联网

2017-02-07 14:50:39

华为

2011-03-25 09:56:40

Nagios 安装

2009-09-14 09:04:17

CCNA考试CCNA

2019-03-28 14:45:33

数据安全数据泄露信息安全

2016-11-16 14:47:28

数据中心大数据虚拟化

2014-09-04 10:26:50

数据中心艾默生

2010-09-26 14:39:40

DHCP故障分析

2010-07-17 01:12:31

Telnet服务

2011-03-09 09:30:52

Mina

2022-10-10 09:10:51

家庭网络网络

2011-03-21 09:22:46

Tomcat

2013-06-28 09:35:04

Hypervisor虚拟化成本

2010-09-06 09:22:26

CSS语法

2010-05-20 17:24:25

Cookie设置

2013-10-15 10:32:17

IDC机房

2013-03-27 18:51:04

IBM智慧城市建设

2015-05-12 10:42:53

程序员代码

2012-09-10 16:19:00

云计算公共云
点赞
收藏

51CTO技术栈公众号