打造下一代數據中心安全堡壘

2014年8月15日，以“萬物趨互聯?云啟下一代”為主題的2014年高端CIO峰會在北京隆重召開。本次峰會立足萬物互聯的未來網絡，剖析下一代移動互聯安全、下一代數據中心安全的需求特點，全面展示了趨勢科技云安全動態威脅智能防護網絡及技術產品幫助用戶贏得現在、決勝未來的能量。

下一代數據中心安全：智能優化

尤其是數據中心的安全，是企業安全的重中之重。數據中心是信息資源的集中地、最頻繁的交換地，也是安全事件的多發地，而威脅防護上的任何疏漏都可能導致無法彌補的損失。在數據中心從以物理服務器為核心，向虛擬化和云計算演進，并正在進入由軟件主宰的下一代數據中心，圍繞其周邊與內部變革后的安全管理也需隨之更新。

趨勢科技正在將通過“適應化、感知化、軟件化、平臺化”的革新技術和Deep Security產品，攜手數據中心管理者完成下一代數據中心安全本應實現的智能優化功能。為虛擬化而生的Deep Security，完全拋棄了傳統防毒的概念，從虛擬化底層的防護入手，其在資源消耗方面的節省使得組織可以大幅提升虛擬機密度，從而降低了企業的資本支出 （CAPEX）和運營支出（OPEX）。其次，基于軟件定義安全架構設計的Deep Security，通過SDN接口技術與VMware NSX實現無縫對接，這可以讓安全策略自由的從內部私有云和公有云平臺之間移動，管理員將能夠快速且高水平的自動追蹤資源，并使其保持最新的安全狀態。

同時，安全也絕不是一家廠商就能解決的問題，尤其是云計算時代，趨勢科技（中國區）業務發展總監童寧認為：平臺廠商和安全廠商必須要有一種開放的心態和配合的態度，明確自己的定位，比如下一代虛擬化網絡，Vmware做的很好，華為也會有這方面的方案，我們作為安全廠商會進一步在業界的架構下面為客戶提供安全服務。

比如，支持多租戶架構的Deep Security，已經與VMware VCenter NSX、Citrix XenServer、Amazon AWS、華為FusionSphere、Microsoft Hyper-V、中電華云ChinaCloud等云管理平臺集成在一起，這使得任何一個組織可以將數據中心的安全策略擴展到任意的云平臺。

VMware云安全專家臧鐵軍（左），華為云計算架構設計師葉思海（中），趨勢科技（中國區）業務發展總監童寧（右）

會后，趨勢科技（中國區）業務發展總監童寧，華為云計算架構設計師葉思海，VMware云安全專家臧鐵軍共同接受采訪，就下一代數據中心的安全問題為我們答疑解惑。在采訪中，大家都認為下一代數據中心的安全問題，需要各個廠家比以往更緊密的合作；軟件定義網絡技術，由于控制層對資源的靈活調配，所以能夠快速響應安全問題；童寧還介紹了趨勢科技利用大數據技術解決安全問題的案例。

記者：在下一代數據中心這一塊兒趨勢接下來怎么樣幫助企業規避風險？

葉思海：云是一個很大的系統，肯定會在安全方面帶來很多的新挑戰，比如云化以后的邊界模糊這些東西，需要平臺廠家和安全廠家合作解決。但是下一代數據中心這塊，后端要利用安全廠家的經驗把異常的信息進行關聯分析，前端是安全廠家要跟平臺之間配合，把各個地方的信息集中采集到分析中心。

臧鐵軍：首先我們從現在對安全需求的變化來說，本身我們做安全建設是為我們的應用以及業務服務的，我們現在往云的方向發展最大的特征是靈活度要提升，導致我們在安全防護手段上也要做出適當的調整，以前安全部門更多的是限制，現在這些限制跟我們現在的發展存在矛盾，如何調和這個矛盾？需要我們在安全防護手段上要做很多革新，趨勢科技在這方面已經處于領先的位置。

以前的安全防護也是一個系統的工程，但廠商和廠商之間的合作沒有這么緊密，很多企業都有專門的安全人員去協調各個解決方案，讓他們很快的工作在一起，但是在云時代，當你的負載不斷增加的時候，你的人手肯定不足，必須靠系統之間自動化的協調去完成協作，所以Vmware現在做的事情主要是給安全廠商提供很好的合作接口和平臺，大家可以一起來構建整個安全可靠的平臺，所以我們靠一個好的生態系統，來滿足用戶在云安全這方面的需求。

記者：趨勢科技跟華為和VMware兩家的合作，主要在哪些方面？

葉思海：我們跟趨勢合作有三個維度，首先是傳統的電信領域，電信設備的安全防護，趨勢是我們的第一大供應商，從這個維度講，華為是趨勢的客戶，是我們客戶的客戶的合作伙伴，也是一種整體解決方案。

第二個維度，華為本身也是一個大企業，內部也大量使用了趨勢的安全設備進行IT防護。

第三個維度，我們也正在跟趨勢科技合作共同打造云下面的安全解決方案，但是云這塊的華為的起步肯定比Vmware晚一點，所以這方面的合作也稍微晚一點點。

其實IT領域大家更多的是合作大于競爭，我們跟Vmware之間肯定有一定競爭關系，但是也有合作，比如一些大型項目都是雙方聯合拿下來的。

臧鐵軍：Vmware不是一個安全廠商，沒有能力為用戶提供非常全面的安全服務，必須依賴合作伙伴的幫助，在這個過程中，我們主要是提供一個很好的基礎架構平臺，和一個植入安全服務的接口。安全層面上，這個平臺具備基本的訪問控制盒租戶隔離功能，通過安全服務的接口，可以接入安全廠商的防病毒保護等。趨勢科技也是第一個提出來要利用這個接口跟我們合作的，比如大家已經非常了解的Deep security，以及更新的TDA技術。

記者：其實在數據中心云化過程中網絡虛擬化是最難的，而且對安全影響可能是最大的，那么我們現在的技術能不能實現在整個網絡虛擬化的安全？ 

葉思海：網絡虛擬化現在業界有兩個基礎方向，一個是純軟件的模式，另外一個是思科和華為，硬件的方案。華為現在的策略，是兩條腿都在走，因為技術的選擇最終是由市場來決定的。安全這塊兒，現在實際上是變好了，做云數據中心以后，大家有個想法是想把安全做池化，防火墻和安全策略都能方便快速得部署。大家的擔心更多的應該不是安全本身，而是以后怎么樣快速的切過去。

童寧：進入網絡虛擬化和軟件定義網絡以后最大的一個好處，是網絡實現了真正的邏輯控制，在控制中心有一個邏輯層在控制整個網絡的走向。過去安全最大的問題是隔離性，客戶買了好多種設備擺在網關上，有防垃圾郵件的，有安全網關等，都是不同廠商的，結果很難實現互動。有了軟件定義網絡之后，如果安全廠商專業技術判斷這出事了，可以立刻告訴網絡控制器，這個網絡控制器立刻可以做隔離；再比如十臺機器同時都是一個網站的服務器，是做負載均衡的，突然有一臺機器被惡意攻擊了，網絡控制器也很容易就把那臺機器切出去，重新調一臺機器，繼續維持業務的進行，而且這些過程都是自動的。

記者：在安全領域有一個很重要的問題是責任劃分，在云安全方面三家在合作的時候，如何劃分責任？

臧鐵軍：廠商之間的分工我應該已經談的比較清楚了，還有一個分工到用戶那里，你最終一整套解決方案給用戶了，用戶怎么看？可能以前用戶有他的組織架構，有他的人員分工，有他的職能分工，那么到云里面呢？我們現在目標是盡可能的把管理平臺統一起來，但是保持企業原本的架構或職能分工不變。

葉思海：其實我們廠家之間不是安全責任的劃分，而是需要安全能力的互補。安全責任的劃分通常是在公有云的場景下，私有云其實不存在，我們廠家提供出來的方案好還是不好，投資到不到位客戶都是自己承擔的。公有云中安全責任的劃分我是這樣一個觀點，我更愿意用類似于房地產的模型來講，我們平臺廠家類似于建筑商，保證這個大樓的基礎是安全的，我們要給客戶提供一個防盜門，打造防盜門可能需要很多安全設備，我們是跟安全廠家一起來合作的，至于防盜門里面的安全，其實是用戶虛擬機之間的安全，那個責任實際上是用戶自己要去承擔的，他可以買安全廠家的專業安全設備，也可以買云平臺提供的安全服務，比如無代理的防病毒服務等。所以界限劃分的很清楚，防盜門外面的都是我們服務提供商或者廠家要配合提供的，防盜門里面是客戶要解決的一個問題。

童寧：其實責任劃分這件事情，在公有云產生之前很少有人問，因為客戶有一句話叫免費即免責，比如虛擬化有很多開源的、免費的方案，但是客戶為什么還要購買專業的，比如說華為或者Vmware的解決方案，部分原因在于這樣可以把責任通過某種方式轉嫁一下。

公有云剛出來的時候，公有云廠商他們去推銷公有云的時候，客戶第一個問題就是過去我自己在家抗這個責任，現在我把東西放到你那里去，可是我又不能碰你底層的東西，這個責任該如何劃分？所以最著名的安全廠商提出了責任劃分論。

但是對趨勢科技來講，安全是一種服務，只要客戶買了我的安全產品，我向他承諾了我的服務，我們就有責任。不管客戶的安全問題是什么原因，是誰的責任，我們都要跟客戶站在一起，幫客戶解決問題。

記者：有沒有在安全防御上應用到大數據技術的案例？

童寧：趨勢對大數據的應用已經蠻久了，大概從2004年開始我們碰到一個很大的問題，每天送過來的病毒樣本數量非常多，一天幾百個病毒，我們發現雇再多的人也解決不了問題，傳統的巨型數據庫+IBM小機的解決方案也行不通了。那個時候Hadoop剛出來，我們就開始試用，剛開始很簡單，就是樣本處理，判斷是不是病毒，后來發現這件事情越來越復雜，所以我們就開始采用一種叫做關聯分析的方法。

什么是關聯分析呢？邏輯是這樣的，比如說我收到一封郵件，這個郵件發送的地址在我的黑名單里面，這個IP地址經常發垃圾郵件，他發給我的郵件可能是一個垃圾郵件，我就提高處理的級別，那如果他里面帶了一個附件，不管附件是什么，我們可能又得提高級別，第一個我懷疑這個人本來發垃圾郵件了，第二個還帶了一個附件，這個附件可能又是一支病毒，但是如果附件一旦被運行了，這個附件可能會是個程序，他又上網更新自己，到另外一個地方去更新，更新這個地方可能就是他的控制臺或者什么之類，所以我們整個故事就串起來了。但是你怎么知道這些故事是這樣的，因為趨勢每天收集大量攻擊信息，我們是把人工在樣本分析當中總結出來的經驗教訓，實現在了大數據的智能化中。

未來我們會跟虛擬化平臺廠商合作，利用SDN的擴展性，將這種關聯分析的能力放在客戶環境中，不但可以從海量數據庫中分析出安全問題，同時能夠自動擴張其計算能力。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈