隨著云計(jì)算時(shí)代的到來(lái)，更多企業(yè)會(huì)選擇將自己的業(yè)務(wù)和基礎(chǔ)IT設(shè)施向云平臺(tái)遷移。雖然云計(jì)算在IT界炙手可熱，但在云計(jì)算推廣或部署過(guò)程中，無(wú)論是對(duì)使用云服務(wù)的用戶(hù)，還是對(duì)云服務(wù)提供者，安全威脅卻一直存在。素有云計(jì)算鼻祖之稱(chēng)的亞馬遜(Amazon)云計(jì)算業(yè)務(wù)自開(kāi)通以來(lái)，已發(fā)生兩次嚴(yán)重事故，最近2011年8月份的一次癱瘓，影響的業(yè)務(wù)涉及社交網(wǎng)站、在線視頻網(wǎng)站、圖片共享網(wǎng)站以及數(shù)百萬(wàn)用戶(hù)。雖然云計(jì)算服務(wù)很快恢復(fù)正常運(yùn)營(yíng)，但還是令人對(duì)云計(jì)算產(chǎn)生了諸多疑慮，業(yè)內(nèi)很多人戲稱(chēng)云計(jì)算看上去很美，安全威脅變成了云計(jì)算的"夢(mèng)魘"。

由此看來(lái)，要讓云計(jì)算帶來(lái)的IT美好愿景落地，必須要解決安全這一弱點(diǎn)。對(duì)用戶(hù)來(lái)說(shuō)，他們擔(dān)心云服務(wù)提供者云中的數(shù)據(jù)是否安全；對(duì)于云服務(wù)提供者來(lái)說(shuō)，則是如何保證云中的數(shù)據(jù)不受威脅。不過(guò)，在云計(jì)算時(shí)代，用戶(hù)面臨的安全威脅與傳統(tǒng)的網(wǎng)絡(luò)有著不同的重點(diǎn)。對(duì)無(wú)論是對(duì)云計(jì)算方案提供商，還是傳統(tǒng)安全廠商，都必將進(jìn)入新一輪的安全技術(shù)革新中。

H3C公司敏銳地注意到了云計(jì)算對(duì)網(wǎng)絡(luò)安全應(yīng)用需求帶來(lái)的新變化。在其尤其推出的NGIP新一代互聯(lián)網(wǎng)（Next Generation Internet Protocol，NGIP)解決方案中，H3C圍繞著如何保證NGIP安全問(wèn)題進(jìn)行了重點(diǎn)規(guī)劃與深度思考。

H3C新一代互聯(lián)網(wǎng)解決方案主要包含了云聯(lián)網(wǎng)、基礎(chǔ)承載網(wǎng)絡(luò)以及物聯(lián)網(wǎng)三個(gè)部分。在這三個(gè)層面，其安全的"軟肋"也各有不同。圍繞這三大不同安全焦點(diǎn)，H3C"修煉"了"全面、高效、智能"的"心法"，有針對(duì)性地設(shè)定了相應(yīng)的"絕招"。

彌補(bǔ)虛擬化"破綻"，防護(hù)云聯(lián)安全

云聯(lián)，顧名思義指的是云計(jì)算的網(wǎng)絡(luò)連接，其中最有代表性、應(yīng)用得最多的技術(shù)就是虛擬化技術(shù)。而虛擬化應(yīng)用帶來(lái)的安全新問(wèn)題也成為了云聯(lián)網(wǎng)面臨的最大挑戰(zhàn)。

虛擬化的安全"破綻"主要體現(xiàn)在三個(gè)方面。首先是針對(duì)虛擬化軟件的漏洞攻擊威脅，嚴(yán)重時(shí)將導(dǎo)致服務(wù)器無(wú)法使用，CVE組織也在陸續(xù)公布一些虛擬化軟件的漏洞，這一類(lèi)的漏洞未來(lái)會(huì)成為黑客主攻的方向；其次是物理服務(wù)器虛擬化以后，虛擬機(jī)之間如何做訪問(wèn)控制的問(wèn)題；第三則是多租戶(hù)情況下，數(shù)據(jù)中心中安全設(shè)備虛擬化要求，由于不同租戶(hù)的安全策略不一定一致，在共用安全設(shè)備時(shí)，就必須能夠進(jìn)行分割，將一臺(tái)設(shè)備虛擬成多臺(tái)設(shè)備，從而滿(mǎn)足不同用戶(hù)的需求。

那么如何全面地解決這些"破綻"呢？H3C認(rèn)為，針對(duì)虛擬化軟件的漏洞，通過(guò)網(wǎng)絡(luò)設(shè)備+防火墻+入侵防御系統(tǒng)建立起L2-7層立體防御，增加針對(duì)虛擬化漏洞的特征庫(kù)研究，來(lái)滿(mǎn)足在云計(jì)算環(huán)境下服務(wù)器自身的威脅防范，來(lái)有效抵御安全風(fēng)險(xiǎn)。

對(duì)于虛擬機(jī)訪問(wèn)控制的問(wèn)題，HP提出的VEPA協(xié)議則派上了用場(chǎng)。通過(guò)VEPA協(xié)議，可以將虛擬機(jī)內(nèi)部的數(shù)據(jù)流量通過(guò)安全設(shè)備進(jìn)行各種安全防護(hù)，從而實(shí)現(xiàn)解決服務(wù)器內(nèi)部VM之間的二層交換流量的安全訪問(wèn)和攻擊檢測(cè)問(wèn)題。

而在安全設(shè)備虛擬化方面，H3C已經(jīng)實(shí)現(xiàn)了全方位的端到端的產(chǎn)品虛擬化，包括一臺(tái)設(shè)備虛擬成N多臺(tái)，或者根據(jù)虛擬需求實(shí)現(xiàn)N：1的收斂要求，從而在云中與網(wǎng)絡(luò)一起，形成端到端的虛擬通道。從而實(shí)現(xiàn)關(guān)鍵特性的多實(shí)例配置，比如防火墻的NAT多實(shí)例、支持獨(dú)立的安全域劃分和策略配置；實(shí)現(xiàn)基于虛擬設(shè)備資源劃分，比如負(fù)載均衡設(shè)備的最大虛服務(wù)（實(shí)服務(wù)）個(gè)數(shù)等；實(shí)現(xiàn)每個(gè)虛擬設(shè)備具備獨(dú)立的管理員權(quán)限，可以隨時(shí)監(jiān)控、調(diào)整策略的配置實(shí)現(xiàn)情況；且多個(gè)虛擬設(shè)備的管理員同時(shí)操作。

"唯快不破"，基礎(chǔ)承載網(wǎng)安全"秘訣"

在中華武學(xué)中有一個(gè)重要原則，就是"千破萬(wàn)破，唯快不破"，核心意思就是速度是克敵的制勝法寶。對(duì)于基礎(chǔ)承載網(wǎng)絡(luò)來(lái)說(shuō)，云計(jì)算應(yīng)用安全防護(hù)的性能是否足夠"快"，則是問(wèn)題的焦點(diǎn)。

基礎(chǔ)承載網(wǎng)負(fù)責(zé)的是云計(jì)算數(shù)據(jù)中心和用戶(hù)終端的互聯(lián)，其特點(diǎn)就是透明傳輸，所強(qiáng)調(diào)的就是性能無(wú)收斂，沒(méi)有延遲，沒(méi)有丟包。這對(duì)安全設(shè)備提出的要求就是"高效"，在園區(qū)網(wǎng)中，安全設(shè)備性能要滿(mǎn)足與網(wǎng)絡(luò)相匹配的性能，滿(mǎn)足10G、40G、100G的傳輸性能需求。在廣域網(wǎng)應(yīng)用中，要通過(guò)應(yīng)用交付實(shí)現(xiàn)應(yīng)用的加速。

針對(duì)基礎(chǔ)承載網(wǎng)的安全焦點(diǎn)，H3C是通過(guò)安全I(xiàn)RF技術(shù)來(lái)解決的。這種彈性擴(kuò)展技術(shù)，可根據(jù)業(yè)務(wù)發(fā)展需要，輕松地實(shí)現(xiàn)系統(tǒng)擴(kuò)容。一方面，可以做大性能的擴(kuò)容，目前H3C第三代安全板卡的單卡性能為20G，通過(guò)IRF技術(shù)可以虛擬為800G的高性能設(shè)備，完全可以滿(mǎn)足未來(lái)在云計(jì)算環(huán)境下40G和100G以太網(wǎng)標(biāo)準(zhǔn)的性能處理要求。

另一方面，通過(guò)安全和網(wǎng)絡(luò)設(shè)備高度融合，還可以實(shí)現(xiàn)安全功能的擴(kuò)充。用戶(hù)可以隨著業(yè)務(wù)發(fā)展需要，靈活地增加防火墻、入侵防御、流量監(jiān)管、負(fù)載均衡等各種安全功能。這也是高效網(wǎng)絡(luò)安全很重要的一點(diǎn)。

安全智能化，物聯(lián)安全"如臂使指"

物聯(lián)網(wǎng)（The Internet of things)就是"物物相連的互聯(lián)網(wǎng)"，實(shí)現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡(luò)的連接，方便識(shí)別、管理和控制。很多客戶(hù)最關(guān)心的是，所有的數(shù)據(jù)包括應(yīng)用都放在數(shù)據(jù)中心或者云端了，安全性如何保障？

歸根結(jié)底來(lái)說(shuō)，云時(shí)代的物聯(lián)層面安全關(guān)注的是兩個(gè)問(wèn)題。一是安全接入的問(wèn)題，云計(jì)算環(huán)境用戶(hù)的數(shù)據(jù)從終端到云計(jì)算環(huán)境的傳輸中，容易被截獲; 如何保證用戶(hù)端到云端安全訪問(wèn)和接入？二是安全設(shè)備的管理問(wèn)題，無(wú)論是公有云、私有云還是混合云，網(wǎng)絡(luò)規(guī)模都非常龐大，部署的安全設(shè)備數(shù)量也很多，而且分散在網(wǎng)中不同節(jié)點(diǎn)，如何進(jìn)行有效的設(shè)備管理？安全策略如何做到統(tǒng)一的管理？這都是必須要考慮的。

對(duì)于安全接入的風(fēng)險(xiǎn)，H3C認(rèn)為，在云端部署SSL VPN網(wǎng)關(guān)是可行的接入方案。利用SSL VPN技術(shù)，隨時(shí)隨地的在客戶(hù)端與資源中心之間建立一個(gè)私密通道以保證不同客戶(hù)信息私密性，客戶(hù)端HttPS方式訪問(wèn)SSL VPN網(wǎng)關(guān)登錄頁(yè)面，通過(guò)證書(shū)客戶(hù)端與網(wǎng)關(guān)進(jìn)行身份相互確認(rèn)，客戶(hù)端與網(wǎng)關(guān)身份確認(rèn)后，客戶(hù)端就可訪問(wèn)云中心預(yù)先設(shè)定好的訪問(wèn)資源，客戶(hù)端到SSL VPN數(shù)據(jù)流經(jīng)過(guò)了PKI系統(tǒng)進(jìn)行嚴(yán)格的加密保護(hù)，保證數(shù)據(jù)私密性。

同時(shí)，針對(duì)龐大物聯(lián)網(wǎng)中的安全設(shè)備，H3C通過(guò)統(tǒng)一的安全管理平臺(tái)--SecCenter安全管理中心來(lái)實(shí)現(xiàn)安全的統(tǒng)一管理。有了這個(gè)智能化的安全"指揮所"，用戶(hù)可以實(shí)現(xiàn)安全事件的實(shí)時(shí)監(jiān)控，并通過(guò)系統(tǒng)提供的各種報(bào)告進(jìn)行安全事件的統(tǒng)計(jì)和分析，最重要的是可以實(shí)現(xiàn)設(shè)備的統(tǒng)一管理和策略配置，從而讓整個(gè)安全體系更加智能化。

總的來(lái)說(shuō)，H3C不斷尋求在云計(jì)算安全的技術(shù)突破和創(chuàng)新，將"全面、智能、高效"的概念融入到具體的解決方案之中，直指云時(shí)代安全的三大"軟肋"。

從關(guān)注路由器、交換機(jī)上安全特性以及實(shí)現(xiàn)，到構(gòu)建L2-7層綜合防御的防火墻、IPS產(chǎn)品，再到融合到園區(qū)網(wǎng)、廣域網(wǎng)和數(shù)據(jù)中心的安全綜合解決方案，H3C一直致力于網(wǎng)絡(luò)安全的研究和技術(shù)創(chuàng)新。對(duì)于云計(jì)算與數(shù)據(jù)中心安全方面的技術(shù)發(fā)展和應(yīng)用，H3C也將持續(xù)并重點(diǎn)研究，在面向?qū)ο蟮陌踩渴稹⑻摂M化等方面不斷突破，為用戶(hù)提供新一代網(wǎng)絡(luò)安全解決方案。