漫谈云计算环境下的传统安全产品虚拟化

本文讲的是漫谈云计算环境下的传统安全产品虚拟化,传统的IT建设,用户需要自己采购硬件设备、操作系统,购买或开发自己的业务系统,并投入大量的维护成本。考虑到业务的扩展和瞬时的使用高峰,每个系统的计算、存储能力必须有一定的冗余,这就意味着大部分时候冗余的资源都被浪费。然而当业务爆发式增长时, IT设施由由于建设周期的制约,又无法立即满足需要。云计算的出现,将彻底解决这些问题。

  云计算通过网络将大量的计算和存储资源连接起来,进行统一的管理和调度,按需提供服务。使用者只需要通过网络访问就可以来获取存储空间、计算能力或应用系统。

  根据NIST的定义,云计算的基本特征有:按需自服务、广泛的网络接入、资源池、快速弹性、可测量的服务。三种服务模式,分别为基础设施即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)。

  相对于传统的IT建设模式,业务所有者无需再搭建自己的IT系统,只需要成为云计算的租户,就可获得灵活的扩展性,还能免除了繁琐的系统维护工作。由于这种模式下只需要为已经使用的资源付费,因而极大提高了IT建设的投资回报率。

  然而云计算却对网络安全提出了严重的挑战。从云计算租户的角度来看,网络、设备、应用、数据都不在自己的控制之下,甚至都不知道具体的物理位置,如何保障数据安全和业务连续性显然就成了最大的挑战。以至于思科CEO钱伯斯惊呼“这将是一个安全噩梦”。

  从云提供商的角度来看,传统模式下的网络安全需求并没有什么变化,无论从信息安全的保密性、完整性、可用性,还是根据网络层次划分的从物理层到应用层安全,仍然是需要解决的问题。传统模式下的网络安全解决方案中,最重要的一点就是建立网络边界,区分信任域和非信任域,然后在网络边界进行访问控制和安全防御。而云计算资源池与Internet之间仍然是有边界的,在资源池内部由于管理的需要,也会有不同域的划分,从而形成内部边界。这意味着传统的网络安全产品能继续发挥其作用。

  那么是否传统的网络安全产品是否就能充分满足云计算环境下的安全需求呢?

  传统IT建设中业务所有者就是平台所有者、从而也是安全责任人。《计算机信息网络国际联网安全保护管理办法》第十条也明确规定各单位负责本网络的安全责任,确立“谁主管、谁负责,谁运营、谁负责”的原则。云计算及虚拟化的应用,业务所有者仅仅只是云计算的租户,并不是平台所有者,从而改变了这种安全责任关系。在不同的服务模式下,业务所有者的安全责任也有所不同:在SaaS模式,业务所有者基本上依赖服务提供着来保证网络安全;而PaaS或IaaS模式,业务所有需要对安全进行监控和管理,但把物理安全等留给云计算服务提供商。

  这样的安全责任变化势必要求云计算服务提供商和云租户需要不同的安全视图。对于云租户来说只需要关心自己的数据安全和业务连续性,不论实际的物理服务器是处在地球的哪个角落。而对于云服务提供商来说,既需要关注每台服务器、每个网络的安全,也需要关注重点租户的安全状态。

  网络安全产品如何满足这些灵活的管理需求?答案就是虚拟化。安全产品的虚拟化将为云服务提供商和云用户提供灵活的、可扩展的安全防护。

  我们来进一步分析不同的应用场景下传统安全产品的虚拟化需求。

  应用场景一:

  在SaaS的情况下,云计算服务提供商为租户建立了资源池,通过物理线路连接到Internet上。云计算服务提供商需要在Internet的出入口进行安全监控和管理,因此部署了FW/UTM、IDS、审计等安全设备,这些设备能监控资源池中所有的服务器和设备对外的流量。

  由于统一资源池流量都经过同一台安全设备,而不同的租户可能对安全的要求并不相同,这就意味着要求安全设备能为不同的租户提供不同的安全策略,而区分不同的租户不能仅仅依靠物理端口,而必须使用IP地址、Vlan等标识,而产生的日志还需要根据不同的用户进行过滤和筛选。这就要求安全设备从功能层面能具备虚拟设备的能力,即可以把安全设备上的虚拟设备与用户的资源池对应起来。

  应用场景二:

  随着云计算租户对服务能力需求的增加,同一个云计算租户使用的服务器已经不在同一个资源池中,甚至不在同一个地理位置,即同一个云计算租户的流量会经过多个安全设备。

  在这个应用场景中,就要求能对不同物理安全设备上的虚拟设备进行统一管理,并能把多个虚拟设备绑定为一个逻辑设备。

  应用场景三:

  在PaaS或IaaS情况下,除了云计算服务提供商对安全继续监控外,云计算租户也需要对自己的安全状态进行监控。也就是说安全设备的使用者除了云服务提供商外,还有云计算租户。

  这种情况下,安全设备上除了具备有虚拟引擎的功能外,还必须可以为云计算租户来建立账户,并指定一个或多个虚拟设备进行管理。

  通过对以上不同场景的分析可以看出,不同的安全角色有自己的安全需求,在不同的服务模式下、不同的资源规模情况下,同一个安全角色对安全产品的需求也不同。其中场景一和场景二分析了云计算中心的网络边界上对安全产品的需求,场景三分析了云计算租户和服务提供商的不同需求。这些需求可以通过传统安全产品增加虚拟化能力来得到满足。

  云计算的出现,对传统网络安全理念提出了挑战。启明星辰认为,必须主动迎接新的变化,积极思索,不断创新,才能为用户的业务保驾护航,为安全业界做出贡献。

原文发布时间为:2012-04-18

本文作者:    刘策

时间: 2024-10-06 07:49:47

漫谈云计算环境下的传统安全产品虚拟化的相关文章

云计算环境下的传统安全产品虚拟化

[51CTO.com综合报道]传统的IT建设,用户需要自己采购硬件设备.操作系统,购买或开发自己的业务系统,并投入 大量的维护成本.考虑到业务的扩展和瞬时的使用高峰,每个系统的计算.存储能力必须有一定的冗余,这就意味着大部分时候冗余的资源都被浪费.然而当业务爆发式增长时, IT设施由由于建设周期的制约,又无法立即满足需要.云计算的出现,将彻底解决这些问题.云计算通过网络将大量的计算和存储资源连接起来,进行统一的管理和调度,按需提供服务.使用者只需要通过网络访问就可以来 获取存储空间.计算能力或应

云计算环境下数据中心管理运行探讨

编者按:管理是IT系统良性运行的重要保障,不同的IT设备都有自己的管理系统.特别是大规模数据中心,必须通过集中的管理系统来运行管理计算.存储.网络等设备,以能够快速响应和处理数据中心的业务变更.异常事件.持续优化.在<IP领航>往期的文章中曾多次聚焦"数据中心的管理",但大都侧重于"以网络为核心"的管理,本文将把视线放大到整个云计算环境下的数据中心,对三种运行管理模型逐一对比分析. 传统数据中心,基础架构层面设备之间通过标准化连接和协议互通,保证了计算.

云计算环境下存储虚拟化文档加密研究

云计算环境下存储虚拟化文档加密研究 张盎微 随着网络技术的不断发展,特别是云计算的出现,数据文档更多地将从传统的本地数据保存转为云环境中的虚拟化存储.该过程中,传统的数据文档加密方式将不再适用于云计算环境下的文档存储加密.因此,提出一种适用于虚拟存储环境的全新数据加密方式尤为必要.针对云计算环境下存储虚拟化的特点,提出智能动态化的加解密将成为云计算环境下虚拟存储中数据文档的加解密方法,该方法有助于加强数据泄露防护,且对文档实现透明存储和加解密,从而使得用户有更好的虚拟存储体验. 云计算环境下存储

丁丽萍:云计算环境下的隐蔽信道分析

本文讲的是丁丽萍:云计算环境下的隐蔽信道分析,以"互联网安全新思维"为主题的OWASP2011亚洲峰会在11月8日-9日成功举办.本届大会以"网络安全产品测评"."OWASP应用安全技术""业务安全发展新思路""云安全"等多个角度展开深入的讨论.来自中国科学院软件研究所基础软件国家工程研究中心系统安全与可信计算研究室负责人丁丽萍女士为大家分享<云计算环境下的隐蔽信道分析>.她从隐蔽信道.云计算环

云计算环境下CA认证中心的研究与设计

云计算环境下CA认证中心的研究与设计 北京邮电大学   盛宇伟 云计算作为一种新的概念,新的服务模式被提出来,是IT行业又一个崭新的方向.云计算按需提供服务,资源合理利用,简单部署模式等优势在未来不但可以有效的推进计算机的发展,而且可以显著的改善人民的生活及工作方式.然而,安全问题一直伴随着云计算的发展,也阻碍了云计算的发展.认证中心(CA)作为公钥基础设施(PKI)的核心,在安全方面尤为重要.因而在云计算环境中构建认证中心有着深远的意义.本文一方面从云计算安全出发,研究云计算中安全问题以及解决

云计算环境下的安全应用

云计算环境下的安全应用 姜浩 云计算是一种新兴的应用模式,他将传统的应用计算资源整合形成容量更大.速度更快的云服务中心.云计算是以虚拟化技术为基础,以网络为载体,提供基础架构 (IaaS).平台(PaaS).软件(SaaS)等服务,整合大规模可扩展的计算.存储.数据.应用等分布式计算资源进行协同工作的超级计算模式.云计 算的应用能够扩展和收缩,使用户能够获取适合自身需求的资源,在大幅度节省用户计算成本的同时提高了计算效率. 云计算环境下的安全应用

云计算环境下的安全风险分析

1 什么是云计算安全? 在互联网快速发展的今天,网络的安全是不可回避的问题,尤其是各种安全威胁对业务系统的潜在危害逐渐放大的今天,任何IT系统的建设都很难忽视安全问题的存在.而各种"私有云"或是"公有云"的数据中心建设,安全.高效的业务交付也是其成功的基础和必备的要求.每一刻建设的环节,包括物理环境的搭建过程.云计算业务系统的构建.服务器存储资源池的部署,以及系统的运营操作等,都是安全风险的潜在制造者和影响系统安全交付的因素.来自Forrester Consulti

云计算环境下的身份安全管理

身份安全管理,不只是大企业的事 本文讲的是云计算环境下的身份安全管理,[IT168 资讯]如今,网络正以惊人的速度颠覆着人们的工作和生活方式.然而,由于网络的开放性和匿名性,不可避免的存在了许多安全隐患.当前,企业面临诸多挑战,而许多挑战都与用户的身份管理及受保护资源的访问管理息息相关. Anthony Turco认为个人和企业关注身份安全的焦点有所不同,"从企业层面的角度,身份安全管理更多的是如何更好的保护企业的数据和信息,如何让数据和信息更好的为企业决策服务.如何在企业当中管理每个人不同的分

[文档]云计算环境下虚拟机快速实时迁移方法

云计算环境下虚拟机快速实时迁移方法 马飞,刘峰,李竹伊 针对云计算数据中心中虚拟机实时迁移时间过长的问题,提出了一种虚拟机快速实时迁移方法.通过对预拷贝模型进行公式化描述和性能分析,在预拷贝方法中增加了用于标记改动频繁内存页的页位图.在迁移过程中对改动频繁的内存页进行判断,将改动频繁的内存页标记到新增的页位图中,并只在最后一轮迭代中传输.实验结果证明,与传统的预拷贝方法相比,改进后的预拷贝方法明显地减少了迁移时间,达到了快速迁移虚拟机的目的. 关键词:云计算;虚拟机;实时迁移;预拷贝方法 [下载