RSA中国大会张振伦：私有云安全构架概览(1)

在前不久，刚刚结束的RSA 2010大会上，我们聆听了多为嘉宾的演讲。51CTO作为特邀媒体，对大会进行了相关报道。更多内容请参阅RSA 2010信息安全国际论坛专题报道。那么，对于大会中所涉及的一些演讲内容，这里我们再来总结一下。现在，先让我们一起来回顾下VMware公司大中华技术总监张振伦，所带来的演讲《私有云安全构架概览》。张振伦：大家下午好！今天很高兴有这样一个机会，一起跟大家分享一下关于虚拟化以及云计算上的安全问题。实际上我相信大家刚才听了很多介绍，包括我刚才听陈教授的介绍，大家都在讲云存储以及云各个方面的安全，好像现在所有的安全在云上也变成的一个特别特别重要的话题。今天大家都在讲公有云的时候，都
觉得最最重要的一个障碍也是安全。我们如何看安全？在云的架构下，会发生哪些方式的一些改变，从整个架构的角度，我们应该怎么样重新考量？在这之前，我想问一下在座的
各位，我不知道有
多少人知道VMware公司是做什么的？（听众回答：虚拟机）这位先生说VMware公司是做虚拟机的，还有人知道VMware公司是做什么的？我相信几年前大家去看VMware的时候，很多人都知道VMware做服务器虚拟化，这个概念已经过时了。可能两三年前，或者说到我加入VMware的时候，说VMware开始做数据中心虚拟化，数据中心虚拟化比服务器虚拟化的内容拓展了很多，因为这中间加入了网络虚拟化、存储虚拟化、内存虚拟化、应用虚拟化、桌面虚拟化、安全虚拟化等等。也就是说它变成了整个数据中心，在做虚拟化。今天我告诉各位，VMware也不是做数据中心虚拟化，这个概念也已经过时了，那VMware到底在做什么？如果说前些日子大家去关注VMware刚刚在美国召开的用户大会，我们VMware 2010，相信大家看到一个很明确的主题，在这次大会上VMware正式发布的内容。以前很多人都在用VMware的服务器，后来我们改名VMware。今天看到我们发布vSphere，标志着VMware在云计算方面的产品正式落地，同时上周我们在欧洲的用户大会上，VMware又正式发布了vSphere 4.20。这两个重要的发布意味着我们云不是一直飘在天上，要落地了一旦要落地，我们就引出今天的话题，如果说前几年大家一直在说云在天上，这个云下到地上，变成雨之后，长成什么样子，大家会有各种各样的想法，这些想法就造成我们今天根本就没有方向。但是今天这两个对于云计算重要的发布，已经让我们云计算真正可以落地，有现成的产品，我相信如果说我们回过去20年的时候，大家都会觉得互联网是一个很神秘的东西，但是说互联网会带来什么样的影响，没人知道。大家只是觉得我们有很多的东西要往这个方向去走。但是今天我们已经到了另外一个时点，就是云计算。这个时点就是云计算真正落地之后，我们架构的一些挑战。我们今天开始正式看我们整个架构的挑战，在这个架构上，我们怎么样把我们安全的东西加到这个平台，让我们构建一个安全的私有云，或者公有云。我们分成几个阶段去看，我们去看今天我们的数据中心或者这样一个虚拟的云计算的平台到底有什么样的挑战，我们如果用传统的安全架构去做，我们还有一些什么样的漏洞，或者有一些什么样的差距，我们要去弥补，来确保我们上到云计算的时候，我们在安全体系上没有任何的问题。在这里讨论很多可能都是面向于体系结构的角度，可能不是加密、解密等等某一个组件角度怎么样去看。我们去构建整个安全的架构，然后在云计算这个平台上，同时我们也会看一下混合云的平台下如何解决安全的问题。比如这是一个企业级的虚拟的云计算中心，或者我们叫做内部云。今天很多人都听到内部云、外部云、混合云，或者说内部云和外部云之间如何协同的问题，这不是我们今天讨论的主题，但是我们会想到今天云计算的第一步，对于企业的数据中心来说，大家想到就是怎么变成内部云。从今天或者说从前些年大家一直在提的概念，（NGDC），到今天大家基本上又把这个概念OUT了，然后变成内部云这个概念，我们要想完成这个华丽的转身，其中从安全的架构商来说，我们有谁挑战，比如我们看到有各种各样的安全的设备，无论从防火墙，从VPN等等，IDS、IPS一些防御机制，这些事情逐渐堆积在我们整个云计算或者企业数据中心当中，同时我们传统都是烟囱式的管理机制，每一个部分可能都没有很好的实现均衡，我们也建了越来越多的VLAN，如果说随着云规模逐渐扩大，整个架构变得越来越复杂，我们在VLAN建设上可能也会穷尽我们所能设计的VLAN数量，导致我们最后设不下去，同时我们所有建制的这些安全传统的策略都是静态的。所谓静态的，我们怎么样跟着虚拟机或者我们云架构上的动态资源调度，能够确保安全跟着动态变化。如果这些安全结构和体系不能够给云计算动态的调整和优化做好很好的整合的话，那么安全就带来了巨大的挑战，可能会限制很多资源就无法调度。在这里可能又回到传统的模式。当然我们也看到其他一些挑战，跟云结合的时候一系列的挑战，我们传统都没有考虑这些动态的因素，资源可以调度来调度去，虚拟机可以在不同物理机上通过其他一些机制进行漂移，漂移走了之后，连接物理的端口，连接防火墙或者一些安全机制都在发生变更，怎么样来保证这些有效的连接。刚才讲的是数据中心，另外一块也不容
忽视，就是我们的桌面或者我们的终端。有很多人都会说数据中心是我们今天要
重点关注的，桌面，有专门做IT的人去管。实际上我们走到云计算阶段的时候，大家千万不要
忽略了桌面。我们在桌面上可以发生各种各样的问题。我不知道大家有没有去关注，前一段时间，比如我们都知道一个事件，肯德基的"秒杀门"，是怎么导致的。另外在欧洲一个事件，汇丰银行发生了9.7万个客户信息的泄露，这意味着什么？这意味着要有很多的罚款，要有很多形象的损失等等一系列问题。大家想想这些都是黑客攻击到你的数据中心，把这些数据给拿走的吗？真的是有人跑到你的数据中心把你的门撬开，把里面的磁盘搬走的吗？我们说可能那个磁盘搬走也没有用。刚才陈教授讲的时候，里面也有各种数据的加密，我搬走这个数据也没有用，也解不开，但为什么这些数据轻
轻松松泄露到市场上去了？到底谁干的？到底我们的问题何在？实际上不是数据中心的保安问题，也不是数据中心设置一些防火墙或者防入侵等等系统有问题，而是我们的桌面有问题，我们的人有问题。这是最最重要的，最最关键的，无论怎么样加密，无论这个系统再怎么样安全，总归有几个人，甚至几十个人，能够去访问这些数据。如果你要访问这些数据的时候，这些人会不会把这个数据挪作他用，那怎么办。这实际上就是我们今天很多时候讲到桌面云的概念，桌面建数据中心的时候，千万不要觉得它不重要，建云的时候，千万要觉得这一块也是整个安全架构最薄弱环节，也应该把它考虑进来，应该形成桌面云。作为桌面云，给我们企业级的数据中心，或者虚拟数据中心有同样的问题，当然我们也有很多不同的一些问题，比如说我们桌面这一块要装各种各样的软件，要装安全防护，今天防病毒，明天防入侵，不断往里面加很多的东西，一旦形成桌面云，就是想桌面应该是放在数据中心的，前面尽可能是一种安全的访问架构，这种安全的访问架构意味着前台的东西就变成了类似于受客户机一切软件装到你的传统笔记本、台式机上，然后直接访问后台，尽可能不让你前台能够拿到这些数据，你可以看，但是你没办法把它拷走，把它复制，然后把它刻成光盘，把它从网络上传走，等等都不可以做。但是你一旦做成这些架构之后，比如早晨上班，所有员工登陆这些系统，所有机器开始
几点钟指定做病毒扫描，会不会造成整个桌面的灾难。这些方面怎么解决？如果我们还是在玩传统警察抓小偷的游戏，那我们今天的社会治安肯定就会变得更为糟糕。 1 2 3 4 下一页>>查看全文 内容导航第 1 页：VMware发展的方向 第 2 页：让IT变成产业化 第 3 页：私有云安全构架 第 4 页：提问环节 原文：RSA中国大会张振伦：私有云安全构架概览(1) 返回网络安全首页