山石網(wǎng)科劉向明:數(shù)據(jù)中心虛擬化安全可控
責(zé)編:admin |2014-12-15 14:13:0912月12日,2014產(chǎn)業(yè)互聯(lián)網(wǎng)大會(huì)在京舉辦,山石網(wǎng)科CTO劉向明參加并與參會(huì)嘉賓分享了主題為"云數(shù)據(jù)中心的網(wǎng)絡(luò)安全"的演講,闡述了山石網(wǎng)科多年來(lái)在數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)中總結(jié)的經(jīng)驗(yàn),以及對(duì)同類需求的建議和意見(jiàn),得到了廣大參會(huì)嘉賓的認(rèn)可和關(guān)注。
SDN技術(shù)的發(fā)展,計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)虛擬化的逐漸成熟為數(shù)據(jù)中心的發(fā)展開(kāi)辟了廣闊的空間,而網(wǎng)絡(luò)功能虛擬化(NFV)的提出,以及SDN技術(shù)為新型虛擬數(shù)據(jù)中心提供了極大的可擴(kuò)性,靈活性及彈性。技術(shù)的快速發(fā)展和轉(zhuǎn)變,尤其是虛擬化催生了數(shù)據(jù)中心網(wǎng)絡(luò)及數(shù)據(jù)由傳統(tǒng)筒倉(cāng)(Silo)模型向非結(jié)構(gòu)化扁平模式的轉(zhuǎn)化。不同租戶、不同應(yīng)用對(duì)象的物理邊界模糊甚至消失,這對(duì)網(wǎng)絡(luò)、應(yīng)用及數(shù)據(jù)安全提出了全新的挑戰(zhàn)。
劉向明表示,由于網(wǎng)絡(luò)和資源全虛擬化和分布化,網(wǎng)絡(luò)與資源的物理邊界消失,使安全和服務(wù)部署變得困難,在多租戶環(huán)境下,須保證租戶之間,或者租戶內(nèi)不同安全域的隔離與安全防護(hù)。在東西向流量激增情況下,不合理的設(shè)計(jì)將可能導(dǎo)致網(wǎng)絡(luò)流量在實(shí)際網(wǎng)絡(luò)上多次往返,造成倍增的延時(shí)和流量浪費(fèi),影響效率和性能。同時(shí),虛擬機(jī)遷移要求動(dòng)態(tài)感知的安全服務(wù),以及持續(xù)不斷的數(shù)據(jù)中心變化要求安全服務(wù)動(dòng)態(tài)調(diào)整,以提供對(duì)用戶SLA的保證等等情況。而從管理角度上,隨著租戶的增長(zhǎng)和資源的增加,對(duì)安全的管理使原本復(fù)雜的管理更加復(fù)雜。
對(duì)于云數(shù)據(jù)中心的安全建設(shè),劉向明認(rèn)為,關(guān)鍵的難點(diǎn)在于如何應(yīng)對(duì)虛擬化技術(shù)引入后,帶來(lái)的安全挑戰(zhàn),即在虛擬化環(huán)境下,網(wǎng)絡(luò)層下沉到服務(wù)器內(nèi)部,業(yè)務(wù)流量進(jìn)一步加劇,不同租戶的虛擬機(jī)之間的攻擊更加容易實(shí)現(xiàn)等情況,都對(duì)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)手段帶來(lái)極大的挑戰(zhàn)。同時(shí)他建議,可以通過(guò)流量牽引和虛擬防火墻技術(shù),將服務(wù)器內(nèi)部交換的虛擬機(jī)間流量引出來(lái),并完成相關(guān)的安全檢測(cè)與控制措施,在確保訪問(wèn)的安全性后,方可轉(zhuǎn)發(fā)相關(guān)的數(shù)據(jù)。同時(shí)虛擬防火墻也為云數(shù)據(jù)中心內(nèi)部大量的業(yè)務(wù)提供獨(dú)立的安全平面,確保對(duì)不同業(yè)務(wù)實(shí)現(xiàn)差異化的安全策略,保障多個(gè)業(yè)務(wù)的安全運(yùn)行。
基于此理念,山石網(wǎng)科在全分布式防火墻架構(gòu)的專利技術(shù)之上,研發(fā)了針對(duì)數(shù)據(jù)中心安全的全分布式彈性虛擬防火墻架構(gòu)(vEFA),其保留了NGFW的完整功能,并可按需進(jìn)行性能彈性增減。同時(shí)提供單一的管理終端,配備定制化管理接口,并集成 Openstack driver和支持多租戶安全管理。通過(guò)與SDN等云網(wǎng)絡(luò)集成組成服務(wù)鏈,使其具有高效、彈性、統(tǒng)一管理等,通過(guò)支持無(wú)縫遷移,以全新的方式構(gòu)建了現(xiàn)代數(shù)據(jù)中心的安全邊界,從而解決安全與業(yè)務(wù)流程的集成、按需、彈性增減系統(tǒng)的容量及性能、對(duì)網(wǎng)絡(luò)及應(yīng)用的感知以及多租戶的安全隔離等問(wèn)題。
最后,劉向明介紹,山石網(wǎng)科多年來(lái)專注于網(wǎng)絡(luò)安全領(lǐng)域的前沿技術(shù)創(chuàng)新,為用戶提供智能化、高性能、高可靠、簡(jiǎn)單易用的網(wǎng)絡(luò)安全解決方案。自成立以來(lái),服務(wù)了運(yùn)營(yíng)商、金融、政府、教育、企業(yè)等各行業(yè)眾多客戶,覆蓋包括電信行業(yè)數(shù)據(jù)中心安全防護(hù)、ISP數(shù)據(jù)中心防護(hù)、以及某政府?dāng)?shù)據(jù)中心建設(shè)等多個(gè)數(shù)據(jù)中心安全建設(shè)項(xiàng)目,并希望大家關(guān)注和反饋。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!