数据中心安全防护亟待突破现状

 

　　随着互联网及其相关应用产业的发展，内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台，它通过与骨干网高速连接，借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管等业务。

 

　　互联网应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型。受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显得力不从心。

 

　　高性能和虚拟化仍然是根本要求

 

　　虽然针对数据中心的安全服务遍及各大行业，甚至很多细分行业领域，但是对于数据中心的安全建设要求还是存在一定共性的。Fortinet中国区首席技术顾问谭杰认为，高性能和虚拟化是当前数据中心安全防护解决方案的两大基础共性。谭杰进一步解释道，数据中心，尤其是云计算数据中心的海量业务，对安全系统的吞吐量、延迟和会话能力都提出了极高的要求。关键点在于，数据中心中多租户模式而导致的业务种类繁多的特点，很难事前对大小数据包的比例进行规划和设计，因此非常需要安全设备的性能对大小包不敏感，即小包（如64字节）性能与大包相同。另外，云计算数据中心的虚拟化场景需要安全解决方案的良好配合。例如：为每个租户分配不同的虚拟安全设备及管理账号，让其自行管理，这就要求安全设备的虚拟化是完整的（包括接口、路由、策略、管理员等各种对象）。另外不同租户的业务不同，对安全保护的要求也各不相同。例如Web服务商需要IPS，邮件服务商需要反垃圾邮件，这就要求安全设备的所有功能都能在虚拟化之后正常工作。

 

　　对于上述观点，华为安全产品线营销工程师刘东徽也认为，数据中心防火墙的性能要基于“真实流量”来看，而不是简单的在某一种特定类型数据流量环境下的性能。目前数据中心的流量主要集中于东西向（数据中心内数据交换），而南北向（数据中心出口）流量较少。但是由于连接请求的基数很大，因此对于防护设备的性能和并发连接数的支持都要求相当高。我们正处于一个大数据的时代，80%-90%的数据都是近两年产生的，而到2015年，全球的IP流量将会翻四倍，在线人数也将冲击30亿人大关。华为安全产品线营销工程师石金利补充道，虚拟化的产生，使得服务器、存储、带宽等数据中心资源的利用率大幅提升，而产生的影响就是可同时访问资源的用户数量极大地膨胀，由此导致了数据中心防护设备对于并发数量的支持要求更高。另外，当数据中心的一台服务器宕机之后，防火墙要能够将安全策略动态迁移到冗余的服务器上，实现自动策略部署。因此，数据中心防护设备必须要做到高性能、高可靠性、灵活部署和可扩展。

 

　　谭杰对于高性能的需求方面也持认同态度。他表示，当前的云数据中心对安全产品的性能要求达到了前所未有的高度，吞吐量动辄高达百G以上，延迟、小包吞吐率 （包转发率）、会话能力要求也极高。另一方面，机房空间、能耗等也是制约数据中心发展的重要因素。因此节能、环保、绿色也是数据中心安全建设的一大要求。

完全虚拟化还是部分虚拟化？

 

　　目前，业界对于云数据中心内部的虚拟化提出了完全虚拟化（即在虚拟化服务器上的一个虚拟机）和部分虚拟化（即一台防火墙虚拟多台防火墙）两种方式来解决云数据中心虚拟机内部流量和虚拟机之间流量的安全检查问题。

 

谭杰指出，在云计算时代，虚拟化的确成了防火墙（包括下一代防火墙、UTM等多功能网关）的必备功能。安全部署必须无缝贴合云计算虚拟化的结构。完全独立的虚拟化，