云數(shù)據(jù)中心面臨安全挑戰(zhàn)國內(nèi)公有云防護市場仍處“萌芽期”

本刊記者 | 黃海峰

云計算的深入發(fā)展，讓數(shù)據(jù)中心業(yè)務(wù)模式發(fā)生巨大變化，其安全防護也面臨新的挑戰(zhàn)。

走進辦公室，看到綠盟科技副總裁吳云坤稍顯疲憊——上午還在外地開會，下午就馬不停蹄從機場趕回。而當(dāng)聊起云安全話題時，他滿臉興奮。

云計算快速發(fā)展讓業(yè)界興奮，也讓國內(nèi)安全企業(yè)看到了機遇。當(dāng)前，運營商、IT企業(yè)、互聯(lián)網(wǎng)企業(yè)、銀行等紛紛建設(shè)大型云計算數(shù)據(jù)中心，如何保障這些數(shù)據(jù)中心、云業(yè)務(wù)的安全成為重要關(guān)注點之一。

云數(shù)據(jù)中心采用大量虛擬化技術(shù)，面臨大數(shù)據(jù)流量的挑戰(zhàn)，產(chǎn)業(yè)鏈安全企業(yè)紛紛推出相應(yīng)云安全產(chǎn)品和方案。但是有人士認為云數(shù)據(jù)中心的防護其實和傳統(tǒng)數(shù)據(jù)中心安全防護相差不大，到底如何？云計算的快速發(fā)展是否讓眾多國內(nèi)外企業(yè)站在市場同一起跑線上，國內(nèi)企業(yè)可實現(xiàn)“彎道超車”？數(shù)據(jù)中心安全防護市場格局是否已經(jīng)被云計算“撬動”？

分析數(shù)據(jù)中心防護的趨勢，安全企業(yè)才能順勢發(fā)展，快速成長。就云數(shù)據(jù)中心防護市場的發(fā)展?fàn)顩r和未來趨勢，《通信世界周刊》從技術(shù)變革的商業(yè)影響角度專訪了吳云坤。

云數(shù)據(jù)中心“危機四伏”

Gartner2011年新技術(shù)預(yù)測云計算依然處于最高期望點，預(yù)計2～5年內(nèi)成為主流應(yīng)用。jackofallcloud2011年數(shù)據(jù)分析，美國主要云計算服務(wù)商托管的大中型網(wǎng)站數(shù)月增長率達4% 。

面臨云機遇，國內(nèi)三大運營商紛紛建設(shè)大型的云數(shù)據(jù)中心，推出云主機、云存儲等業(yè)務(wù)。而互聯(lián)網(wǎng)企業(yè)也不甘落后，2011年10月，在阿里云開發(fā)者大會上，阿里云計算正式發(fā)布旗下的云計算產(chǎn)品與服務(wù)。

中國的市場還吸引了國外領(lǐng)先企業(yè)的關(guān)注。2012年11月，微軟宣布將與世紀(jì)互聯(lián)達成合作，提供基于中國數(shù)據(jù)中心的云服務(wù)，實現(xiàn)Office 365云計算辦公軟件、Windows Azure云計算平臺在中國的落地。

然而，云計算安全事件頻發(fā)，嚴(yán)重影響了用戶使用云服務(wù)的信心。如2011年3月，最早提出云計算服務(wù)的谷歌爆發(fā)大規(guī)模用戶數(shù)據(jù)泄露事件，約有15萬Gmail用戶表示自己的所有郵箱和聊天記錄被刪除，而有部分用戶則表示其賬號被重置。Morgan Stanley在2011年關(guān)于云計算的調(diào)查結(jié)果表明，將近80%的用戶對云服務(wù)的安全性表示擔(dān)憂。

吳云坤表示，云計算作為一種新技術(shù)，新的運營形態(tài)，必然會帶來新的漏洞和新型攻擊?！翱蛻魧@種新模式不懂，由于未知而心存擔(dān)憂，這推動了云數(shù)據(jù)中心防護市場的發(fā)展?！?/p>

“保護云數(shù)據(jù)中心就像是保護‘飛機場’和‘飛機’?！眳窃评そ榻B，以前保護數(shù)據(jù)中心，主要指數(shù)據(jù)中心基本的網(wǎng)絡(luò)設(shè)備安全，已經(jīng)有成熟的技術(shù)和模式。而在云計算模式下，互聯(lián)網(wǎng)企業(yè)托管給數(shù)據(jù)中心運營者的不僅僅是物理設(shè)備，還包括業(yè)務(wù)的安全運營，或者整個IT服務(wù)完全租用。原來只保護數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)這個“飛機場”，現(xiàn)在要保護客戶業(yè)務(wù)這個可以移動變化的“飛機”，難度增加不少。

公有云防護需求未“爆發(fā)”

越來越多的企業(yè)在建設(shè)云計算數(shù)據(jù)中心，也開始格外關(guān)注安全防護，那么目前國內(nèi)云數(shù)據(jù)中心防護市場是否真的已經(jīng)爆發(fā)?吳云坤表示，云安全市場伴隨著云業(yè)務(wù)的發(fā)展，也在快速增長。但在國內(nèi)，主要集中在大型私有云數(shù)據(jù)中心，而非公有云。

云數(shù)據(jù)中心保護分為云內(nèi)部虛擬機之間以及云邊界防護。可以看到，政府、金融、能源等多個行業(yè)都在建設(shè)應(yīng)用虛擬化技術(shù)的大型數(shù)據(jù)中心，他們的IDC屬于自用，并非特別需要對內(nèi)部的虛擬機之間進行太多的防護，只是關(guān)注外部防護。所以“保護云”主要增長點在私有云。

2012年國內(nèi)運營商云計算實質(zhì)性落地

2012年5月，中國電信成立云計算公司，該公司集銷售、運營、產(chǎn)品研發(fā)為一體，將統(tǒng)領(lǐng)中國電信全網(wǎng)包括IDC、CDN等在內(nèi)的廣義云業(yè)務(wù)。

2012年5月，中國聯(lián)通推出了云主機、云存儲、專享云、云孵化和云集成5大產(chǎn)品，3套公共PaaS支撐和15種具體的能力。

2012年8月，中國移動發(fā)布大云2.0，該平臺已經(jīng)形成云計算IaaS、大數(shù)據(jù)/分析型PaaS、交易型PaaS、云計算運管管理4大研發(fā)方向，完成14項產(chǎn)品研發(fā)。

“公有云防護市場依然處于發(fā)展初期?！眳窃评そ榻B說，從經(jīng)濟角度看，需求拉動供應(yīng)，現(xiàn)在公有云防護需求并不多。原因主要表現(xiàn)三點：一是中國建設(shè)公有云的主要是電信運營商，在帶寬依然是稀缺資源的情況下，其銷售帶寬性價比要遠遠高于推廣云業(yè)務(wù)。所以其云業(yè)務(wù)還是底層的基礎(chǔ)設(shè)施租賃業(yè)務(wù)，如云主機、云存儲業(yè)務(wù)；二是運營商在解決大型客戶的虛擬機安全需求時，并非從系統(tǒng)層面進行，而是專門劃出部分機房建成VIP區(qū)域，單獨保護；三是政府加強了信息安全的監(jiān)管要求，傳統(tǒng)安全系統(tǒng)隨著業(yè)務(wù)增多越來越復(fù)雜，這花費了運營商的更多精力。

“目前云數(shù)據(jù)中心防護重點需求產(chǎn)品是防火墻、DDoS、入侵檢測系統(tǒng)等。”吳云坤總結(jié)認為，云數(shù)據(jù)中心安全防護是大趨勢，但是公有云部分面臨挑戰(zhàn)。大型網(wǎng)站或者政府單位自建私有云、中小企業(yè)對云服務(wù)需求不強烈，同時，很多地方運營商銷售體系不是很積極，這也就導(dǎo)致運營商對“保護云”不夠重視。

國內(nèi)外站在不同“起跑線”

“全球都在建設(shè)云數(shù)據(jù)中心，但歐美云落地更快。”吳云坤介紹，國外已經(jīng)建立了完善的云數(shù)據(jù)中心生態(tài)系統(tǒng)。國外的中小企業(yè)非常認可IT資源租賃，需求旺盛。因此，國外運營商、互聯(lián)網(wǎng)企業(yè)等云數(shù)據(jù)中心運營企業(yè)也更多是在銷售云平臺，提供IT資源能力租用，推廣安全SaaS增值服務(wù)。在云市場背景下，國外安全廠商也較早推出與云平臺結(jié)合的安全系統(tǒng)，多年實踐積累了深厚的“云底蘊”，如賽門鐵克、趨勢科技、邁克菲等。

“在經(jīng)歷經(jīng)濟危機之后的北美市場，IT與信息安全市場已經(jīng)逐步恢復(fù)了生機，云計算、云安全依然是最大的熱點，各個產(chǎn)業(yè)層面已經(jīng)進入實際應(yīng)用的階段，而大量的傳統(tǒng)應(yīng)用，也開始向云端遷移?！?/p>

有人認為，云的出現(xiàn)攪亂了安全市場，安全企業(yè)站在同一起跑線上，國內(nèi)企業(yè)面臨“彎道超車”機遇。對此，吳云坤則給出冷靜分析，“目前國內(nèi)許多安全廠商推出新的安全產(chǎn)品，宣傳自己可以保護云數(shù)據(jù)中心，噓頭大于實際?！?/p>

安全問題引發(fā)云計算的信任危機

2011年3月，約15萬Google Gmail用戶的郵件和聊天記錄被刪除，部分用戶賬戶被重置。

2011年5月，微軟的Office365電子郵箱服務(wù)中斷，許多美國客戶權(quán)益受損。

2011年8月，Microsoft和Amazon在歐洲的云計算網(wǎng)絡(luò)大規(guī)模宕機，多家網(wǎng)站長時間關(guān)閉，數(shù)小時后才恢復(fù)正常。

2011年11月，F(xiàn)acebook遭遇黑客攻擊，數(shù)百萬用戶賬戶被病毒入侵，導(dǎo)致用戶在不知情的情況下分享了色情和暴力圖片。

2012年8月，盛大云主機故障導(dǎo)致用戶數(shù)據(jù)丟失。

吳云坤，畢業(yè)于南京航空航天大學(xué)，獲碩士學(xué)位。曾在國內(nèi)外多家安全公司任職。2005年加入綠盟科技，現(xiàn)任綠盟科技副總裁，負責(zé)產(chǎn)品規(guī)劃與管理、市場推廣與營銷、以及市場品牌等工作。

在吳云坤看來，云數(shù)據(jù)中心的防護包括基礎(chǔ)、平臺、應(yīng)用多個層面，還需要從攻防、合規(guī)等角度進行系統(tǒng)的分析建設(shè)，并不是一款產(chǎn)品或者一類產(chǎn)品就可以做到的。另一方面，云計算操作系統(tǒng)做的最好的是Vmware等國外企業(yè)，這些企業(yè)與美國等國外安全廠商合作更多。

據(jù)了解，VMware為代表虛擬化廠家解決方案，將傳統(tǒng)安全防護設(shè)備虛擬化，與Hypervisor（虛擬化管理）功能整合，通過其內(nèi)部的邏輯端口監(jiān)測虛擬機間數(shù)據(jù)流量，實現(xiàn)對虛擬機的安全管理。吳云坤介紹，目前中國安全企業(yè)在尋求與主流的虛擬化軟件提供商進行合作的時候，由于國家和地域的問題，依然存在一定的難度，從客觀上會延緩國內(nèi)安全企業(yè)虛擬化安全的進程?！?/p>

面對這種情況，中國安全企業(yè)急需要走出去，擴大視野、積累經(jīng)驗并開拓市場。據(jù)介紹，綠盟科技攜帶安全產(chǎn)品通過了美國的各個安全產(chǎn)品認證，并在美國建立分公司，按照美國市場的規(guī)則發(fā)展，成功地突破了市場門檻。

對于中國企業(yè)走向國際，吳云坤還介紹，除了銷售自己的技術(shù)，中國安全企業(yè)也可以通過收購等方式，進行優(yōu)勢互補。

來自云的安全技術(shù)將占上風(fēng)

“相比保護云，基于云的防護技術(shù)發(fā)展更快?！睂τ谠茣r代的國內(nèi)安全企業(yè)最應(yīng)該關(guān)注的實踐領(lǐng)域，吳云坤表示，目前企業(yè)系統(tǒng)越來越復(fù)雜，業(yè)務(wù)越來越豐富，安全問題也越來越多。企業(yè)和廠商都不得不面對業(yè)務(wù)復(fù)雜所帶來的精力有限的挑戰(zhàn)。吳云坤強調(diào)，“以前的單純依靠單一的產(chǎn)品提供防護，效果越來越不明顯”。

吳云坤指出，安全企業(yè)思路要改變，而不是單純地進行一兩個產(chǎn)品的創(chuàng)新，或一兩個技術(shù)點的競爭力?！八曰貧w本質(zhì)，我們需要的是一種服務(wù)和能力。不是單純一個服務(wù)的出現(xiàn)，是一個模式的出現(xiàn)?！?/p>

以綠盟科技為例，綠盟科技的思路是希望企業(yè)把專業(yè)的分析工作，包括安全定位工作，以及檢測等交給專業(yè)安全公司來做?！翱蛻粲懈匾氖虑橐觥?。具體到安全方面，吳云坤指出，安全廠商需要有預(yù)測、檢測、保護、響應(yīng)等多方面的能力，才可以把安全服務(wù)形式很好的轉(zhuǎn)化。

另外，安全廠商需要打造核心的云安全智能庫。“安全智能庫最重要的是大腦關(guān)注的知識，很有可能是一種推理能力，比如針對異常行為的模式分析，判別能力，還有甚至是頭腦當(dāng)中的信念，這些其實任何一個廠商都需要長期維護，所有安全智能庫和設(shè)備是結(jié)合的，甚至有的可以直接通過SaaS提供給用戶。”

系統(tǒng)廠商安全技術(shù)專業(yè)性欠缺

談及目前云安全行業(yè)的企業(yè)現(xiàn)狀，吳云坤表示，云安全是跨在網(wǎng)絡(luò)和安全之間，市場分為三種流派，一是網(wǎng)絡(luò)集成商專注更快、更高、更強的防火墻等網(wǎng)絡(luò)安全產(chǎn)品，代表企業(yè)有華為、中興、思科、深信服、H3C、銳捷等。這些網(wǎng)絡(luò)集成商為客戶建立云數(shù)據(jù)中心，更多關(guān)注數(shù)據(jù)中心網(wǎng)絡(luò)整體的能力，安全僅僅是其中一環(huán)。

二是專業(yè)安全廠商。這些企業(yè)關(guān)注網(wǎng)絡(luò)的攻防，從安全角度全面分析云數(shù)據(jù)中心各個層面的威脅和漏洞，然后才是網(wǎng)絡(luò)設(shè)備的安全性能。這方面的代表企業(yè)國內(nèi)有綠盟科技、啟明星辰等，國外有趨勢科技、賽門鐵克、邁克菲等。

三是云服務(wù)商提供云安全服務(wù)。如VMware于2010年推出“VMware vShield”系列產(chǎn)品，對虛擬數(shù)據(jù)中心和虛擬機提供安全防護功能；2012年1月，Amazon和Check Point聯(lián)手推出Check Point 云安全平臺，進一步提供以虛擬安全網(wǎng)關(guān)為特征的虛擬網(wǎng)絡(luò)邊界安全服務(wù)。

在國內(nèi)，目前較多的云數(shù)據(jù)中心都是集成商在承建，所以運營商也將其安全部分交給他們。

“對于云數(shù)據(jù)中心防護，系統(tǒng)廠商安全技術(shù)專業(yè)性欠缺，安全企業(yè)更具優(yōu)勢?！眳窃评そ榻B，安全企業(yè)構(gòu)建云時代的安全，更多是讓數(shù)據(jù)“說話”，具備三方面的優(yōu)勢：一是建立或完善安全數(shù)據(jù)的運營體系；二是重視攻防和建模，基于異常和信譽的檢測和防護方法重要性凸顯；三是通過持續(xù)運營，不斷優(yōu)化數(shù)據(jù)和各種智能工具。“這些能力是提供安全硬件的網(wǎng)絡(luò)集成商無法替代的。”