中國云數(shù)據(jù)中心安全市場茁壯成長云主機和SDN帶來新挑戰(zhàn)對話邁克菲北亞區(qū)技術(shù)總監(jiān)鄭林

本刊記者 | 黃海峰

隨著云計算數(shù)據(jù)中心規(guī)?；l(fā)展，云安全服務(wù)市場也日漸增長，如何保證數(shù)據(jù)中心云安全系統(tǒng)的安全備受關(guān)注。

鄭林

邁克菲虛擬NSP產(chǎn)品首次亮相

從以物理形式出現(xiàn)的傳統(tǒng)數(shù)據(jù)中心，到云計算虛擬化數(shù)據(jù)中心，再到軟件定義數(shù)據(jù)中心，數(shù)據(jù)中心的演變催生出新的、更高的安全需求。在電信行業(yè)，中國運營商繼續(xù)推動大型云數(shù)據(jù)中心的建設(shè)，其安全防護變得越來越重要。同時，如何提供云安全增值服務(wù)也成為運營商關(guān)注的焦點。就當(dāng)前電信領(lǐng)域數(shù)據(jù)中心云安全發(fā)展特點以及未來走向，《通信世界》專訪了邁克菲北亞區(qū)技術(shù)總監(jiān)鄭林。

云DC安全市場偏向兩大方向

《通信世界》：就您了解，目前電信云數(shù)據(jù)中心安全市場現(xiàn)狀如何？

鄭林：數(shù)據(jù)中心云安全發(fā)展分為兩方面，即云數(shù)據(jù)中心自身安全保護和基于數(shù)據(jù)中心提供云安全增值服務(wù)。對于前者，目前發(fā)展依然較欠缺，運營商對云主機、虛擬環(huán)境下的安全防護不夠充分，如數(shù)據(jù)中心日志分析、時間分析管理等需要進一步加強。這是因為云數(shù)據(jù)中心防護需要對傳統(tǒng)安全架構(gòu)進行大的調(diào)整，要協(xié)同多個環(huán)節(jié)并不容易。

在云安全增值服務(wù)方面，電信運營商等公有云服務(wù)商都希望提供更豐富的數(shù)據(jù)中心業(yè)務(wù)，為傳統(tǒng)的云主機、云存儲等業(yè)務(wù)“加碼”。眾多運營商都能提供傳統(tǒng)的云業(yè)務(wù)，但由于業(yè)務(wù)差異不大，市場最終會走向價格競爭，不利于良性發(fā)展。如果能將云安全作為增值服務(wù)，可以豐富上述傳統(tǒng)的云業(yè)務(wù)。如邁克菲幫助亞馬遜在提供云主機服務(wù)時，為客戶提供更多高級的云安全服務(wù)。

電信云DC市場總量小、增速快

《通信世界》：從技術(shù)方面看，2013年運營商云數(shù)據(jù)中心安全防護面臨哪些新得威脅？運營商云安全方案采購需求相比去年有哪些心的變化？貴公司參與了哪些，表現(xiàn)如何？

鄭林：相比去年，一是運營商對云數(shù)據(jù)中心防護力度要求越來越細(xì)，之前更多集中在防火墻、入侵防護上，目前對云主機安全防護、數(shù)據(jù)庫安全事件分析等方面需求量顯著增長。二是萬兆以上網(wǎng)絡(luò)安全攻擊檢測需求增多。運營商提出新的安全系統(tǒng)要能滿足高帶寬、大流量時期網(wǎng)絡(luò)需求。今年三季度邁克菲完成了對Stonesoft的要約收購。 Stonesoft 是下一代網(wǎng)絡(luò)防火墻產(chǎn)品的主要創(chuàng)新廠商，在主動防御、智能管理等方面都表現(xiàn)優(yōu)秀。。

與此同時，目前許多云數(shù)據(jù)中心建設(shè)更關(guān)注基礎(chǔ)架構(gòu)調(diào)整，如虛擬化平臺建設(shè)、資源池化調(diào)整，以搭建完善的云基礎(chǔ)架構(gòu)。從整個中國市場看，現(xiàn)在數(shù)據(jù)中心安全項目非常多，大部分項目集中在傳統(tǒng)項目，如防火墻、入侵防護等，但數(shù)據(jù)中心云安全正呈現(xiàn)快速上升趨勢，已成為重要的發(fā)展方向。

此外，云安全服務(wù)則處于新興發(fā)展時期，需要運營商和安全廠商共同引導(dǎo)市場。針對中國客戶對安全服務(wù)消費的特征，可將安全服務(wù)實行“免費+收費”并行的模式：防火墻等基礎(chǔ)服務(wù)免費，APT、DDoS防護等更高級別安全服務(wù)收費。目前邁克菲已經(jīng)在中國與運營商、服務(wù)商等合作伙伴共同推廣安全云服務(wù)，已經(jīng)有許多企業(yè)選用，使用效果得到認(rèn)可。當(dāng)前我們提供的包括終端、郵件、web方面的云安全服務(wù)，下一步將要提供網(wǎng)絡(luò)等更多領(lǐng)域豐富的安全服務(wù)。

SDN數(shù)據(jù)中心防護成新熱點

《通信世界》：就您預(yù)測，2014年中國云數(shù)據(jù)中心安全市場將進入何種階段？呈現(xiàn)哪些特點？貴公司明年將著重哪些方面的研究和拓展？

鄭林：數(shù)據(jù)中心網(wǎng)絡(luò)越來越多自動化、流程化發(fā)展，運營商將安全作為基礎(chǔ)元素融合到數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)運營中，而非以前后續(xù)“打補丁”的方式。邁克菲已經(jīng)和Vmware就融合的虛擬化平臺進行合作，推出虛擬化網(wǎng)絡(luò)安全方面最主要的產(chǎn)品——虛擬NSP，將于今年12月份正式上市。將安全系統(tǒng)融合到虛擬化平臺帶來哪些好處？用戶只需要購買云主機等云服務(wù)產(chǎn)品，節(jié)省在安全系統(tǒng)管理方面的資金和時間，專注自身業(yè)務(wù)的發(fā)展。

目前業(yè)界對軟件自定義（SDN）數(shù)據(jù)中心研究較多，這給云數(shù)據(jù)中心的安全系統(tǒng)帶來新的挑戰(zhàn)。簡單講SDN數(shù)據(jù)中心網(wǎng)絡(luò)會更加動態(tài)靈活，管理呈現(xiàn)自動流程化，安全層面的防護也需要與用戶工作數(shù)據(jù)流緊密結(jié)合在一起。如此一來，傳統(tǒng)安全系統(tǒng)架構(gòu)必然不再適應(yīng)，需要新的變革。

在近日vForum大會上，VMware隆重推出NSX網(wǎng)絡(luò)虛擬化平臺。而邁克菲也首次亮相了在虛擬化網(wǎng)絡(luò)安全方面最主要的產(chǎn)品——虛擬NSP，這是全球第一款也是目前惟一一款支持VMware NSX的入侵防護產(chǎn)品，將于今年12月份正式上市。

概括地講，它可以對同一物理機上的不同虛擬機進行流量監(jiān)測，并對可疑流量進行隔離，整個過程不需要任何人工干預(yù)和操作，完全自動化。邁克菲虛擬NSP基于英特爾DPDK(Intel DataPlaneDevelopmentKit,Intel 數(shù)據(jù)平面開發(fā)套件)技術(shù)增強數(shù)據(jù)轉(zhuǎn)發(fā)能力，同時具備單一設(shè)備多租戶支持、按需擴展及端口配置靈活的特點。事實上，這款產(chǎn)品是邁克菲將既有的NSP遷移到一個虛擬化結(jié)構(gòu)來實現(xiàn)的。邁克菲的NSP是一款有著十多年歷史、極其成熟的產(chǎn)品，且在國內(nèi)擁有廣泛的客戶群。此外，隨著軟件定義數(shù)據(jù)中心的發(fā)展，邁克菲還會陸續(xù)將其它安全防護產(chǎn)品遷移到VMware NSX上來，真正實現(xiàn)安全資源與技術(shù)的無縫整合。

在主機安全方面，邁克菲則是通過數(shù)據(jù)中心套件以發(fā)現(xiàn)、保護和擴展三步驟來實現(xiàn)。邁克菲數(shù)據(jù)中心套件可以自動發(fā)現(xiàn)其目前管理的所有物理設(shè)備和虛擬化設(shè)備，例如VMware vCenter 及Amazon AWS。不僅能在邁克菲ePO平臺的管理界面清晰呈現(xiàn)，還可將應(yīng)用程序分類為“Known Good”(已知無害)、“Known Bad”(已知有害)和“Grey List”(灰名單)。同時，除了保護虛擬機的計算安全外， 邁克菲的安全解決方案正在向云端擴展。目前，ePO具備彈性感知，已經(jīng)可以支持混合云，能自動發(fā)現(xiàn)并確保云實例的安全，確?，F(xiàn)場部署以及基于云的數(shù)據(jù)中心間的安全狀態(tài)的統(tǒng)一。