山石网科刘向明：研究数据中心分布式云安全

　　2006年，美国得克萨斯州立大学奥斯丁分校物理学博士，长期浸淫在网络安全领域并从事高级研发工作的刘向明回到国内和几个同事一起创业。随后，一家名为山石网科的公司很快发展起来，在网络安全市场上稳稳占据了一席之地。山石网科正是刘向明联合创业的公司。而自公司创立开始，刘向明一直担任首席技术官(CTO)，把握着公司技术的发展方向。

　　IT厂商是有技术门槛的，安全厂商的技术门槛更加不低。从某种意义上说，只有在技术创新上保持领先，安全厂商才能在市场上立足。这是因为，用户要选择先进的技术才能最大程度地保障数据中心和系统的安全，否则，一切都无从谈起。

　　刘向明在网络安全技术领域的耕耘，帮助山石网科以先进的产品为用户提供安全服务。在荣获“2013年度十大CTO”称号之际，他接受了《中国计算机报》记者的独家专访，向本报道出了自己对云数据中心网络安全的理解和该领域的发展趋势。

　　网络虚拟化带来安全契机

　　“在传统的数据中心架构中，可以很容易地做一些安全扩展。比如，当数据中心中增加新的服务器时，完全可以通过增加安全设备来控制，因为大家都知道这些新服务器是怎么工作的。但是，在数据中心虚拟化之后，这种做法就行不通了。”谈到数据中心安全，刘向明滔滔不绝。

　　在刘向明看来，虚拟化变革为数据中心安全带来了前所未有的挑战。这种挑战来自数据中心内部，因为虚拟化完全颠覆了原有的数据中心架构。这种安全挑战也阻碍了用户对云数据中心的接受度。

　　“这是因为数据中心虚拟化之后，新增的服务器会虚拟化成多个虚拟机，你无法确定新增加的服务器会运行什么业务，所以无法进行有针对性的安全防护。”刘向明告诉记者。

　　事实上，数据中心虚拟化所带来的安全困境，根本原因在于网络和安全虚拟化的滞后。“在2000年之后的七八年里，我们一直处在服务器虚拟化和存储虚拟化的阶段，在大概四五年前出现了虚拟交换机，两三年前出现了SDN(软件定义网络)。”刘向明认为，数据中心目前正在从计算、存储虚拟化向网络虚拟化过渡。“这将使网络和计算、存储资源一样变成基础架构虚拟化的一部分，而这种变化将给安全带来了新的契机。”

　　“为什么这么说呢？因为在传统的虚拟化的架构里面，我们经常考虑的是虚拟机安全，很难去找到边界去进行防护。但是当网络虚拟化之后，虚拟网络自然会产生边界，虚拟网络边界安全为云数据中心安全增加了一个着力点。”刘向明说。

　　当前安全方案四大局限

　　对于数据中心虚拟化之后的网络安全解决方案，现在通常有两种做法：一种做法是通过软件的方式，在虚拟机的层面进行安全部署；另外一种做法是在数据中心的入口通过一个设备来实现对整个数据中心的安全控制。“但是这就需要一个容量非常大、性能特别高的硬件设备。”刘向明告诉记者，这两种方式适用于不同的应用场景，但是有些时候，这两种解决方案都存在一些不足。

　　“没有一个解决方案是完美的。在一些场景中，当前的安全解决方案还存在局限性。”刘向明指出，“一是大型的公有云。它的租户数量庞大，流量也大，现有方案的安全定制化不足，每个用户的安全需求是不一样的，如何给这么多用户提供定制化的安全服务是一个挑战。二是弹性拓展。它的挑战在于安全解决方案能否在用户的新业务上线时，动态地为其提供安全服务；在租户数量大规模增加的时候，也能快速为这些租户提供安全服务。三是安全能否基于服务，即在现有的同一个架构上为用户提供更多的安全服务，而不用调整基础架构。四是安全部署与管理的集成问题。在云数据中心中一定有云的管理系统，而安全解决方案必须跟这些管理系统紧密结合，才能为用户提供一套自动化的安全部署方案。”

　　面对挑战，刘向明始终在进行思考。“你可以想象一下，在机架中是如何做分布式处理的。通过在交换背板上安装不同的板卡来实现各种扩展。但是众所周知，在一个机架中板卡最多也就是几十个，而在云环境中相应的虚拟机可能是几百个甚至上千个。而且，随着虚拟机的迁移，所有的安全部署都要相应做出调整，这也是云数据中心安全的一个难点。”刘向明告诉记者，“所以山石网科正在研究，如何把传统机架中的分布式处理系统扩展到云环境中，打造真正的分布式的云安全。”

　　未来的弹性安全网络

　　毫无疑问，从被动安全到主动安全是安全领域的发展趋势。“山石网科近期发布了下一代智能防火墙(iNGFW)，就是看到了这样的趋势，让安全设备可以主动收集数据并进行大数据分析，从而实现主动防护。此外，山石网科看到的另一个趋势，是随着攻击的多样化和复杂化，数据中心的安全管理正在从针对威胁逐渐转向针对风险。”刘向明告诉记者，“对于管理员来说，实际的攻击方法并不是他们关心的，他们真正关心的是如何找到安全问题并建立防御机制，所以山石网科的下一代智能防火墙提供了基于风险、信誉的可视化、一体化管理功能。”

　　对于未来的云数据中心网络安全，刘向明认为它应该是一个弹性的安全网络。“我认为数据中心未来的网络安全架构有三个部分：第一个部分是安全触角。它通过分步式的方式随着硬件部署，具有非常好的可扩展性。它关心局部的安全，具有虚拟机的感知能力，能够根据虚拟机的变化动态地对局部安全进行资源调整。第二个部分是安全资源池。它是全局资源，可以是硬件，也可以是软件，可以分步部署，也可以集中式部署。还有很重要的一点，它的安全资源能够自动调整，同时能够支持多租户应用。第三个部分是管理集成，如果安全要成为基础架构的一部分，就必跟数据中心的云管理系统进行集成，必须跟现在的网络虚拟化软件进行集成，这样云服务提供商才可以通过自动化的方式部署虚拟机，部署跟虚拟机相关的安全。”

　　本报记者 程彦博