隐患重重 云数据中心安全防护之道

　　毫无疑问，云数据中心具有前景广阔的市场。

　　于是，很多厂商投身其中，希望能够搭上云数据中心发展的快车，并发力行业云等领域。近日，汉柏科技云运营事业部总经理邱召强和汉柏科技云安全事业部总经理王智民接受了记者专访，他们向记者指出，云数据中心作为行业专属云的基础平台，其重要性对于企业来说不言而喻，但是不管是自建云数据中心还是其他方式，都有两个重要问题无法绕过，一个是能耗，一个是安全。

　　两大难题

　　“数据中心运营产生的能耗投入在企业运营过程中所占比例最大。以电力费用投入为例，通常它们在运营成本中占比40%，在大型或超大型数据中心中则可以达60%。”邱召强表示，在新数据中心方面，汉柏推出的云计算融合系统——云立方，它融合计算、存储、网络、安全、云软件于一身，具有可统一管理、快速部署和横向扩展等特性，可以为新建的数据中心降低能耗。在原有数据中心改造方面，则可以利用汉柏推出的UMS整体机房管理方案，通过包括的虚拟化软件、云平台和应用超市，将硬件软件全部整合进行统一管理，让不运行的服务器自动休眠来降低能耗。

　　能耗问题是数据中心领域显而易见、始终关注的，而安全问题则隐蔽得多，特别是在云数据中心中，解决安全问题显得更加重要。

　　“云数据中心意味着数据更加集中，如果这些数据出现问题，无论是丢失还是被篡改甚至被窃，对任何企业都是一场毁灭性的灾难。”王智民认为，目前为数不少的传统行业企业对云数据中心安全防护的认知还有较大偏差，他们通常认为只要采用知名的虚拟化软件将数据中心虚拟化，再部署防火墙、IPS(入侵防御系统)等就能做好云数据中心的安全防护工作了。

　　“云数据中心的安全防护方式与传统数据中心的安全防护方式并不相同。如果用传统数据中心的防护方式去防护云数据中心，其实相对于让云数据中心裸奔。”王智民说。

　　王智民解释说，这是因为云数据中心和传统数据中心的安全防护区别很大，常规的虚拟化软件中并不包含有效的安全防护组件，而使用传统的防火墙、IPS等安全产品来防护云数据中心，并不具备针对性。此外，在云数据中心架构下，多租户的计算环境、网络环境和存储环境均存在着安全隐患。王智民以云数据中心的存储为例解释说，租户的存储空间既需要隔离，不能让别人访问自己存储的数据，又需要在它们需要互相访问和数据共享时提供安全控制功能等。

　　三个维度

　　王智民告诉记者，面对云数据中心带来的安全挑战，需要从三个维度来考虑云数据中心的安全问题。

　　首先是可信。作为云服务商，可信显得非常重要，如果没有用户、企业与云服务商之间的信任机制，云服务的推行将寸步难行。“业界现在很多人都在讲可信，就汉柏科技而言，在这方面也做了很多工作。比如我们要防范超级管理员的风险，云数据中心的核心就是数据，数据就是企业的核心资产。而超级管理员对数据拥有相当程度的管控权，如果不能防范超级管理的风险，就没法实现云环境的可信。此外，要让云数据中心可信，应该对用户更加开放和透明。比如用户的数据存放在什么位置，在哪个地方的数据中心中，哪个机柜甚至哪个盘位等，从而让用户放心，让用户产生信任感。

　　其次是可靠。对于云数据中心而言，可靠性是必须保证的，当然它和传统数据中心的可靠性保证相一致，而且云数据中心的用户可能会对可靠性的要求更高。

　　再次是安全。王智民认为，要确保云数据中心的安全，就要确保基础设施、网络、应用、内容等方方面面的安全。其中需要进行大量的工作，甚至包括往来邮件的内容、QQ号等应用的检查和内容控制，才能确保整个云数据中心的安全。此外，王智民还认为，从国家安全的层面上看，安全一定需要系统和软硬件的国产化，而汉柏科技的行业专属云也在打造一个全国产化的生态体系。

　　全方位防护

　　王智民介绍，汉柏科技为了消除云环境下的纷繁复杂的安全隐患，整合了多种安全产品，并借鉴SDN的理念推出了汉柏云安全产品OPC-Sec，以提供全面的云安全防护解决方案。

　　据介绍，汉柏科技OPC-Sec以网络节点、网络边界、网络边界与网络节点联动三个方面为出发点，在云的基础设施、虚拟化、网络、应用、数据、内容、移动及管理等多个方面提供全面的防护解决方案。

　　“云安全问题涵盖了物理安全、基础设施安全、虚拟化安全、网络安全、应用安全、数据安全、内容安全、移动安全、运维管理安全等各个方面，相应地，汉柏科技OPC-Sec在各个方面都有专门的解决方案。”王智民说。

　　据介绍，在云主机病毒方面，汉柏科技OPC-Sec使用的是无代理病毒防护解决方案。它可以提升物理服务器的效率，相同硬件配置提高搭载虚机数量和提升虚机性能。基于物理节点，简化管理，基于主机安装，一次安装。虚机无需安装代理。自动继承的防护，虚机镜像即装即防。

　　在网络安全防护方面，汉柏科技OPC-Sec可以针对云数据中心运维提供安全防护，比如云平台管理中心、应用集群管理中心、安全防护控制中心等，可以针对云内租户网络提供安全防护和安全服务，比如针对租户提供VPN，从而使得租户方便构建混合云，针对租户提供虚拟防火墙，针对租户提供IPS、抗DDoS、WAF等安全防护服务。

　　在云环境下应用安全防护方面，汉柏科技OPC-Sec可以在数据中心的网关处部署“流量型”、“应用型”、“资源耗尽型”的抗DDoS攻击系统，在数据中心的网关处部署针对Web服务系统的防护系统(WAF)，在数据中心的网关处部署针对VDI server的安全防护系统比如防火墙，在数据中心网关处部署针对虚拟化系统的管理节点比如vCenter、OpenStack的安全防护系统，同时定期、自动对数据中心的应用进行渗透测试，发现漏洞和威胁，综合分析并及时纠正。

　　除了产品，汉柏科技也可以通过服务的方式交付安全能力，让企业不必购买设备、不需配备专业人员，就可以完成安全防护工作。据介绍，汉柏安全云服务通过虚拟化技术实现，可以帮助用户搭建提供各种安全云服务的环境，比如内网隐藏、带宽保障、入侵防护、病毒检测、流量清洗、Web防护等服务。

　　汉柏云安全系统作为安全云服务平台，可以支持多种租户识别与隔离机制，支持虚机形态的独立安全系统服务和逻辑隔离的安全特性服务。王智民告诉记者，汉柏安全云服务既为云提供安全防护，又可以作为安全服务提供的云平台。它以网络安全资源的集群和池化为基础，将安全资源集中起来为多个用户共享服务，并根据客户的需求动态分配或再分配不同的物理或虚拟的资源；以互联网络为基础的业务提供途径，用户可以随时随地通过网络使用安全云服务提供的各种安全能力；系统具备为用户提供灵活的功能模块选择的能力，而且安全云服务提供容量上的可伸缩的业务提供能力，用户可以按需自助服务。

　　本报记者 程彦博