漫谈云计算环境下的传统安全产品虚拟化

传统的IT建设，用户需要自己采购硬件设备、操作系统，购买或开发自己的业务系统，并投入大量的维护成本。考虑到业务的扩展和瞬时的使用高峰，每个系统的计算、存储能力必须有一定的冗余，这就意味着大部分时候冗余的资源都被浪费。然而当业务爆发式增长时， IT设施由由于建设周期的制约，又无法立即满足需要。云计算的出现，将彻底解决这些问题。

云计算通过网络将大量的计算和存储资源连接起来，进行统一的管理和调度，按需提供服务。使用者只需要通过网络访问就可以来获取存储空间、计算能力或应用系统。

根据NIST的定义，云计算的基本特征有：按需自服务、广泛的网络接入、资源池、快速弹性、可测量的服务。三种服务模式，分别为基础设施即服务(IaaS)，平台即服务(PaaS)和软件即服务(SaaS)。

相对于传统的IT建设模式，业务所有者无需再搭建自己的IT系统，只需要成为云计算的租户，就可获得灵活的扩展性，还能免除了繁琐的系统维护工作。由于这种模式下只需要为已经使用的资源付费，因而极大提高了IT建设的投资回报率。

然而云计算却对网络安全提出了严重的挑战。从云计算租户的角度来看，网络、设备、应用、数据都不在自己的控制之下，甚至都不知道具体的物理位置，如何保障数据安全和业务连续性显然就成了最大的挑战。以至于思科CEO钱伯斯惊呼“这将是一个安全噩梦”。

从云提供商的角度来看，传统模式下的网络安全需求并没有什么变化，无论从信息安全的保密性、完整性、可用性，还是根据网络层次划分的从物理层到应用层安全，仍然是需要解决的问题。传统模式下的网络安全解决方案中，最重要的一点就是建立网络边界，区分信任域和非信任域，然后在网络边界进行访问控制和安全防御。而云计算资源池与Internet之间仍然是有边界的，在资源池内部由于管理的需要，也会有不同域的划分，从而形成内部边界。这意味着传统的网络安全产品能继续发挥其作用。

那么是否传统的网络安全产品是否就能充分满足云计算环境下的安全需求呢？

传统IT建设中业务所有者就是平台所有者、从而也是安全责任人。《计算机信息网络国际联网安全保护管理办法》第十条也明确规定各单位负责本网络的安全责任，确立“谁主管、谁负责，谁运营、谁负责”的原则。云计算及虚拟化的应用，业务所有者仅仅只是云计算的租户，并不是平台所有者，从而改变了这种安全责任关系。在不同的服务模式下，业务所有者的安全责任也有所不同：在SaaS模式，业务所有者基本上依赖服务提供着来保证网络安全;而PaaS或IaaS模式，业务所有需要对安全进行监控和管理，但把物理安全等留给云计算服务提供商。

这样的安全责任变化势必要求云计算服务提供商和云租户需要不同的安全视图。对于云租户来说只需要关心自己的数据安全和业务连续性，不论实际的物理服务器是处在地球的哪个角落。而对于云服务提供商来说，既需要关注每台服务器、每个网络的安全，也需要关注重点租户的安全状态。

网络安全产品如何满足这些灵活的管理需求？答案就是虚拟化。安全产品的虚拟化将为云服务提供商和云用户提供灵活的、可扩展的安全防护。(责任编辑：admin)