對于虛擬機訪問控制的問題，HP提出的VEPA協(xié)議則派上了用場。通過VEPA協(xié)議，可以將虛擬機內(nèi)部的數(shù)據(jù)流量通過安全設(shè)備進行各種安全防護，從而實現(xiàn)解決服務(wù)器內(nèi)部VM之間的二層交換流量的安全訪問和攻擊檢測問題。

而在安全設(shè)備虛擬化方面，H3C已經(jīng)實現(xiàn)了全方位的端到端的產(chǎn)品虛擬化，包括一臺設(shè)備虛擬成N多臺，或者根據(jù)虛擬需求實現(xiàn)N：1的收斂要求，從而在 云中與網(wǎng)絡(luò)一起，形成端到端的虛擬通道。從而實現(xiàn)關(guān)鍵特性的多實例配置，比如防火墻的NAT多實例、支持獨立的安全域劃分和策略配置;實現(xiàn)基于虛擬設(shè)備資 源劃分，比如負載均衡設(shè)備的最大虛服務(wù)(實服務(wù))個數(shù)等;實現(xiàn)每個虛擬設(shè)備具備獨立的管理員權(quán)限，可以隨時監(jiān)控、調(diào)整策略的配置實現(xiàn)情況;且多個虛擬設(shè)備 的管理員同時操作。

“唯快不破”，基礎(chǔ)承載網(wǎng)安全“秘訣”

在中華武學(xué)中有一個重要原則，就是“千破萬破，唯快不破”，核心意思就是速度是克敵的制勝法寶。對于基礎(chǔ)承載網(wǎng)絡(luò)來說，云計算應(yīng)用安全防護的性能是否足夠“快”，則是問題的焦點。

基礎(chǔ)承載網(wǎng)負責(zé)的是云計算數(shù)據(jù)中心和用戶終端的互聯(lián)，其特點就是透明傳輸，所強調(diào)的就是性能無收斂，沒有延遲，沒有丟包。這對安全設(shè)備提出的要求就 是“高效”，在園區(qū)網(wǎng)中，安全設(shè)備性能要滿足與網(wǎng)絡(luò)相匹配的性能，滿足10G、40G、100G的傳輸性能需求。在廣域網(wǎng)應(yīng)用中，要通過應(yīng)用交付實現(xiàn)應(yīng)用 的加速。

針對基礎(chǔ)承載網(wǎng)的安全焦點，H3C是通過安全IRF技術(shù)來解決的。這種彈性擴展技術(shù)，可根據(jù)業(yè)務(wù)發(fā)展需要，輕松地實現(xiàn)系統(tǒng)擴容。一方面，可以做大性 能的擴容，目前H3C第三代安全板卡的單卡性能為20G，通過IRF技術(shù)可以虛擬為800G的高性能設(shè)備，完全可以滿足未來在云計算環(huán)境下40G和 100G以太網(wǎng)標(biāo)準(zhǔn)的性能處理要求。

另一方面，通過安全和網(wǎng)絡(luò)設(shè)備高度融合，還可以實現(xiàn)安全功能的擴充。用戶可以隨著業(yè)務(wù)發(fā)展需要，靈活地增加防火墻、入侵防御、流量監(jiān)管、負載均衡等各種安全功能。這也是高效網(wǎng)絡(luò)安全很重要的一點。

安全智能化，物聯(lián)安全“如臂使指”

物聯(lián)網(wǎng)(The Internet of things)就是“物物相連的互聯(lián)網(wǎng)”，實現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡(luò)的連接，方便識別、管理和控制。很多客戶最關(guān)心的是，所有的數(shù)據(jù)包括應(yīng)用都放在數(shù)據(jù)中心或者云端了，安全性如何保障?

歸根結(jié)底來說，云時代的物聯(lián)層面安全關(guān)注的是兩個問題。一是安全接入的問題，云計算環(huán)境用戶的數(shù)據(jù)從終端到云計算環(huán)境的傳輸中，容易被截獲; 如何保證用戶端到云端安全訪問和接入?二是安全設(shè)備的管理問題，無論是公有云、私有云還是混合云，網(wǎng)絡(luò)規(guī)模都非常龐大，部署的安全設(shè)備數(shù)量也很多，而且分散在網(wǎng)中不同節(jié)點，如何進行有效的設(shè)備管理?安全策略如何做到統(tǒng)一的管理?這都是必須要考慮的。

對于安全接入的風(fēng)險，H3C認為，在云端部署SSL VPN網(wǎng)關(guān)是可行的接入方案。利用SSL VPN技術(shù)，隨時隨地的在客戶端與資源中心之間建立一個私密通道以保證不同客戶信息私密性，客戶端HttPS方式訪問SSL VPN網(wǎng)關(guān)登錄頁面，通過證書客戶端與網(wǎng)關(guān)進行身份相互確認，客戶端與網(wǎng)關(guān)身份確認后，客戶端就可訪問云中心預(yù)先設(shè)定好的訪問資源，客戶端到SSL VPN數(shù)據(jù)流經(jīng)過了PKI系統(tǒng)進行嚴(yán)格的加密保護，保證數(shù)據(jù)私密性。

同時，針對龐大物聯(lián)網(wǎng)中的安全設(shè)備，H3C通過統(tǒng)一的安全管理平臺——SecCenter安全管理中心來實現(xiàn)安全的統(tǒng)一管理。有了這個智能化的安全 “指揮所”，用戶可以實現(xiàn)安全事件的實時監(jiān)控，并通過系統(tǒng)提供的各種報告進行安全事件的統(tǒng)計和分析，最重要的是可以實現(xiàn)設(shè)備的統(tǒng)一管理和策略配置，從而讓 整個安全體系更加智能化。

結(jié)束語

總的來說，H3C不斷尋求在云計算安全的技術(shù)突破和創(chuàng)新，將“全面、智能、高效”的概念融入到具體的解決方案之中，直指云時代安全的三大“軟肋”。

從關(guān)注路由器、交換機上安全特性以及實現(xiàn)，到構(gòu)建L2-7層綜合防御的防火墻、IPS產(chǎn)品，再到融合到園區(qū)網(wǎng)、廣域網(wǎng)和數(shù)據(jù)中心的安全綜合解決方 案，H3C一直致力于網(wǎng)絡(luò)安全的研究和技術(shù)創(chuàng)新。對于云計算與數(shù)據(jù)中心安全方面的技術(shù)發(fā)展和應(yīng)用，H3C也將持續(xù)并重點研究，在面向?qū)ο蟮陌踩渴?、虛擬 化等方面不斷突破，為用戶提供新一代網(wǎng)絡(luò)安全解決方案。

wanglin