Hillstone新技術副總裁王鐘認為，虛擬化帶來的新挑戰(zhàn)是模糊了網絡的邊界以及如何找準被保護的對象

基于服務器的虛擬化技術，可以將單臺物理服務器虛擬出多臺虛擬機并獨立安裝各自的操作系統(tǒng)和應用程序，從而有效提升服務器本身的利用效率。在這種模型下該虛擬化技術將可能導致新的安全風險，比如以VMware、Citrix和微軟的虛擬化應用程序ESX/XEN/Hyper-V為代表的虛擬化應用程序本身可能存在的安全漏洞將影響到整個物理主機的安全。虛擬機應用程序包括Web前端的應用程序、各種中間件應用程序及數據庫程序等，在云計算環(huán)境下，這些安全漏洞會繼續(xù)存在。

服務器虛擬化在數據中心的廣泛采用所帶來的安全問題亟待解決，多數的識別和安全控制措施基于固定位置、靜態(tài)網絡或固定IP，難以應付虛擬機帶來的安全問題，虛擬化環(huán)境的動態(tài)特性也意味著新的安全威脅和漏洞。

數據中心安全不只面臨著服務器虛擬化帶來的挑戰(zhàn)，王鐘進一步說到，網絡虛擬化、軟件定義網絡(SDN)、BYOD這些都讓數據中心處在動態(tài)變化中。

網絡虛擬化將網絡服務和物理網絡設備分離，也帶來網絡部署方式的改變，即：從設備的手工單獨配置方式變?yōu)榭删幊痰淖詣硬渴穑瑫r，網絡也可以按需而動?；诠潭ㄎ锢砭W絡設備環(huán)境的安全技術面臨著動態(tài)變化的網絡虛擬化的挑戰(zhàn)。

軟件定義網絡(SDN)將網絡控制平面和網絡的物理拓撲分開，由此帶來一些新的問題，如當網絡變?yōu)榭删幊虒崿F的時候，網絡安全應該怎么做?當網絡的控制和管理被虛擬化、集中化后，安全的管理應該在哪里?

BYOD讓IP和位置處在動態(tài)和變化中。

數據中心防火墻新要求

王鐘告訴記者，Hillstone對數據中心防火墻的關鍵特性的定義是：安全即服務(Security as a Service)、安全即資源(Security as a Resource)、開放可定義(Open and Definable)、冗余高可靠(Redundant)、分布可擴展(Distributed scalable)、綠色節(jié)能(Green)。Hillstone倡導數據中心安全防護不僅是一個設備，而是“數據中心防火墻+ 彈性安全架構+ 安全監(jiān)控和管理”的解決方案。

王鐘指出，針對數據中心虛擬化的特點，數據中心防火墻一方面需要提供大規(guī)格的虛擬防火墻，滿足不用應用/租戶對獨立安全業(yè)務平面的需求。同時設備還可根據業(yè)務實際負載，動態(tài)調整每個虛擬防火墻的資源配給，更好的適應業(yè)務流量彈性變化的特點。

Hillstone數據中心防火墻可彈性適應云計算數據中心安全業(yè)務增長需求。通過增加安全服務模塊(SSM)即可提高防火墻的處理能力。同時板卡支持即插即用，擴展過程中不會間斷業(yè)務訪問。

王鐘強調，在分布式環(huán)境中，集中管理是安全的關鍵。系統(tǒng)管理員需要對全網部署的防火墻實施有效的監(jiān)控和配置，幫助系統(tǒng)管理人員從全局性視角掌握信息系統(tǒng)的運行狀態(tài)和安全態(tài)勢，并降低運維難度，提高對安全事件的分析和響應效率。

(圖)數據中心邊界的安全資源池部署

(圖)虛擬化數據中心內部的安全資源池部署

zhangcun