打造下一代数据中心安全堡垒

2014年8月15日，以“万物趋互联?云启下一代”为主题的2014年高端CIO峰会在北京隆重召开。本次峰会立足万物互联的未来网络，剖析下一代移动互联安全、下一代数据中心安全的需求特点，全面展示了趋势科技云安全动态威胁智能防护网络及技术产品帮助用户赢得现在、决胜未来的能量。

下一代数据中心安全：智能优化

尤其是数据中心的安全，是企业安全的重中之重。数据中心是信息资源的集中地、最频繁的交换地，也是安全事件的多发地，而威胁防护上的任何疏漏都可能导致无法弥补的损失。在数据中心从以物理服务器为核心，向虚拟化和云计算演进，并正在进入由软件主宰的下一代数据中心，围绕其周边与内部变革后的安全管理也需随之更新。

趋势科技正在将通过“适应化、感知化、软件化、平台化”的革新技术和Deep Security产品，携手数据中心管理者完成下一代数据中心安全本应实现的智能优化功能。为虚拟化而生的Deep Security，完全抛弃了传统防毒的概念，从虚拟化底层的防护入手，其在资源消耗方面的节省使得组织可以大幅提升虚拟机密度，从而降低了企业的资本支出 （CAPEX）和运营支出（OPEX）。其次，基于软件定义安全架构设计的Deep Security，通过SDN接口技术与VMware NSX实现无缝对接，这可以让安全策略自由的从内部私有云和公有云平台之间移动，管理员将能够快速且高水平的自动追踪资源，并使其保持最新的安全状态。

同时，安全也绝不是一家厂商就能解决的问题，尤其是云计算时代，趋势科技（中国区）业务发展总监童宁认为：平台厂商和安全厂商必须要有一种开放的心态和配合的态度，明确自己的定位，比如下一代虚拟化网络，Vmware做的很好，华为也会有这方面的方案，我们作为安全厂商会进一步在业界的架构下面为客户提供安全服务。

比如，支持多租户架构的Deep Security，已经与VMware VCenter NSX、Citrix XenServer、Amazon AWS、华为FusionSphere、Microsoft Hyper-V、中电华云ChinaCloud等云管理平台集成在一起，这使得任何一个组织可以将数据中心的安全策略扩展到任意的云平台。

VMware云安全专家臧铁军（左），华为云计算架构设计师叶思海（中），趋势科技（中国区）业务发展总监童宁（右）

会后，趋势科技（中国区）业务发展总监童宁，华为云计算架构设计师叶思海，VMware云安全专家臧铁军共同接受采访，就下一代数据中心的安全问题为我们答疑解惑。在采访中，大家都认为下一代数据中心的安全问题，需要各个厂家比以往更紧密的合作；软件定义网络技术，由于控制层对资源的灵活调配，所以能够快速响应安全问题；童宁还介绍了趋势科技利用大数据技术解决安全问题的案例。

记者：在下一代数据中心这一块儿趋势接下来怎么样帮助企业规避风险？

叶思海：云是一个很大的系统，肯定会在安全方面带来很多的新挑战，比如云化以后的边界模糊这些东西，需要平台厂家和安全厂家合作解决。但是下一代数据中心这块，后端要利用安全厂家的经验把异常的信息进行关联分析，前端是安全厂家要跟平台之间配合，把各个地方的信息集中采集到分析中心。

臧铁军：首先我们从现在对安全需求的变化来说，本身我们做安全建设是为我们的应用以及业务服务的，我们现在往云的方向发展最大的特征是灵活度要提升，导致我们在安全防护手段上也要做出适当的调整，以前安全部门更多的是限制，现在这些限制跟我们现在的发展存在矛盾，如何调和这个矛盾？需要我们在安全防护手段上要做很多革新，趋势科技在这方面已经处于领先的位置。

以前的安全防护也是一个系统的工程，但厂商和厂商之间的合作没有这么紧密，很多企业都有专门的安全人员去协调各个解决方案，让他们很快的工作在一起，但是在云时代，当你的负载不断增加的时候，你的人手肯定不足，必须靠系统之间自动化的协调去完成协作，所以Vmware现在做的事情主要是给安全厂商提供很好的合作接口和平台，大家可以一起来构建整个安全可靠的平台，所以我们靠一个好的生态系统，来满足用户在云安全这方面的需求。

记者：趋势科技跟华为和VMware两家的合作，主要在哪些方面？

叶思海：我们跟趋势合作有三个维度，首先是传统的电信领域，电信设备的安全防护，趋势是我们的第一大供应商，从这个维度讲，华为是趋势的客户，是我们客户的客户的合作伙伴，也是一种整体解决方案。

第二个维度，华为本身也是一个大企业，内部也大量使用了趋势的安全设备进行IT防护。

第三个维度，我们也正在跟趋势科技合作共同打造云下面的安全解决方案，但是云这块的华为的起步肯定比Vmware晚一点，所以这方面的合作也稍微晚一点点。

其实IT领域大家更多的是合作大于竞争，我们跟Vmware之间肯定有一定竞争关系，但是也有合作，比如一些大型项目都是双方联合拿下来的。

臧铁军：Vmware不是一个安全厂商，没有能力为用户提供非常全面的安全服务，必须依赖合作伙伴的帮助，在这个过程中，我们主要是提供一个很好的基础架构平台，和一个植入安全服务的接口。安全层面上，这个平台具备基本的访问控制盒租户隔离功能，通过安全服务的接口，可以接入安全厂商的防病毒保护等。趋势科技也是第一个提出来要利用这个接口跟我们合作的，比如大家已经非常了解的Deep security，以及更新的TDA技术。

记者：其实在数据中心云化过程中网络虚拟化是最难的，而且对安全影响可能是最大的，那么我们现在的技术能不能实现在整个网络虚拟化的安全？ 

叶思海：网络虚拟化现在业界有两个基础方向，一个是纯软件的模式，另外一个是思科和华为，硬件的方案。华为现在的策略，是两条腿都在走，因为技术的选择最终是由市场来决定的。安全这块儿，现在实际上是变好了，做云数据中心以后，大家有个想法是想把安全做池化，防火墙和安全策略都能方便快速得部署。大家的担心更多的应该不是安全本身，而是以后怎么样快速的切过去。

童宁：进入网络虚拟化和软件定义网络以后最大的一个好处，是网络实现了真正的逻辑控制，在控制中心有一个逻辑层在控制整个网络的走向。过去安全最大的问题是隔离性，客户买了好多种设备摆在网关上，有防垃圾邮件的，有安全网关等，都是不同厂商的，结果很难实现互动。有了软件定义网络之后，如果安全厂商专业技术判断这出事了，可以立刻告诉网络控制器，这个网络控制器立刻可以做隔离；再比如十台机器同时都是一个网站的服务器，是做负载均衡的，突然有一台机器被恶意攻击了，网络控制器也很容易就把那台机器切出去，重新调一台机器，继续维持业务的进行，而且这些过程都是自动的。

记者：在安全领域有一个很重要的问题是责任划分，在云安全方面三家在合作的时候，如何划分责任？

臧铁军：厂商之间的分工我应该已经谈的比较清楚了，还有一个分工到用户那里，你最终一整套解决方案给用户了，用户怎么看？可能以前用户有他的组织架构，有他的人员分工，有他的职能分工，那么到云里面呢？我们现在目标是尽可能的把管理平台统一起来，但是保持企业原本的架构或职能分工不变。

叶思海：其实我们厂家之间不是安全责任的划分，而是需要安全能力的互补。安全责任的划分通常是在公有云的场景下，私有云其实不存在，我们厂家提供出来的方案好还是不好，投资到不到位客户都是自己承担的。公有云中安全责任的划分我是这样一个观点，我更愿意用类似于房地产的模型来讲，我们平台厂家类似于建筑商，保证这个大楼的基础是安全的，我们要给客户提供一个防盗门，打造防盗门可能需要很多安全设备，我们是跟安全厂家一起来合作的，至于防盗门里面的安全，其实是用户虚拟机之间的安全，那个责任实际上是用户自己要去承担的，他可以买安全厂家的专业安全设备，也可以买云平台提供的安全服务，比如无代理的防病毒服务等。所以界限划分的很清楚，防盗门外面的都是我们服务提供商或者厂家要配合提供的，防盗门里面是客户要解决的一个问题。

童宁：其实责任划分这件事情，在公有云产生之前很少有人问，因为客户有一句话叫免费即免责，比如虚拟化有很多开源的、免费的方案，但是客户为什么还要购买专业的，比如说华为或者Vmware的解决方案，部分原因在于这样可以把责任通过某种方式转嫁一下。

公有云刚出来的时候，公有云厂商他们去推销公有云的时候，客户第一个问题就是过去我自己在家抗这个责任，现在我把东西放到你那里去，可是我又不能碰你底层的东西，这个责任该如何划分？所以最著名的安全厂商提出了责任划分论。

但是对趋势科技来讲，安全是一种服务，只要客户买了我的安全产品，我向他承诺了我的服务，我们就有责任。不管客户的安全问题是什么原因，是谁的责任，我们都要跟客户站在一起，帮客户解决问题。

记者：有没有在安全防御上应用到大数据技术的案例？

童宁：趋势对大数据的应用已经蛮久了，大概从2004年开始我们碰到一个很大的问题，每天送过来的病毒样本数量非常多，一天几百个病毒，我们发现雇再多的人也解决不了问题，传统的巨型数据库+IBM小机的解决方案也行不通了。那个时候Hadoop刚出来，我们就开始试用，刚开始很简单，就是样本处理，判断是不是病毒，后来发现这件事情越来越复杂，所以我们就开始采用一种叫做关联分析的方法。

什么是关联分析呢？逻辑是这样的，比如说我收到一封邮件，这个邮件发送的地址在我的黑名单里面，这个IP地址经常发垃圾邮件，他发给我的邮件可能是一个垃圾邮件，我就提高处理的级别，那如果他里面带了一个附件，不管附件是什么，我们可能又得提高级别，第一个我怀疑这个人本来发垃圾邮件了，第二个还带了一个附件，这个附件可能又是一支病毒，但是如果附件一旦被运行了，这个附件可能会是个程序，他又上网更新自己，到另外一个地方去更新，更新这个地方可能就是他的控制台或者什么之类，所以我们整个故事就串起来了。但是你怎么知道这些故事是这样的，因为趋势每天收集大量攻击信息，我们是把人工在样本分析当中总结出来的经验教训，实现在了大数据的智能化中。

未来我们会跟虚拟化平台厂商合作，利用SDN的扩展性，将这种关联分析的能力放在客户环境中，不但可以从海量数据库中分析出安全问题，同时能够自动扩张其计算能力。