网络虚拟化借力密码学:云计算的安全拼图?
CNET科技资讯网 12年08月29日 09:27 【转载】 作者:CNET科技资讯网 责任编辑:张文希
导读:云计算的基础架构,从目前来看,已经不会再有大的变动,目前的体系已经日趋成熟,依托于虚拟化技术,云能实现快速的迁移和资源的动态调配。在私有云的环境中,数据中心仍然在企业IT的完全掌控之中,安全威胁有新的变化,但总体来说,边界安全仍然非常重要,而在公有云的体系中,则不尽如此,多租户的形式让企业不得不考虑内部的安全风险。
云计算的基础架构,从目前来看,已经不会再有大的变动,目前的体系已经日趋成熟,依托于虚拟化技术,云能实现快速的迁移和资源的动态调配。在私有云的环境中,数据中心仍然在企业IT的完全掌控之中,安全威胁有新的变化,但总体来说,边界安全仍然非常重要,而在公有云的体系中,则不尽如此,多租户的形式让企业不得不考虑内部的安全风险。
在本届的RSA大会上,包括亚瑟·科维洛的主题演讲中都提到了建立全局安全策略的重要性,而记者也在分会场的间隙采访到了道里云信息技术有限公司首席执行官毛文波博士,毛博士也向记者畅谈了他对云计算,尤其是公有云安全的了解,以及道里云是如何运用网络虚拟化去解决云数据中心安全的困扰。
道里云的道理
道里云2011年7月在中关村软件园落地,成立一年多以来,下来摸爬滚打,跌跌撞撞,公司的规模非常小,仅有17个人,这个数量甚至还包含一些临时的实习生,他们摸索出一些云安全数据中心,特有的安全方面问题的解决思路,目前做了一个POC,或者说是概念系统,主要解决数据中心内部的网络虚拟化问题。云安全里面急需要解决的是网络虚拟化问题,道里云尝试用可信计算的方法保护密钥。
道里云作为一家公司来说,先从创新开始,目标是市场化,要用产品说话,一年下来,与合作伙伴一起,推出了一些非常新颖的方案,不过,鉴于云的商业模式成功还需要时日,道里云目前仍然是一个以理念为主的公司。
与此同时,道里云在不放弃研发创新的同时也做一些市场要的东西,比如说防数据泄露方面的产品和解决方案,以及网络隔离的方案。
从本质上来说,道里云是技术方案提供方,为合作伙伴所做的产品做服务,还有可以类似于OEM。
但毛文波博士也坦承,目前道里云还没有开始盈利。
流动的云 不安的数据中心
在云计算中,信息是具有很强流动性的,资源具有共享性,资源处理的地点失控,都是给云计算带来的新的安全的挑战。
毛博士认为,在传统环境中,IT作为固定资产,为企业所拥有的时候不同,云计算的安全不仅仅是技术问题,还有监管等等的问题,比如合规性的问题,这是整个产业面临的挑战。
公有云环境中的资源共享必然造成一些安全的问题,比如在数据中心,存储磁盘的共享,网络的共享,以前企业自己拥有的各类计算和存储资源都在共享状态下,这些共享也是内部共享,而传统的安全更多是防外,对于数据中心内部的安全威胁则无能为力。
因此,在从外部看,是合法的行为,内部就有可能是攻击行为,防火墙的意义不能说没有,但是不大了。
不同的网络虚拟化
毛博士对记者介绍,在云计算数据中心中,服务器以及虚拟化,存储也已经虚拟化,大多数情况下,只有网络也是共享的,而为了安全的保障,我们就需要将网络也虚拟化。
但同时,毛博士也表示,现在网络虚拟化更多还不是密码学的,而是基于标记租户类型的,比如源数据部分,加上地址信息,以及这个背后的数据,被加上标记,这个标记是不同租客的标记,于是乎,每一个租客就被区分开来,现在还要额外和租客有关的,不关是和地址有关的信息,这个租客的网络要发到某个虚拟机就可以清晰化了,这样的网络虚拟化,是让不同的租户走不同的隧道,根据标签来定义的。
然而,这样的模式会导致一个问题,如果我们将虚拟机迁移到另外服务器上,那么虚拟机将会不连接,由于IP的变化,虚拟机需要重新打上标记,或者说是重新挖条隧道。
毛博士表示,道里云的方法,整个数据中心全连好的,不同的租客的数据,用加密的办法形成逻辑隔离。这样,每一个租户的数据,是单独加密的,不论这个虚拟机迁移到什么地方,租户都可以通过虚拟的网络进行输入输出。
毛博士表示,这是一个比较新的网络虚拟化方案,工业界还没有开始,正如本届RSA中国大会的主题一样:伟大密码胜于利剑,这样利用密码学进行的网络虚拟化拥有无限光明的未来。