云计算安全问题的解决办法

CIO时代 12年12月12日 11:42 【转载】作者：CIO时代网责任编辑：周茂盛

导读：安全无论是作为基础的网络架构，还是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。

1、建设以虚拟化为技术支撑的安全防护体系

目前，虚拟化已经成为云计算服务商提供“按需服务”的关键技术手段，包括基础网络架构、存储资源、计算机资源以及应用资源都已经在支持虚拟化方面向前迈进了1大步，只有基于这种虚拟化技术，才可能根据不同用户的需求，提供个性化的存储计算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。

安全无论是作为基础的网络架构，还是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。

2、建设高性能高可靠的网络安全—体化防护体系

为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整。在现阶段企业私有云的建设过程中，多条高速链路汇聚成的大流量已经比较普遍，在这种情况下，安全设备必然要具备对高密度的1OG甚至1OOG接口的处理能力。

无论是独立的机架式安全设备，还是配合数据中心高端交换机的各种安全业务引擎，都可以根据用户的云规模和建设思路进行合理配置。

同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，诸如双机设备、配置同步、电源风扇的冗余、链路捆绑聚合等特性，真正实现大流量汇聚情况下的基础安全防护。

3、以集中的安全服务中心应对无边界的安全防护

和传统的安全建设模型强调边界防护不同，存储计算等资源的高度整合，使得不同的企业用户在申请云计算服务时，只能实现基于逻辑的划分隔离，不存在物理上的安全边界。在这种情况下，已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。

因此安全服务部署应该从原来的基于各子系统的安全防护，转移到基于整个云计算机网络的安全防护，建设集中的安全服务中心，以适应这种逻辑隔离的物理模型。

云计算服务商或企业私有云管理员可以将需要进行安全服务的用户流量，通过合理的技术手段引入到集中的安全服务中心，完成安全服务后再到原有的转发路径。这种集中的安全服务中心，既可以实现用户安全服务的单独配置提供，又能有效地节约建设投资，考虑在一定收敛比的基础上提供安全服务能力。

4、充分利用云安全模式加强云端和客户端的关联耦合

在云安全建设中，充分利用云端的超强计算能力实现云模式的安全检测和防护，是后续工作的1个重要方向。与传统的安全防护模型相比，新的云安全模型除了要求挂在云端的海量本地客户端具备基础的威胁检测和防护功能外，更强调其对未知安全威胁或是可疑安全威胁的传感检测能力。

任何1个客户端对于本地不能识别的可疑流量都要第1时间送到后台的云检测中心，利用云端的检测计算能力快速定位解析安全威胁，并将安全威胁的协议特征推送到全部客户端或安全网关，从而使得整个云中的客户端和安全网关都具备对这种未知威胁的检测能力，客户端和云端的耦合得到进一步加强。

基于该模式建立的安全防护体系将真正实现PDRR的安全闭环，这也是云检测模式的精髓所在。