山石网科刘向明:数据中心虚拟化安全可控


12月12日,2014产业互联网大会在京举办,山石网科CTO刘向明参加并与参会嘉宾分享了主题为“云数据中心的网络安全”的演讲,阐述了山石网科多年来在数据中心网络安全建设中总结的经验,以及对同类需求的建议和意见,得到了广大参会嘉宾的认可和关注。

SDN技术的发展,计算、存储及网络虚拟化的逐渐成熟为数据中心的发展开辟了广阔的空间,而网络功能虚拟化(NFV)的提出,以及SDN技术为新型虚拟数据中心提供了极大的可扩性,灵活性及弹性。技术的快速发展和转变,尤其是虚拟化催生了数据中心网络及数据由传统筒仓(Silo)模型向非结构化扁平模式的转化。不同租户、不同应用对象的物理边界模糊甚至消失,这对网络、应用及数据安全提出了全新的挑战。

刘向明表示,由于网络和资源全虚拟化和分布化,网络与资源的物理边界消失,使安全和服务部署变得困难,在多租户环境下,须保证租户之间,或者租户内不同安全域的隔离与安全防护。在东西向流量激增情况下,不合理的设计将可能导致网络流量在实际网络上多次往返,造成倍增的延时和流量浪费,影响效率和性能。同时,虚拟机迁移要求动态感知的安全服务,以及持续不断的数据中心变化要求安全服务动态调整,以提供对用户SLA的保证等等情况。而从管理角度上,随着租户的增长和资源的增加,对安全的管理使原本复杂的管理更加复杂。

对于云数据中心的安全建设,刘向明认为,关键的难点在于如何应对虚拟化技术引入后,带来的安全挑战,即在虚拟化环境下,网络层下沉到服务器内部,业务流量进一步加剧,不同租户的虚拟机之间的攻击更加容易实现等情况,都对现有的网络安全技术手段带来极大的挑战。同时他建议,可以通过流量牵引和虚拟防火墙技术,将服务器内部交换的虚拟机间流量引出来,并完成相关的安全检测与控制措施,在确保访问的安全性后,方可转发相关的数据。同时虚拟防火墙也为云数据中心内部大量的业务提供独立的安全平面,确保对不同业务实现差异化的安全策略,保障多个业务的安全运行。

基于此理念,山石网科在全分布式防火墙架构的专利技术之上,研发了针对数据中心安全的全分布式弹性虚拟防火墙架构(vEFA),其保留了NGFW的完整功能,并可按需进行性能弹性增减。同时提供单一的管理终端,配备定制化管理接口,并集成 Openstack driver和支持多租户安全管理。通过与SDN等云网络集成组成服务链,使其具有高效、弹性、统一管理等,通过支持无缝迁移,以全新的方式构建了现代数据中心的安全边界,从而解决安全与业务流程的集成、按需、弹性增减系统的容量及性能、对网络及应用的感知以及多租户的安全隔离等问题。

最后,刘向明介绍,山石网科多年来专注于网络安全领域的前沿技术创新,为用户提供智能化、高性能、高可靠、简单易用的网络安全解决方案。自成立以来,服务了运营商、金融、政府、教育、企业等各行业众多客户,覆盖包括电信行业数据中心安全防护、ISP数据中心防护、以及某政府数据中心建设等多个数据中心安全建设项目,并希望大家关注和反馈。