存储在线今天下午,vmware召集各路媒体召开了一个有关网络安全的研讨会。有关这次研讨会的内容核心,套用一句广告语来表达,就是“以虚拟机为单位的做安全才是好安全”。vmware介绍了新一代安全策略的发展应是“虚拟机+分布式安全策略”,为此其还委托一家权威的第三方机构搞了个比较大的企业安全调查。那些体量在五亿美金以上的企业认为,似乎应当是这样。
本次的研讨会的专家包括工信部电子科学技术情报研究所副所长万鹏远、VMware大中华区高级产品经理傅纯一、VMware大中华区高级技术总监李刚和VMware大中华区软件定义数据中心产品品牌总监林世伟。
企业数据安全也是社会安全问题
作为政府层面的研究专家,万鹏远带来当前国家对于网络安全在意识形态方面的上层认识。他谈到,网络安全问题是个持续发展的老话题,但从国家政策层面来考虑,国家已将网络安全提高到国家战略的高度。“国家主席在近日的一次网络安全会议上就明确指出网络安全与信息化发展是相辅相承的。当前,我国已经建立了较为完善的网络安全防控体系,不仅制定了信息安全的等级保护的相关系列法规,更有多份综合的网络安全的相关法律法规出台。”万鹏远表示。
另外,万鹏远认为,仅有的网络安全层层政策的出台还不够,对于网络安全政策的执行效果也应是当前关注的重点。为此,“我们除了要听取安全专家的意见,更应有利益相关者的参与,从而将各项网络安全政策能够落实到实处。”
对于企业数据的安全问题,万鹏远也指出,在这一态势下也应有新的认识,其内涵和外延都被扩展了。“企业数据的安全问题,同时也关系到社会的安全问题。例如,近些年很多国外企业数据安全的实效同时酿制了更多的社会事件。”
对此,万鹏远肯定了经济学人智库从CIO和CEO角度做的网络安全调查,对于国家网络安全的发展起到了积极的促进作用。
企业对于网络安全的新认识
傅纯一对万鹏远提到的调查做了更为详尽的介绍。特别地,不同于其它安全调查,此次调查不仅针对企业的IT部门,还有来自业务部门对于网络安全问题的认知。有几个重点从而凸显出来:
1、CIO和CEO对于未来6个月企业遭受网络攻击的可能性较为一致;
2、普遍认为公司缺少针对网络安全的相关培训,但普遍认为企业存在安全漏洞;
3、公司高管认为一旦遭受攻击的最大损失是失去客户的信任,对于高科技企业来说其知识产权问题则更为严重;
4、对于技术条件的保障,CIO认为网络安全的部署最重要,优先级应当高于业务战略;而CEO们则更加倾向于网络安全应当围绕业务;
5、对于网络安全的投资预算来看,CEO的认识和CIO的认识则有较大差距,前者认为这部分预算不应超过总预算的3成,而后者正好相反应超过7成。
若是以中国区与亚太区的比较,中国企业对网络安全的认识则更为堪忧。
下一代网络安全建设“虚拟机”成关键
林世伟表示,这项调查背后的目的是需要我们针对未来企业的安全需求作出更为准确的思考。“从技术上来说,现有企业对于安全问题的认识更多来自于传统网络安全的部署限制,在云时代,网络环境的变化既带来了企业对于网络安全认识的不足,也带了企业应对的新的焦虑。”
传统网络安全是依据物理基础设施划分的边界来部署的,而云时代的最大特点是就是在模糊这种边界。“基础架构越来越复杂,控制点、边界的隔离等传统网络安全手段逐渐失效。随着云计算、移动互联的普及,企业内部网络开示模糊,企业与外部网络的边界也在模糊。”李刚解释道。
其实,针对从传统“数据孤岛”向云时代的过度,企业的安全策略是做出了很多突破依靠单一防火墙的努力。例如,当前很多安全服务企业在依靠的”虚拟机+旁路部署“的模式。但这样的部署方式,虽说能将安全策略突破网管。但是,随着企业应用负载在云时代的大幅增长,依靠旁路计算的成本则给企业带来性能负担。“旁路部署造成的性能负担在云时代大大凸显了出来。”林世伟表示。
从原理上来说,无论是基于边界网关的安全部署,还是”虚拟机+旁路部署“的模式,都需要依靠在网络边界生成的安全策略来实现安全防护。为此,“传统安全机制的最大问题就是穿过边界防火墙的威胁就没有办法防止了。安全策略的最大困难不是生成,但是这种生成无法依照应用、devops的变化生成,安全策略调整无法与义务变化相一致。”
“传统上,企业IT基础架构安全性和业务的灵活性在传统架构上势必要有冲突,而新的架构需要安全策略适应网络的灵活需要。而新的架构的实现核心就是软件定义网络。”李刚补充道。
软件定义网络倡导的安全策略是以虚拟机为单位的,从而打造的是“虚拟机+分布式防火墙”式的安全策略,正如云时代的数据移动、存储都是以虚拟机为单位表现形式的。
“虚拟机+分布式防火墙的安全策略以虚拟机为单位,拜托了传统必须依靠IP地址的部署,从而可以依据企业业务的不同形式来灵活调整。表示,之所以可以这样,关键在于VMware在hypervisor上部署了安全策略,从而可以通过nsx实现四到二层安全。”林世伟介绍。
最后,可以设想一个场景,倘若银行大量使用虚拟桌面,这样的架构特点在于应用集中存储于数据中心。倘若数据中心一台服务器中毒,则影响的幅度已经难以想象。
这样来看,今天VMware倡导的以虚拟机为单位的重新定义的数据中心安全模型,应当是个非常现实的问题了。