论文部分内容阅读
Gartner数据显示,2012年虚拟化基础架构所承载的工作负载约为60%,到2015年,这一比例将提升到80%。软件定义数据中心(SDDC)的趋势不可逆转,信息安全防护策略也必须随着IT基础架构的变化而改变。
SDDC带来三大安全挑战
所谓SDDC,是指基础架构全部实现虚拟化并以服务的形式交付,而且此数据中心完全由软件自动控制。为此,服务器、存储、网络和安全都将颠覆传统模式。时移势迁,以往基于物理机的安全解决方案不但将制约应用上线的时间,降低数据中心性能,而且无法满足虚拟数据中心的安全防护需求。
SDDC让整个云计算中心的管理变得更简单、更轻松。从安全的角度看,趋势科技中国区业务发展总监童宁认为,SDDC带来了三大挑战:第一,快速部署。过去搭建一个数据中心需要一个星期,在SDDC架构下,几分钟就能完成,安全策略能否快速部署?如果用传统的有代理方式,给每个虚拟机安装安全客户端,再去部署安全策略,显然是不可能的。第二,保证ROI(投资回报率)。安全软件的投资必须保证有效,提高性价比,并且不会导致硬件成本上升。第三,消除基础架构变化的安全隐患,例如多租户架构下的安全隔离,以及保证数据被安全地访问、隔离和删除,防止数据泄露。
尽管数据中心已经逐渐从物理环境迁移到集物理、虚拟化以及私有云和公有云于一体的综合环境中,许多企业仍然沿用了传统的安全解决方案。尽管出于投资回报率的考虑,我们对这种做法可以理解,但是它会严重影响云平台的效能,影响企业与新威胁的对抗能力,因此与新的安全环境并不匹配。正如童宁所言:“如果在IaaS层面继续沿用传统安全解决方案,会让安全管理变得更加复杂和难以操作,使得关键业务在转向云环境的过程中遭遇安全风险。”
深化无代理模式
7月10日,趋势科技发布其新一代服务器深度安全服务系统Deep Security 9.0,针对SDDC安全防护,采用多租户架构,让每个用户在云平台上拥有逻辑隔离、可延伸、可定制的安全自助服务。
“Deep Security 9.0将安全服务虚拟化,形成了多租户架构,并且与云平台中的多租户架构一一对应。当用户通过VMware vCloud快速部署新的应用时,Deep Security 9.0的安全策略也会自动部署。用户不必再安装客户端,或者一一部署安全策略。”童宁表示,“采用多租户架构的Deep Security 9.0,能够有效保护数据中心和云平台免遭数据泄露和业务中断的风险,帮助大型和中小企业灵活、高效、安全、高回报率地实施云战略。”
相比上一个版本,Deep Security 9.0进行了多项改进,包括更新管理界面和提升性能等多个方面。童宁介绍称:“Deep Security 9.0更新的管理界面,基于任务、功能的分章,使得界面导航更加清晰,分层的策略管理能够节约管理时间。此外,该版本还提供更多报表功能。用户可以定制更多与多租户使用资源情况相关的报表。”此外,由于在多台虚拟机之间采用扫描缓存技术,该解决方案的扫描速度大幅提升,最高可以提高20倍。
无代理安全模式是Deep Security 系列产品的一大亮点。在Deep Security 9.0中,趋势科技将无代理安全模式发扬光大,融合了更多防护功能。“2011年,趋势科技推出无代理防病毒;2012年推出无代理完整性监控,可以实现对虚拟机所有资源进行监控;2013年,与VMware vSphere 5.1集成,Deep Security 9.0实现多租户架构和无代理漏洞检测机制,在无代理环境下自动检测虚拟机的漏洞。”童宁称,虚拟机密度将因此提升300%。
此外,值得一提的是,以往的安全产品对于Hypervisor层的防护,主要是防止虚拟机下潜,而对于Hypervisor层内部的安全防护并没有太多建树。Deep Security 9.0在这方面则有所突破。“该版本的一个新功能是利用Intel TPM/TXT技术执行虚拟机系统管理程序的完整性监控,从而将虚拟化系统的安全性和合规性扩展到虚拟机系统管理程序。”童宁介绍称,“Deep Security 9.0对底层文件进行快照,一旦黑客入侵,文件内容发生改变,Deep Security 9.0就会发出告警,通知服务提供商和最终用户。”
SDDC带来三大安全挑战
所谓SDDC,是指基础架构全部实现虚拟化并以服务的形式交付,而且此数据中心完全由软件自动控制。为此,服务器、存储、网络和安全都将颠覆传统模式。时移势迁,以往基于物理机的安全解决方案不但将制约应用上线的时间,降低数据中心性能,而且无法满足虚拟数据中心的安全防护需求。
SDDC让整个云计算中心的管理变得更简单、更轻松。从安全的角度看,趋势科技中国区业务发展总监童宁认为,SDDC带来了三大挑战:第一,快速部署。过去搭建一个数据中心需要一个星期,在SDDC架构下,几分钟就能完成,安全策略能否快速部署?如果用传统的有代理方式,给每个虚拟机安装安全客户端,再去部署安全策略,显然是不可能的。第二,保证ROI(投资回报率)。安全软件的投资必须保证有效,提高性价比,并且不会导致硬件成本上升。第三,消除基础架构变化的安全隐患,例如多租户架构下的安全隔离,以及保证数据被安全地访问、隔离和删除,防止数据泄露。
尽管数据中心已经逐渐从物理环境迁移到集物理、虚拟化以及私有云和公有云于一体的综合环境中,许多企业仍然沿用了传统的安全解决方案。尽管出于投资回报率的考虑,我们对这种做法可以理解,但是它会严重影响云平台的效能,影响企业与新威胁的对抗能力,因此与新的安全环境并不匹配。正如童宁所言:“如果在IaaS层面继续沿用传统安全解决方案,会让安全管理变得更加复杂和难以操作,使得关键业务在转向云环境的过程中遭遇安全风险。”
深化无代理模式
7月10日,趋势科技发布其新一代服务器深度安全服务系统Deep Security 9.0,针对SDDC安全防护,采用多租户架构,让每个用户在云平台上拥有逻辑隔离、可延伸、可定制的安全自助服务。
“Deep Security 9.0将安全服务虚拟化,形成了多租户架构,并且与云平台中的多租户架构一一对应。当用户通过VMware vCloud快速部署新的应用时,Deep Security 9.0的安全策略也会自动部署。用户不必再安装客户端,或者一一部署安全策略。”童宁表示,“采用多租户架构的Deep Security 9.0,能够有效保护数据中心和云平台免遭数据泄露和业务中断的风险,帮助大型和中小企业灵活、高效、安全、高回报率地实施云战略。”
相比上一个版本,Deep Security 9.0进行了多项改进,包括更新管理界面和提升性能等多个方面。童宁介绍称:“Deep Security 9.0更新的管理界面,基于任务、功能的分章,使得界面导航更加清晰,分层的策略管理能够节约管理时间。此外,该版本还提供更多报表功能。用户可以定制更多与多租户使用资源情况相关的报表。”此外,由于在多台虚拟机之间采用扫描缓存技术,该解决方案的扫描速度大幅提升,最高可以提高20倍。
无代理安全模式是Deep Security 系列产品的一大亮点。在Deep Security 9.0中,趋势科技将无代理安全模式发扬光大,融合了更多防护功能。“2011年,趋势科技推出无代理防病毒;2012年推出无代理完整性监控,可以实现对虚拟机所有资源进行监控;2013年,与VMware vSphere 5.1集成,Deep Security 9.0实现多租户架构和无代理漏洞检测机制,在无代理环境下自动检测虚拟机的漏洞。”童宁称,虚拟机密度将因此提升300%。
此外,值得一提的是,以往的安全产品对于Hypervisor层的防护,主要是防止虚拟机下潜,而对于Hypervisor层内部的安全防护并没有太多建树。Deep Security 9.0在这方面则有所突破。“该版本的一个新功能是利用Intel TPM/TXT技术执行虚拟机系统管理程序的完整性监控,从而将虚拟化系统的安全性和合规性扩展到虚拟机系统管理程序。”童宁介绍称,“Deep Security 9.0对底层文件进行快照,一旦黑客入侵,文件内容发生改变,Deep Security 9.0就会发出告警,通知服务提供商和最终用户。”