【IT168信息化】

　　12月15号消息 ，以“漫步云端 智享应用”为主题，由中国计算机用户协会、中国互联网协会和中国电子学会指导，天极传媒集团主办，比特网、比特CIO俱乐部和IT专家网承办的第四届中国CIO年会在京召开。以下是来自赛门铁克首席信息安全技术顾问林育民就“如何打造安全、可靠私有云”为主题，作了相关的发言，以下是发言内容：

　　林育民指出，现在最关注的私有云，我们该怎么去做打造呢?企业虚拟化是一个比较关键性的技术，你要找到云计算，不见得一定要有虚拟化技术，不过现在对于大多数企业要达到私有云，虚拟化还是最关键的技术。

　　虚拟化各个走向私有云的话，会从一些应用的测试开发开始，到一些IT应用，逐步走向虚拟化，然后慢慢把一些商务应用走向虚拟化最后，才是把关键应用走向虚拟化，最后走向私有云。关键应用走到虚拟化后，放到私有云上的话，相当关键的一部分就是要保障它的安全。

▲赛门铁克首席信息安全技术顾问林育民

　　事实上在云来讲的话，是希望能够增加IT的灵活度，降低IT的成本。到2012年为止，60%走向虚拟化的服务器，比原来在物理环境里面更不安全，为什么会这样呢?后面我会给大家做一个分析。在虚拟化环境当中，要保障你的安全的话，它是一个逐步建设的过程。把一个物理机移到虚拟机底下的话，你考虑的第一个问题是什么?防病毒，这是最先想到的。在整个数据中心，周边已经有防火墙了，但是走到虚拟环境以后，把网络的一些边界打破了，或者走到云环境以后，把网络边界打破了，原本可能透过网络设备控制彼此之间的流量，可是现在你把不同的物理机放到虚拟虚拟机下的话，在同一个平台上的虚拟机之间可以相互通讯，现在一些虚拟机的管理员变成具有网络管理员一样的权限，可以去修改网络上的配置，因为在虚拟管理层里面可以配置自己的虚拟网络，在这个环境底下，如何去做好你的网络安全的保障，如何去分割管理的权限，这会是一个新的挑战。

　　当这些问题完成以后，下一部分是如何做管理，因为在整个虚拟化环境里面或者在云的环境里面，我们非常强调资源的动态调度，当你的资源在做动态调度的状况下，你的安全策略如何随着虚拟机的移动来得到保障，这是一个新的挑战。

　　如何建构一个完善的新区域?跟物理机之间建立一个虚拟区域，最后做到一个安全能见度，对整个虚拟化环境能够掌控，之后才能去打造一个安全可靠的私有云。事实上根据调查我们也发现到，我们企业在导入虚拟化过程当中，40%的企业在这个过程当中是没有邀请安全团队加入去做评估的，所以很多的企业因为导入了虚拟化以后，他在安全上面的防护或者说控管就薄弱很多。

　　我们来看看在一般虚拟化数据中心与私有云基础架构上，我们大概会面临哪些主要的安全挑战呢?我们多加一台物理机是不容易的，因为每一个机房都有物理机的控制，要把一台服务器搬进去或者搬进来是很难的。但是在虚拟化环境里面，多一台服务器是很容易的，所以在虚拟化环境当中非常容易实现的。这是第一方面。

　　在过去来讲，我们在整个物理数据当中，我们虽然在不断的建机房，新增一台服务器，你的数量是相当有限的，因为要不断的买服务器，它的成本是相对比较高的。可是现在在虚拟环境里，或者在私有云里面，服务器的数量是成倍数的增长，这种情况下，如何找出有漏洞的服务器，然后及时做补丁。这是第二个问题。

　　第三部分在私有云环境底下是不是有做到一样的安全保护，这个中间安全防护是不是做到一样，还有你的安全防控程度是不一样，会不会让有些管理员有更高的控制能力，这个我们后面可以做进一步的分析。

　　走向虚拟化我们大家想要做的是什么事情?要节省成本，要减少服务器的数量，走向私有云，减少服务器的数来。减少服务器的数量要怎么做呢?想办法提升在每一台物理机上面虚拟机的密度。在做安全保护的同时，不能因为要做安全保护而导致虚拟机密度下降，那这样走向私有云或者走向虚拟化中间就没有意义了。

　　接下来我们必须要考虑到，如何有效去监控在虚拟机跟物理机之间的服务器运作，它的运作是否正常，是不是有发生状况，如何有效的去管理这些物理机跟虚拟机，因为在不同环境底下，有效的监控和管理也是一个新的挑战，因为有些时候不是直接把物理机里面的经验直接搬过来来做运作。

　　我们看第一部分，对于现在走到私有云环境底下，可能需要做的第一件事情，是要能够定期或者自动的找出来在你环境里面，有哪一些机器是非法的，不是你企业原本允许的虚拟机，或者虚拟的服务器，或者哪些机器是有漏洞的，你要及时做补丁，避免成为安全隐患。这是我看到第一部分所面对的问题。

　　第二部分，虚拟环境、物理环境我们希望能够做到一致的安全保护，那要做到一致安全保护来讲的话，防病毒这件事情，把传统的防病毒软件装在虚拟机里面，这个问题有没有解决?我告诉大家并没有解决，因为它会造成一件事情，叫做防病毒扫描风暴。因为在以前来讲，每一台个别的物理是做个别的防病毒扫描，但是你把多台物理机变成虚拟机，然后放在同一个物理机上面的话，他们是会来共享它的磁盘，这时候IO带宽会被占用，这时候会影响到系统的运作。所以在整个虚拟化环境里面，必须要有新的手段。

　　接下来我们看一下，在整个虚拟化环境里面你要有效保护基础架构，你该怎么做呢?在虚拟化环境里面来讲，对虚拟机的保护必须采用一种纵深防御策略来保护安全。我们希望从网络上面进行保护，因为本身来讲，刚刚我提过在私有云或者虚拟化数据中心当中，原来的整个网络边界已经变模糊了，甚至消失了，原因是因为虚拟机之间的流量不会经过防火墙的控管，这时候必须根据个别虚拟机进行流量的管制，保障虚拟机的安全。第二部分来讲，我们看到现在一些A代码，会有一些代码的攻击，那会针对某一个企业，或者针对某一个企业的私有云去量身打造，让你使用传统的防病毒机制很难被发现，这时候传统防病毒机制来讲，因为它是使用病毒的签名，必须要拿到病毒的样本，他才能够监测的到，这时候就需要有新的技术才能够做。

　　接下来针对已知的恶意文件，我们是可以通过传统的防病毒技术做一个扫描，比如在虚拟机里面有一些恶意行为的话，我们可以通过异常行为的监控来找出在虚拟机里面异常攻击的行为，或者潜藏的恶意代码。

　　本身来讲的话，我们不只提供针对云端的安全保护机制，本身我们也利用云来提供前端保护的基础。前面我们提到现在很多恶意攻击会使用量身打造的恶意攻击方式，这会造成病毒签名或者分析病毒样本的方式已经不可行了，那赛门铁克是透过云端的技术，部署在200多个国家，全球1.7亿用户，对于全球25亿的常见文件都做一个信誉评级，不管是好的还是坏的，我们通过这个信誉评级，即使是没有看过可执行文件，我们都可以对它做出一个信誉级的判断，所以技术我们没有做分析，我们也可以第一时间做阻挡，在没有走向私有云之前，就可以用私有云技术来保护系统的安全。

　　我们不仅可以发现新的A代码，也可以利用云的技术帮助你节省扫描的资源。那我们怎么做呢?前面提到我们对全球25亿著名厂商发布的文件都给出了信誉，我们对信誉良好的文件是可以不需要扫描的，因为传统的扫描是对硬盘上面所有文件都进行扫描。比如Windows XP出来差不多十年以上时间，这十年当中有些文件从来没有变过，经过也十年时间没有被改变过的话，那它是不是一样也没有毒，那你有必要让杀毒软件天天对它进行扫描吗?其实是没有必要的。我们对信誉良好的文件，而且没有被变更过的，其实是可以不需要做扫描的。所以你能够看的到，信誉良好的文件我们就可以不用扫描了，我们就去扫描那些没有办法确定信誉的文件，这样可以大量减少扫描的时间和成本。在一般的系统上面，我们有70%以上的应用跟文件是不需要扫描的，所以我们的扫描速度可以大幅提升。

　　在虚拟机来讲的话，前面两个可以协助我们大幅度提升安全保护的能力，但是在虚拟机环境底下，我们又用了五大技术，来更进一步的提升虚拟化环境运作的效率，还有私有云里面虚拟机的密度。这时候我们所做的五大技术，第一部分我们会自动识别是不是在虚拟机环境底下，是在哪个虚拟化。第二部分，我可以对于原本在虚拟机里面的文件可以设立排除动作，不做重复扫描。第三部分在虚拟机环境底下，服务器虚拟化，1：50的比例，有很多的文件是重复的，我也没有必要每一次都重复扫描，其实也不需要重复扫描，我们做了一个机制，称为协作机制，发现这个文件没有毒，就会通知其他的虚拟机，其他的虚拟机就不会对这个文件做重复扫描的动作，这样可以大量节省资源。我们可以对这些虚拟机在做扫描的时候做一个动态资源的调度，避免同时扫描，影响业务正常运作。最后我们也可对离线虚拟机做预检的动作，去检查里面有没有漏掉的A代码。通过这五个技术，我们最多可以减少90%磁盘的IO，并且可以达到跟物理一样的安全保障。

　　我为什么一直强调安全不打折?我们后面来看一下，根据国外的第三方测试，我们发现到传统的安全软件，是从物理机移到虚拟机，或者号称虚拟机里面最新的技术，我们根据测试后发现到，只有赛门铁克是唯一一家在物理机跟在虚拟机里面防护能力是完全一样的。在私有云环境底下，安全不该打折，而且也不该打折，要不然走向私有云之后，这些数据更容易被偷走，而造成更大的灾难。在性能上面可以看到，赛门铁克所提出来的技术，我们减少90%，我们的性能更为良好。

　　著名的亚马逊的EC2平台上面，它也是选用SEP，在EC2平台上面可以用SEP作为安全保护的机制，对于亚马逊来讲，每台服务器上面虚拟机密度越高，他赚的钱越多，成本越低，因为赛门铁克可以帮助他节省最多的系统资源，所以他选择的赛门铁克来做，这也再次证明赛门铁克在虚拟机安全网络上面所带来的优势。事实上我们强调的是更安全，效能更高，而且支持所有虚拟化平台，而不是单一的虚拟化厂商。

　　管理与监控虚拟机及物理机的运作，在赛门铁克来讲，我们有一个完整的私有云的基础架构的安全解决方案，来协助你去做三件事情。第一件事情帮你找出来，在你的私有云环境底下，哪些虚拟机是非法的或者是有漏洞的。第二件事情是保障你整个虚拟环境的安全，而且确保它跟物理环境里面的安全程度是一致的。第三件事情协助你有效去监控虚拟机上面的运作，来保障私有云的安全。

　　做云安全的考量来讲，不是只有基础架构需要考虑的，事实上还要考虑其他上层的管理。一般物理环境走向私有云环境当中，我们要考虑几个层面。第一个层面是基础架构的管理，如何有效管理物理环境和虚拟环境，这是我们需要考虑的。第二个是整个基础架构的保护。第三个在云的环境底下，如何去论证这些用户的身份，并且去限制他们，确认身份之后的用户他能够访问哪些敏感的数据或关键的资源，这是第三个问题所需要考虑的。在私有云环境当中如何去共享敏感数据的内容?并且防止数据内容外泄，这是相当重要的问题，不管是私有云还是公有云都会面临这个问题。

　　再往上走要考虑到整体信息安全的治理部分，包括安全策略的制定，风险如何去评估，如何去治理不同云的环境，我们相信在未来得环境当中，你可能不会有单纯的私有云，可能还会有一些公有云，会有一个混合云的环境应用，走到这个环境里面，如何有效治理IT，确保信息安全，信息安全治理是相当重要的一环。

　　针对我们前面所提到的云安全方面的议题，赛门铁克都有相对应的解决方案。由于时间的关系，我对各个解决方案的细节内容就不再多做介绍，大家对于其他部分有兴趣的话，在我的简报最后有我的联络方式，欢迎大家随时跟我联系。我今天就到这里，不知道大家有没有什么问题?没有问题的话，今天就到这里，谢谢大家。