完全虛擬化還是部分虛擬化?

目前，業(yè)界對于云數(shù)據(jù)中心內(nèi)部的虛擬化提出了完全虛擬化(即在虛擬化服務(wù)器上的一個虛擬機)和部分虛擬化(即一臺防火墻虛擬多臺防火墻)兩種方式來解決云數(shù)據(jù)中心虛擬機內(nèi)部流量和虛擬機之間流量的安全檢查問題,。

譚杰指出,，在云計算時代，虛擬化的確成了防火墻(包括下一代防火墻,、UTM等多功能網(wǎng)關(guān))的必備功能,。安全部署必須無縫貼合云計算虛擬化的結(jié)構(gòu)。完全獨立的虛擬化,，全功能虛擬化,。這兩點看似既簡單又理所應(yīng)當(dāng),，但實際實現(xiàn)還是有較高技術(shù)難度的，需要云計算數(shù)據(jù)中心的注意,。

華為的兩位工程師向記者表示,，華為在這兩個方向的虛擬防火墻解決方案上都在努力。同時他們也表示,，純虛擬化的防火墻在開啟安全檢查的時候會極大地消耗服務(wù)器的性能,，也會帶來更高的管理和維護成本。其實,，不論是廠商還是用戶都在尋找一個關(guān)于服務(wù)器上純虛擬化防火墻和出口防火墻部署的平衡點,。

Hillstone首席顧問陳懷臨也向記者表示，目前的安全解決方案在東西向流量上趨于要求低延遲和高吞吐,。而防火墻一般只用于檢測南北向的流量,。尤其是目前Hadoop以及存儲技術(shù)的發(fā)展，大量的數(shù)據(jù)在多個數(shù)據(jù)中心之間快速地流通,。因此,，對于快速轉(zhuǎn)發(fā)提出了很高的要求，也導(dǎo)致了對于東西向的流量不采用防火墻的現(xiàn)象,。而根源是目前沒有合適的產(chǎn)品滿足這種高性能需求,。他還舉了一個例子，從數(shù)據(jù)中心的收斂比來看,，如果一個云數(shù)據(jù)中心做五萬個虛擬機的安全檢查需要200G的吞吐,，而目前并沒有性價比更好的防火墻。另外虛擬機之間的安全檢查與以往并無區(qū)別,，只是虛擬機的增加會對安全檢查提出更高的要求,。

然而，陳懷臨對于純虛擬化的防火墻并不認同,。“受限于服務(wù)器負載,，高端的安全檢查并不能在服務(wù)器內(nèi)部做，還是要將流量牽引出來,。”陳懷臨如是說,。因此，虛擬化的產(chǎn)生對于真正高端的防火墻有很大的需求,，前提是價格可以接受。他強調(diào),，基于網(wǎng)絡(luò)的安全一定是流量牽引出來檢查的方式,，純虛擬化的防火墻是個偽命題。因此,，流量只在虛擬機內(nèi)部做安全檢查,，對于大規(guī)模的數(shù)據(jù)中心很難做,，并不只是服務(wù)器本身負載的問題，IT運維一致化也是重點,，而現(xiàn)在的數(shù)據(jù)中心恰恰很難做到運維一致化,。因此，從最佳實踐的角度來講,，純虛擬化防火墻并不適合,，流量牽引出來才是王道。

零日攻擊防范新招數(shù)

針對系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅,。而漏洞發(fā)現(xiàn)到攻擊的時間跨度越來越短,，甚至來不及打補丁。數(shù)據(jù)中心應(yīng)如何應(yīng)對由應(yīng)用漏洞產(chǎn)生的安全威脅呢?譚杰認為,，零日攻擊的泛濫使得數(shù)據(jù)中心不能依賴單一功能的安全設(shè)備,，尤其是僅僅基于特征防御的安全產(chǎn)品。例如WAF(Web應(yīng)用防火墻)同時通過特征和行為對攻擊進行防御,，對Web服務(wù)的保護效果就好于IPS,。用戶需要的安全解決方案要集多種安全特性(防火墻、IPS,、病毒防御,、DLP、內(nèi)容過濾等)于一身,，并結(jié)合應(yīng)用層防御技術(shù)(如Web應(yīng)用防護,、數(shù)據(jù)庫安全等)，各項安全技術(shù)有機結(jié)合,，互相保護,，時刻監(jiān)控并防御APT攻擊的各種入侵手段，打造一個全方位立體安全體系,。

陳懷臨也提出了自己的看法,。他認為，傳統(tǒng)基于簽名的檢測方法對于零日攻擊的防護并沒有起到很好的效果?，F(xiàn)在大家普遍使用Sandbox(沙盒)來進行模擬,，通過虛擬現(xiàn)實的環(huán)境來檢查未知惡意軟件，對于未知威脅或者零日攻擊的防護,，借用大數(shù)據(jù)分析的方式,，對行為進行主動識別，將是下一個發(fā)展方向,。大數(shù)據(jù)與網(wǎng)絡(luò)安全的最新文章">網(wǎng)絡(luò)安全的結(jié)合也將是網(wǎng)絡(luò)安全的下一個春天,。當(dāng)然，如果要將全部的判斷都基于行為是否異常來進行,，在建模和大數(shù)據(jù)的分析上都是難點,。另外,，由于防火墻必須是在主干路上的，因此對于性能和穩(wěn)定性的要求都很高,。雖然對于硬件平臺也提出了新的挑戰(zhàn),，但卻是一個可行的方向，而Hillstone希望引領(lǐng)這個潮流,。

事實上,，一些安全軟件廠商已經(jīng)將基于行為的分析用作對于未知惡意軟件的安全檢查之中，并且效果很好,。然而,，由于大數(shù)據(jù)也只是新興概念，基于大數(shù)據(jù)的行為分析究竟價值幾何,，還需要時間的驗證,。

本地防御和云清洗搭建DDoS" style="color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blank" title="DDoS的最新文章">DDoS防御網(wǎng)

目前市場上很多廠商的防火墻中都含有Anti-DDoS功能，然而,，防火墻和IPS是否可以有效保護網(wǎng)絡(luò)設(shè)施免受DDoS侵害呢?石金利認為,，如果防火墻中的Anti-DDoS功能不是單獨的板卡，是不能防御DDoS攻擊的,。對于DDoS的防護,，必須要使用專用的Anti-DDoS設(shè)備。作為電信運營商流量清洗業(yè)務(wù)的合作伙伴,，合泰云天創(chuàng)始人郭慶表示,，防火墻與入侵檢測IPS通常串行部署在網(wǎng)絡(luò)下游的網(wǎng)關(guān)位置，是基于狀態(tài)檢測的訪問控制系統(tǒng),，本身就是DDoS的一個攻擊目標(biāo),，在設(shè)備新建連接與狀態(tài)連接耗盡時成為網(wǎng)絡(luò)瓶頸。DDoS防護的最佳實踐應(yīng)該是：流量清洗中心與運營商BGP路由調(diào)度控制,。

石金利認為,，如果防火墻中的Anti-DDoS功能不是單獨的板卡，一旦開啟DDoS防護功能,，可能會對防火墻的基本轉(zhuǎn)發(fā),，甚至?xí)挶淼荣Y源造成巨大的消耗，造成性能極大下降,。對于DDoS的防護,，必須要使用專用的Anti-DDoS設(shè)備或者專門的板卡。對于滿帶寬的DDoS攻擊,，在鏈路上游對于流量的清洗是DDoS防御最為有效的方式,。然而，從統(tǒng)計數(shù)據(jù)來看，數(shù)據(jù)中心發(fā)生的攻擊90%以上不足以造成數(shù)據(jù)中心出口帶寬擁塞,，基本是以業(yè)務(wù)癱瘓型攻擊為主，只有10%不到的攻擊是將數(shù)據(jù)中心的鏈路完全擁塞的,。因此,，如果是應(yīng)用型的DDoS攻擊，由于流量在本地帶寬控制以內(nèi),，所以本地清洗即可,，一旦遇到針對基礎(chǔ)設(shè)施的大流量擁塞型泛洪攻擊，在鏈路上游的清洗還是必要手段,。最完美的方式是將數(shù)據(jù)中心側(cè)和運營商側(cè)進行聯(lián)動,，實現(xiàn)分層防御。即運營商側(cè)管道擁塞型攻擊,，數(shù)據(jù)中心側(cè)防范業(yè)務(wù)癱瘓型DDoS攻擊,。華為的Anti-DDoS解決方案目前在運營商側(cè)有廣泛應(yīng)用，結(jié)合數(shù)據(jù)中心側(cè)的Anti-DDoS可以實現(xiàn)全網(wǎng)聯(lián)動的“云清洗”戰(zhàn)略,。

隨著黑客技術(shù)發(fā)展,、網(wǎng)絡(luò)帶寬的普遍增加、僵尸主機數(shù)量的不斷擴大,，現(xiàn)在的業(yè)務(wù)癱瘓型攻擊也不再是以前的百兆級別的了,。在2012年，發(fā)現(xiàn)數(shù)起千兆級別的CC攻擊,，因此高性能是數(shù)據(jù)中心DDoS防護方案的重點,。同時，對于攻擊防護的設(shè)備精準度也必不可少,。一方面,，能夠精準識別每一次攻擊;另一方面，誤判更是客戶不能容忍的?，F(xiàn)在,，智能終端的普遍應(yīng)用會給傳統(tǒng)的防護設(shè)備帶來更多的挑戰(zhàn)，如何保證智能終端訪問不受影響成為新的課題,。

郭慶認為,，雖然造成鏈路癱瘓的攻擊數(shù)量上少于出口帶寬，但正是這種DDoS攻擊對數(shù)據(jù)中心系統(tǒng),，甚至整個數(shù)據(jù)中心造成致命傷害,。這時，數(shù)據(jù)中心需要考慮投入產(chǎn)出比,，雖然不能一味地增加對于DDoS防護的投入,。當(dāng)問及數(shù)據(jù)中心在DDoS防護上的投入應(yīng)該如何做預(yù)算時，郭慶說道：“數(shù)據(jù)中心一年受到DDoS大面積影響的總小時數(shù)期間損失利潤的20%-30%作為流量清洗投資的預(yù)算較為合適,。”

他談到在大規(guī)模DDoS攻擊發(fā)生時,，整個網(wǎng)絡(luò)的上下游均出現(xiàn)故障,，實現(xiàn)最佳的防御效果需要三個條件：1. 有經(jīng)驗和技能的清洗專家; 2. 與上游運營商的熱線機制; 3. 快速檢測攻擊變化與應(yīng)急災(zāi)備能力。云清洗是DDoS防護的大趨勢,，厲害的DDoS攻擊者手法多,，變化快，時常需要定制正則語法來清洗,，大規(guī)模攻擊的清洗位置越靠近上游越好,。云清洗服務(wù)商需要具備自治域AS號進行BGP路由調(diào)度控制與DNS全網(wǎng)策略控制能力，才能帶給客戶良好的網(wǎng)絡(luò)服務(wù)品質(zhì),。

他進一步闡述道：頁面被篡改,，數(shù)據(jù)泄露這種事情客戶是不會找運營商的，一般是自己關(guān)起門來商量對策,。所以運營商在上游只需清洗大流量攻擊,，清洗開通后的關(guān)鍵是防止誤殺正常業(yè)務(wù)，這方面運營商需要專業(yè)的清洗技術(shù)服務(wù),。不過最近一些新型的攻擊導(dǎo)致客戶系統(tǒng)提供不了服務(wù),，如訪問出錯、頁面訪問緩慢,，客戶也會找到運營商一起判斷處理,。這些新型的攻擊很多時候?qū)π阅苡休^大影響，嚴重的時候引起系統(tǒng)會宕機,，有時很難快速分清現(xiàn)象根源,，這也是需要專業(yè)清洗技術(shù)服務(wù)的原因。

郭慶還強調(diào),，云清洗是DDoS防御最終的發(fā)展方向,，大規(guī)模DDoS清洗方向是運營商主導(dǎo)的云清洗聯(lián)盟機制，中小規(guī)模DDoS清洗方向是云清洗專業(yè)服務(wù)商,。

今天,，以云數(shù)據(jù)中心為依托提供各種服務(wù)的商業(yè)模式已日漸明朗。因此,，云數(shù)據(jù)中心自身的可用性一直是業(yè)務(wù)永續(xù)運行的關(guān)鍵因素,，談云的信息安全威脅，首先要在可用性的前提下才能進一步解決信息的完整性與保密性方面的問題,。

譚杰指出,，安全邊界的模糊使得內(nèi)網(wǎng)安全與外網(wǎng)安全同等重要。因此建議數(shù)據(jù)中心構(gòu)建者做到如下四件事：第一,，能夠嚴格地按區(qū)域劃分,，不同的租戶，不同的應(yīng)用劃分至不同的安全域，使用安全產(chǎn)品進行隔離與保護;第二,，部署端到端的安全防御手段,。例如運行在VM上的安全設(shè)備，可以將防御能力部署到每一臺物理服務(wù)器上;第三,，對網(wǎng)絡(luò)訪問行為進行嚴格管理,。通過技術(shù)和管理手段規(guī)范BYOD行為，對僵尸網(wǎng)絡(luò),、網(wǎng)絡(luò)濫用等進行有效防御;第四，使用多功能安全網(wǎng)關(guān)(如下一代防火墻或UTM)來替代傳統(tǒng)防火墻,，在保護業(yè)務(wù)流量時,，出于性能考慮，可能只會用到防火墻,、IPS等功能,，但在保護管理流量時，可啟用二至七層的多種安全功能(防病毒,、應(yīng)用控制,、BYOD管理、內(nèi)容過濾,、數(shù)據(jù)泄漏防護,、VPN等)。業(yè)務(wù)流和管理流劃分至不同的虛擬設(shè)備中,，保證各自的獨立性,。

石金利在采訪最后表示，在大數(shù)據(jù)發(fā)展的驅(qū)動下,，未來高性能數(shù)據(jù)中心防火墻會在兩個方面發(fā)展,。第一，大型數(shù)據(jù)中心或者云數(shù)據(jù)中心中,，用戶訪問數(shù)據(jù)中心,，以及數(shù)據(jù)中心直接的訪問流量都會導(dǎo)致南北向流量繼續(xù)增長，導(dǎo)致大型數(shù)據(jù)中心出口帶寬流量會由目前的超過200Gbps,，到2015年將接近1Tbps的水平,。第二，數(shù)據(jù)中心中的應(yīng)用類型變得越來越多樣化,。數(shù)據(jù)中心流量傳輸不僅會在用戶與設(shè)備間(如網(wǎng)頁瀏覽),，也可能存在于用戶與用戶間(如社交軟件)，以及設(shè)備與設(shè)備(如GPS)之間,。接入數(shù)據(jù)中心的設(shè)備類型也變得更加多種多樣,。同時，伴隨虛擬化的發(fā)展，進一步復(fù)雜化了業(yè)務(wù)模型,。作為放置在數(shù)據(jù)中心出口的防火墻,，需要適應(yīng)在更加復(fù)雜的應(yīng)用流量模型下提供更高的處理性能，以適應(yīng)大數(shù)據(jù)發(fā)展,。