山石网科与VMware携手破解“云内”安全威胁

10月24日，山石网科与VMware在京达成合作，宣布携手发布支持VMware NSX®网络虚拟化平台的全新山石云·格®微隔离可视化方案。

近几年，随着高速互联网的快速发展，海量的数据无时无刻不在生产和传输，而数据中心作为海量数据的存储和分发平台，其灵活性、可拓展性将变的尤为重要。但是在传统数据中心中，由于资源之间彼此的独立且没有资源移动性的要求，因此，云计算和SDN成为越来越多数据中心的选择。

云的安全信任度为“零”

由于云计算通过虚拟化的技术将数据中心的物理资源“池化”，并根据用户的需求对资源池内的计算资源、存储资源和网络资源资源进行调配，所以云环境的安全问题较以往将变的更加复杂。首先，在云计算内部，虚机间流量传输是通过虚拟交换机进行交换，传统安全防护手段无能为力；二是传统的安全域的概念被打破，通过对资源池的调配，安全域内的虚机数量将会成倍的增长；三是传统的物理边界将会消失，云上的虚机将不再对应某一台物理服务器；四是虚拟化环境下的分工变得模糊，安全责任划分更加不确定；五是云计算中大量虚机的增加，将给运维工作带来巨大的挑战，从而使得虚机的疏于管理和配置。

对于云的安全性，国际知名独立技术和市场调研公司Forrester Resarch公司提出了“Zero Trust Model”（零信任安全模型）的观点。零信任安全模型认为，传统的以单一边界防护，遵从“通过认证即被信任”（Trust but Verify）原则的安全模型极易被突破，常见的例子如利用内部权限管理漏洞，黑客绕过外部边界防火墙，获取内部主机权限，“畅通无阻”的在内部进行攻击。

       如何破解云内的安全问题？

目前，微隔离和可视化被认为是解决云计算内部安全问题的最佳技术方案之一，已连续两年上榜Gartner Group的十大信息安全技术，并且在Gartner Group的“技术成熟度曲线”（Hype Cycle）中即将达到曲线的顶点。

发布会上，山石网科展示了其基于零信任安全模型设计思路的最新产品山石云·格®微隔离可视化方案。

据悉，山石云·格是一个全分布式架构的VNF（虚拟网络功能）产品，共由vSOM（云管理模块）、vSCM（云控制模块）、vSSM（云安全业务模块）和vDSM （虚拟数据服务模块）组成，这些软件模块都运行在普通虚拟机上。其中vSSM模块是为云计算中虚机提供全面网络安全防护的，它需要部署在云计算环境中每台宿主机上，利用云计算平台的引流接口，将受保护虚机进出网络的流量牵引到vSSM上，为每个虚机提供一个防火墙。由于采用分布式架构，所有的vSSM像一台设备在工作，由vSOM负责统一安装，由vSCM进行管理和控制，由vDSM统一输出日志。配置策略时，只需要围绕虚机进行配置即可，不必关心虚机在哪台宿主机上，系统会通过环境的资产发现，把安全策略在虚机所在宿主机的vSSM上执行，而迁移时，会话和策略也会在不同的vSSM模块间同步。

在功能上，VMware NSX主要实现的是2-4层的访问控制，而山石云•格则实现2-7层的访问控制与攻击防护，应用识别、IPS、轻量级WAF、网络防病毒。从微隔离角度看，NSX及其DFW实现了微隔离，而山石云•格则是深度微隔离和可视化产品。

对于山石云·格与VMware NSX的合作将会给用户带来怎样的体验，山石网科虚拟化产品线总监荣钰表示，单一的VMware NSX只是将有问题的虚机隔离起来，而通过山石云·格则可以更深度的去对威胁进行识别、分析和处理。

对于此次合作，山石网科CEO兼总裁罗东平称："如今，企业正将其大量关键业务应用进行虚拟化。通过山石网科与VMware的强强联合，企业可以放心将其重要应用迁移至云端。"

VMware公司大中华区产品部总经理冼超舜博士表示："作为全球云基础架构和移动商务解决方案的领导厂商，VMware致力于携手山石网科这样的领先企业，加速大中华区的云计算部署。软件定义数据中心的VMware NSX网络虚拟化平台，帮助企业将其物理网络转化成传输池，以策略驱动的方式连接网络和安全服务。通过整合VMware NSX和山石网科的集成产品组合，我们可以帮助本地客户提升安全性能和业务灵活性。"

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!