與人們的生產生活息息柜關的互聯網，并非一個完美計劃的結果。安全隱患于互聯網，是與生俱來的。在互聯網飛速發展的30年間，被動挨打之后再彌補安全漏洞，已經成為解決互聯網安全問題的慣性思維。但是，在互聯網進入云時代后，這樣的安全理念還能保障云的安全嗎?我們還有機會改變這種局面嗎?

從網絡開始

      云安全這個概念曾經被眾多廠商所用，也出現了五花八門的定義。但在H3C安全產品部總工李彥賓看來，保障云計算基礎架構安全的技術，才能被真正納入云安全的范疇。而且，實現云安全僅靠信息安全技術還遠遠不夠，構建一個可以全面支撐安全體系的云網絡將是解決云安全問題的第一步。

      在傳統的網絡架構中，網絡與安全雖然表面上密不可分，但其體系架構卻往往是“兩張圖”。對于下一代互聯網的安全，我們到底應該從安全的角度審視網絡，還是應該從網絡的角度審視安全，這個話題似乎永遠爭論不休。傳統的網絡架構在設計之初并沒有真正考慮到安全的需求，導致長久以來信息安全領域一直在為網絡基礎架構打補丁。所以，在現有的大多網絡架構中，幾乎昕有的安全著力點都是在問題爆發后才能被發現。

      今年6月，H3C曾推出了新一代互聯網(NGIP)解決方案。NGIP被分為三大部分：云聯、基礎承載網絡以及物聯。而H3C昕提出的安全智能滲透網絡的概念正是基于NGIP的。在NGIP架構中，記者卻發現安全的著力點清晰可見。以云聯為例，李彥賓告訴記者，云聯指的是應用虛擬化技術的數據中心。虛擬化技術帶來的安全威脅主要體現在三個方面：首先，虛擬化平臺同樣會像Windows和Linux一樣存在漏洞，所以針對虛擬系統的攻擊就是下一代數據中心所面臨的核心安全問題。其次是虛擬機之間的安全訪問隔離，以及真實主機之間的安全訪問隔離問題。再次是基礎設備的虛擬化，因為云計算中心服務器的虛擬化，要求基礎承載網絡設備也要虛擬化，作為一個能融合到云計算基礎架構中的安全設備就必須能夠適應虛擬化的要求。透視H3C的安全理念，我們不難發現，人們對于互聯網安全防御體系的設計首次變主動了。

      曾經有專家指出，安全要從地基開始做起。如今，人們對信息安全問題的認識和理解越來越深刻，也積累了很多構建安全防御體系的經驗，如果能以搭建健康安全的網絡環境為著眼點為云安全打好基礎，下一代互聯網的安全防御體系才能有機會改變以往的被動局面。

全還遠遠不夠

      向云過渡的過程中，為何網絡中聽部署的安全防御體系變得無處施力?安全防御產品的性能、功能總在不斷提升，但為何部署在云網絡中反而成為瓶頸?在一個關于云計算安全痛點的CIO調查中，一些初涉云計算的企業提出了這樣的問題。

      李彥賓直言，在云端實現云安全，做到安全防護的全面性還遠遠不夠。比如，人們對基礎承載網絡的要求是實現傳輸的透明性，延遲會導致網絡的效率下降。所以在基礎承載網絡中的安全產品的目標就是實現高性能。而當前，由安全產品造成的網絡傳輸瓶頸很多，這個問題必然會被業界所重視。在提升吞吐量之后，安全產品的硬件可按需擴展，功能可按需擴充也很重要。安全之優做到可平滑升級，才能適應云環境的變化。

      當所有的數據包括應用都放在數據中心或者云端時，最讓用戶擔憂的問題自然是客戶端連接到云的通信環境是否安全。可以說，這個安全問題，是所有云服務商都必須要邁過的門檻。李彥賓認為，目前在用戶端接入云的路徑上部署$SL安全認證網關，構建起一個安全訪問隧道，是解決這一問題比較有效的方法。

      李彥賓同時強調，無論是公有云、私有云還是混合云，云網絡中所涉及的安全設備的數量和種類都會成級數增長。如何讓這些安全設備緊密協作，并實現統一的管理和調度是一個必須要考慮的問題。H3C的安全產品體系一直以解決這樣的問題為發展主線。“一個租戶發生遷移，他的策略也可能發生變化。通過管理平臺，這樣的動態遷移很容易實現，還能做到事后的報表分析和安全管控。”

      融合，云時代的老調新談

      下一代互聯網的基礎架構將變成一個龐大而復雜的網絡系統，一個真正有效的安全體系到底需要具備哪些特質呢?

      “常規的安全能否實現防護，云帶來的變化(如虛擬化)是否能高效地適應，是否能更方口精確地實現用戶端的訪問控制和認證?我們認為，這就是云安全要解決的核心問題。”H3C安全產品部部長馬前祖如是總結了H3C對下一代互聯網安全的理解。

      或許我們還無法想象，云會以何種模式走進我們的生活，但是人們對云服務的期待和要求已經指明了云安全的方向。當人們順暢地像享受自己的專有系統一樣去使用云的同時，也意味著將有數以億計不帶任何操作系統和業務系統的虛擬終端會接入網絡，匯聚入云。云環境對網絡設備和安全設備的高性能要求顯然是苛刻的，就像馬前祖所指出的那樣，如果缺乏百G以上的硬件核心技術，想擠進云的市場是很準的。

      H3C的虛擬化技術一直堅持自主研發。馬前祖認為，對實現設備虛擬化的技術的掌控程度很可能將成為決定云市場份額的一個新標尺。從實踐來看，基于H3C自身開發的操作系統而實現的虛擬防火墻，目前最多可虛擬出256個虛擬設備，而借助和虛擬化技術主導廠商的合作而實現設備級虛擬化的產品，大多只能虛擬出4—8個虛擬設備。在進入云應用環境后，這種差距造成的巨大的成本差距就會顯現出來。

      云安全正在讓網絡與安全之間的傳統界限變得模糊。融合的趨勢顯然不可逆轉，但安全似乎也不會完全消融在網絡產品中。在二者相互融合的過程中，雖然很多專業的安全技術領域依舊是目前大多網絡廠商無法企及的，但安全產品的硬件架構設計與網絡設備的結合點卻越來越多。更重要的是，在云環境中，安全產品更不能成為網絡的瓶頸和負擔。而很多成熟的安全功能，也會在這一過程出現模塊化的發展趨勢，最終又融入網絡產品中。正如馬前祖聽說：“網絡與安全的融合區將會越來越廣泛。”