云计算通过网络将大量的计算和存储资源连接起来，进行统一的管理和调度，按需提供服务。使用者只需通过网络访问就可以获取存储空间、计算能力或应用系统。然而云计算却对网络安全提出了严重的挑战。从云计算租户的角度来看，网络、设备、应用、数据都不在自己的控制之下，甚至都不知道具体的物理位置，如何保障数据安全和业务连续性显然就成了最大的挑战。

　　  从云提供商的角度来看，传统模式下的网络安全需求并没有什么变化，无论从信息安全的保密性、完整性、可用性，还是根据网络层次划分的从物理层到应用层安全，仍然是需要解决的问题。传统模式下的网络安全解决方案中，最重要的一点就是建立网络边界，区分信任域和非信任域，然后在网络边界进行访问控制和安全防御。而云计算资源池与Internet之间仍然是有边界的，在资源池内部由于管理的需要，也会有不同域的划分，从而形成内部边界。这意味着传统的网络安全产品能继续发挥其作用。

　　  那么传统的网络安全产品是否就能充分满足云计算环境下的安全需求呢？

　　  传统IT建设中业务所有者就是平台所有者，从而也是安全责任人。《计算机信息网络国际联网安全保护管理办法》第十条明确规定各单位负责本网络的安全，确立“谁主管、谁负责，谁运营、谁负责”的原则。云计算及虚拟化的应用，业务所有者仅仅是云计算的租户，并不是平台所有者，从而改变了这种安全责任关系。在不同的服务模式下，业务所有者的安全责任也有所不同：在SaaS模式，业务所有者基本上依赖服务提供者保证网络安全；而PaaS或IaaS模式，业务所有者需要对安全进行监控和管理，但把物理安全等留给云计算服务提供商。

　　  这样的安全责任变化势必使云计算服务提供商和云租户需要不同的安全视图。对于云租户来说只需关心自己的数据安全和业务连续性，不论实际的物理服务器处在地球的哪个角落。而对于云服务提供商来说，既需要关注每台服务器、每个网络的安全，也需要关注重点租户的安全状态。

　　  网络安全产品如何满足这些灵活的管理需求？答案就是虚拟化。安全产品的虚拟化将为云服务提供商和云用户提供灵活的、可扩展的安全防护。

　　  我们来进一步分析不同的应用场景下传统安全产品的虚拟化需求。

　　  应用场景一

　　  在SaaS的情况下，云计算服务提供商为租户建立了资源池，通过物理线路连接到Internet上。云计算服务提供商需要在Internet的出入口进行安全监控和管理，因此部署了FW/UTM、IDS、审计等安全设备，这些设备能监控资源池中所有的服务器和设备对外的流量。由于统一资源池流量都经过同一台安全设备，而不同的租户可能对安全的要求并不相同，这就意味着要求安全设备能为不同的租户提供不同的安全策略，而区分不同的租户不能仅仅依靠物理端口，而必须使用IP地址、VLAN等标志，而产生的日志还需要根据不同的用户进行过滤和筛选。这就要求安全设备从功能层面具备虚拟设备的能力，即可以把安全设备上的虚拟设备与用户的资源池对应起来。

　　  应用场景二

　　  随着云计算租户对服务能力需求的增加，同一个云计算租户使用的服务器已经不在同一个资源池中，甚至不在同一个地理位置，即同一个云计算租户的流量会经过多个安全设备。在这个应用场景中，就要求能对不同物理安全设备上的虚拟设备进行统一管理，并能把多个虚拟设备绑定为一个逻辑设备。

　　  应用场景三

　　  在PaaS或IaaS情况下，除了云计算服务提供商对安全继续监控外，云计算租户也需要对自己的安全状态进行监控。也就是说安全设备的使用者除了云服务提供商外，还有云计算租户。这种情况下，安全设备上除了具备虚拟引擎的功能外，还必须可以为云计算租户建立账户，并指定一个或多个虚拟设备进行管理。

　　  通过对以上不同场景的分析可以看出，不同的安全角色有自己的安全需求，在不同的服务模式下、不同的资源规模情况下，同一个安全角色对安全产品的需求也不同。其中场景一和场景二分析了云计算中心的网络边界上对安全产品的需求，场景三分析了云计算租户和服务提供商的不同需求。这些需求可以通过传统安全产品增加虚拟化能力来得到满足。

　　  云计算的出现，对传统网络安全理念提出了挑战，只有主动迎接新的变化，积极思索，不断创新，才能为用户的业务保驾护航，为安全业界作出贡献。

来源：人民邮电报