中国云数据中心安全市场茁壮成长云主机和SDN带来新挑战对话迈克菲北亚区技术总监郑林

本刊记者 | 黄海峰

随着云计算数据中心规模化发展，云安全服务市场也日渐增长，如何保证数据中心云安全系统的安全备受关注。

郑林

迈克菲虚拟NSP产品首次亮相

从以物理形式出现的传统数据中心，到云计算虚拟化数据中心，再到软件定义数据中心，数据中心的演变催生出新的、更高的安全需求。在电信行业，中国运营商继续推动大型云数据中心的建设，其安全防护变得越来越重要。同时，如何提供云安全增值服务也成为运营商关注的焦点。就当前电信领域数据中心云安全发展特点以及未来走向，《通信世界》专访了迈克菲北亚区技术总监郑林。

云DC安全市场偏向两大方向

《通信世界》：就您了解，目前电信云数据中心安全市场现状如何？

郑林：数据中心云安全发展分为两方面，即云数据中心自身安全保护和基于数据中心提供云安全增值服务。对于前者，目前发展依然较欠缺，运营商对云主机、虚拟环境下的安全防护不够充分，如数据中心日志分析、时间分析管理等需要进一步加强。这是因为云数据中心防护需要对传统安全架构进行大的调整，要协同多个环节并不容易。

在云安全增值服务方面，电信运营商等公有云服务商都希望提供更丰富的数据中心业务，为传统的云主机、云存储等业务“加码”。众多运营商都能提供传统的云业务，但由于业务差异不大，市场最终会走向价格竞争，不利于良性发展。如果能将云安全作为增值服务，可以丰富上述传统的云业务。如迈克菲帮助亚马逊在提供云主机服务时，为客户提供更多高级的云安全服务。

电信云DC市场总量小、增速快

《通信世界》：从技术方面看，2013年运营商云数据中心安全防护面临哪些新得威胁？运营商云安全方案采购需求相比去年有哪些心的变化？贵公司参与了哪些，表现如何？

郑林：相比去年，一是运营商对云数据中心防护力度要求越来越细，之前更多集中在防火墙、入侵防护上，目前对云主机安全防护、数据库安全事件分析等方面需求量显著增长。二是万兆以上网络安全攻击检测需求增多。运营商提出新的安全系统要能满足高带宽、大流量时期网络需求。今年三季度迈克菲完成了对Stonesoft的要约收购。 Stonesoft 是下一代网络防火墙产品的主要创新厂商，在主动防御、智能管理等方面都表现优秀。。

与此同时，目前许多云数据中心建设更关注基础架构调整，如虚拟化平台建设、资源池化调整，以搭建完善的云基础架构。从整个中国市场看，现在数据中心安全项目非常多，大部分项目集中在传统项目，如防火墙、入侵防护等，但数据中心云安全正呈现快速上升趋势，已成为重要的发展方向。

此外，云安全服务则处于新兴发展时期，需要运营商和安全厂商共同引导市场。针对中国客户对安全服务消费的特征，可将安全服务实行“免费+收费”并行的模式：防火墙等基础服务免费，APT、DDoS防护等更高级别安全服务收费。目前迈克菲已经在中国与运营商、服务商等合作伙伴共同推广安全云服务，已经有许多企业选用，使用效果得到认可。当前我们提供的包括终端、邮件、web方面的云安全服务，下一步将要提供网络等更多领域丰富的安全服务。

SDN数据中心防护成新热点

《通信世界》：就您预测，2014年中国云数据中心安全市场将进入何种阶段？呈现哪些特点？贵公司明年将着重哪些方面的研究和拓展？

郑林：数据中心网络越来越多自动化、流程化发展，运营商将安全作为基础元素融合到数据中心网络建设运营中，而非以前后续“打补丁”的方式。迈克菲已经和Vmware就融合的虚拟化平台进行合作，推出虚拟化网络安全方面最主要的产品——虚拟NSP，将于今年12月份正式上市。将安全系统融合到虚拟化平台带来哪些好处？用户只需要购买云主机等云服务产品，节省在安全系统管理方面的资金和时间，专注自身业务的发展。

目前业界对软件自定义（SDN）数据中心研究较多，这给云数据中心的安全系统带来新的挑战。简单讲SDN数据中心网络会更加动态灵活，管理呈现自动流程化，安全层面的防护也需要与用户工作数据流紧密结合在一起。如此一来，传统安全系统架构必然不再适应，需要新的变革。

在近日vForum大会上，VMware隆重推出NSX网络虚拟化平台。而迈克菲也首次亮相了在虚拟化网络安全方面最主要的产品——虚拟NSP，这是全球第一款也是目前惟一一款支持VMware NSX的入侵防护产品，将于今年12月份正式上市。

概括地讲，它可以对同一物理机上的不同虚拟机进行流量监测，并对可疑流量进行隔离，整个过程不需要任何人工干预和操作，完全自动化。迈克菲虚拟NSP基于英特尔DPDK(Intel DataPlaneDevelopmentKit,Intel 数据平面开发套件)技术增强数据转发能力，同时具备单一设备多租户支持、按需扩展及端口配置灵活的特点。事实上，这款产品是迈克菲将既有的NSP迁移到一个虚拟化结构来实现的。迈克菲的NSP是一款有着十多年历史、极其成熟的产品，且在国内拥有广泛的客户群。此外，随着软件定义数据中心的发展，迈克菲还会陆续将其它安全防护产品迁移到VMware NSX上来，真正实现安全资源与技术的无缝整合。

在主机安全方面，迈克菲则是通过数据中心套件以发现、保护和扩展三步骤来实现。迈克菲数据中心套件可以自动发现其目前管理的所有物理设备和虚拟化设备，例如VMware vCenter 及Amazon AWS。不仅能在迈克菲ePO平台的管理界面清晰呈现，还可将应用程序分类为“Known Good”(已知无害)、“Known Bad”(已知有害)和“Grey List”(灰名单)。同时，除了保护虚拟机的计算安全外， 迈克菲的安全解决方案正在向云端扩展。目前，ePO具备弹性感知，已经可以支持混合云，能自动发现并确保云实例的安全，确保现场部署以及基于云的数据中心间的安全状态的统一。