RSA中國大會張振倫:私有云安全構架概覽
【51CTO.com 綜合報道】在前不久,剛剛結束的RSA 2010大會上,我們聆聽了多為嘉賓的演講。51CTO作為特邀媒體,對大會進行了相關報道。更多內容請參閱RSA 2010信息安全國際論壇專題報道。那么,對于大會中所涉及的一些演講內容,這里我們再來總結一下。現在,先讓我們一起來回顧下VMware公司大中華技術總監張振倫,所帶來的演講《私有云安全構架概覽》。
張振倫:大家下午好!今天很高興有這樣一個機會,一起跟大家分享一下關于虛擬化以及云計算上的安全問題。實際上我相信大家剛才聽了很多介紹,包括我剛才聽陳教授的介紹,大家都在講云存儲以及云各個方面的安全,好像現在所有的安全在云上也變成的一個特別特別重要的話題。今天大家都在講公有云的時候,都覺得最最重要的一個障礙也是安全。我們如何看安全?在云的架構下,會發生哪些方式的一些改變,從整個架構的角度,我們應該怎么樣重新考量?在這之前,我想問一下在座的各位,我不知道有多少人知道VMware公司是做什么的?(聽眾回答:虛擬機)
這位先生說VMware公司是做虛擬機的,還有人知道VMware公司是做什么的?我相信幾年前大家去看VMware的時候,很多人都知道VMware做服務器虛擬化,這個概念已經過時了。可能兩三年前,或者說到我加入VMware的時候,說VMware開始做數據中心虛擬化,數據中心虛擬化比服務器虛擬化的內容拓展了很多,因為這中間加入了網絡虛擬化、存儲虛擬化、內存虛擬化、應用虛擬化、桌面虛擬化、安全虛擬化等等。也就是說它變成了整個數據中心,在做虛擬化。
今天我告訴各位,VMware也不是做數據中心虛擬化,這個概念也已經過時了,那VMware到底在做什么?如果說前些日子大家去關注VMware剛剛在美國召開的用戶大會,我們VMware 2010,相信大家看到一個很明確的主題,在這次大會上VMware正式發布的內容。以前很多人都在用VMware的服務器,后來我們改名VMware。今天看到我們發布vSphere,標志著VMware在云計算方面的產品正式落地,同時上周我們在歐洲的用戶大會上,VMware又正式發布了vSphere 4.20。這兩個重要的發布意味著我們云不是一直飄在天上,要落地了一旦要落地,我們就引出今天的話題,如果說前幾年大家一直在說云在天上,這個云下到地上,變成雨之后,長成什么樣子,大家會有各種各樣的想法,這些想法就造成我們今天根本就沒有方向。但是今天這兩個對于云計算重要的發布,已經讓我們云計算真正可以落地,有現成的產品,我相信如果說我們回過去20年的時候,大家都會覺得互聯網是一個很神秘的東西,但是說互聯網會帶來什么樣的影響,沒人知道。大家只是覺得我們有很多的東西要往這個方向去走。但是今天我們已經到了另外一個時點,就是云計算。這個時點就是云計算真正落地之后,我們架構的一些挑戰。我們今天開始正式看我們整個架構的挑戰,在這個架構上,我們怎么樣把我們安全的東西加到這個平臺,讓我們構建一個安全的私有云,或者公有云。
我們分成幾個階段去看,我們去看今天我們的數據中心或者這樣一個虛擬的云計算的平臺到底有什么樣的挑戰,我們如果用傳統的安全架構去做,我們還有一些什么樣的漏洞,或者有一些什么樣的差距,我們要去彌補,來確保我們上到云計算的時候,我們在安全體系上沒有任何的問題。在這里討論很多可能都是面向于體系結構的角度,可能不是加密、解密等等某一個組件角度怎么樣去看。我們去構建整個安全的架構,然后在云計算這個平臺上,同時我們也會看一下混合云的平臺下如何解決安全的問題。
比如這是一個企業級的虛擬的云計算中心,或者我們叫做內部云。今天很多人都聽到內部云、外部云、混合云,或者說內部云和外部云之間如何協同的問題,這不是我們今天討論的主題,但是我們會想到今天云計算的第一步,對于企業的數據中心來說,大家想到就是怎么變成內部云。從今天或者說從前些年大家一直在提的概念,(NGDC),到今天大家基本上又把這個概念OUT了,然后變成內部云這個概念,我們要想完成這個華麗的轉身,其中從安全的架構商來說,我們有誰挑戰,比如我們看到有各種各樣的安全的設備,無論從防火墻,從VPN等等,IDS、IPS一些防御機制,這些事情逐漸堆積在我們整個云計算或者企業數據中心當中,同時我們傳統都是煙囪式的管理機制,每一個部分可能都沒有很好的實現均衡,我們也建了越來越多的VLAN,如果說隨著云規模逐漸擴大,整個架構變得越來越復雜,我們在VLAN建設上可能也會窮盡我們所能設計的VLAN數量,導致我們最后設不下去,同時我們所有建制的這些安全傳統的策略都是靜態的。所謂靜態的,我們怎么樣跟著虛擬機或者我們云架構上的動態資源調度,能夠確保安全跟著動態變化。如果這些安全結構和體系不能夠給云計算動態的調整和優化做好很好的整合的話,那么安全就帶來了巨大的挑戰,可能會限制很多資源就無法調度。在這里可能又回到傳統的模式。
當然我們也看到其他一些挑戰,跟云結合的時候一系列的挑戰,我們傳統都沒有考慮這些動態的因素,資源可以調度來調度去,虛擬機可以在不同物理機上通過其他一些機制進行漂移,漂移走了之后,連接物理的端口,連接防火墻或者一些安全機制都在發生變更,怎么樣來保證這些有效的連接。
剛才講的是數據中心,另外一塊也不容忽視,就是我們的桌面或者我們的終端。有很多人都會說數據中心是我們今天要重點關注的,桌面,有專門做IT的人去管。實際上我們走到云計算階段的時候,大家千萬不要忽略了桌面。我們在桌面上可以發生各種各樣的問題。
我不知道大家有沒有去關注,前一段時間,比如我們都知道一個事件,肯德基的"秒殺門",是怎么導致的。另外在歐洲一個事件,匯豐銀行發生了9.7萬個客戶信息的泄露,這意味著什么?這意味著要有很多的罰款,要有很多形象的損失等等一系列問題。大家想想這些都是黑客攻擊到你的數據中心,把這些數據給拿走的嗎?真的是有人跑到你的數據中心把你的門撬開,把里面的磁盤搬走的嗎?我們說可能那個磁盤搬走也沒有用。剛才陳教授講的時候,里面也有各種數據的加密,我搬走這個數據也沒有用,也解不開,但為什么這些數據輕輕松松泄露到市場上去了?到底誰干的?到底我們的問題何在?實際上不是數據中心的保安問題,也不是數據中心設置一些防火墻或者防入侵等等系統有問題,而是我們的桌面有問題,我們的人有問題。這是最最重要的,最最關鍵的,無論怎么樣加密,無論這個系統再怎么樣安全,總歸有幾個人,甚至幾十個人,能夠去訪問這些數據。如果你要訪問這些數據的時候,這些人會不會把這個數據挪作他用,那怎么辦。
這實際上就是我們今天很多時候講到桌面云的概念,桌面建數據中心的時候,千萬不要覺得它不重要,建云的時候,千萬要覺得這一塊也是整個安全架構最薄弱環節,也應該把它考慮進來,應該形成桌面云。作為桌面云,給我們企業級的數據中心,或者虛擬數據中心有同樣的問題,當然我們也有很多不同的一些問題,比如說我們桌面這一塊要裝各種各樣的軟件,要裝安全防護,今天防病毒,明天防入侵,不斷往里面加很多的東西,一旦形成桌面云,就是想桌面應該是放在數據中心的,前面盡可能是一種安全的訪問架構,這種安全的訪問架構意味著前臺的東西就變成了類似于受客戶機一切軟件裝到你的傳統筆記本、臺式機上,然后直接訪問后臺,盡可能不讓你前臺能夠拿到這些數據,你可以看,但是你沒辦法把它拷走,把它復制,然后把它刻成光盤,把它從網絡上傳走,等等都不可以做。
但是你一旦做成這些架構之后,比如早晨上班,所有員工登陸這些系統,所有機器開始幾點鐘指定做病毒掃描,會不會造成整個桌面的災難。這些方面怎么解決?如果我們還是在玩傳統警察抓小偷的游戲,那我們今天的社會治安肯定就會變得更為糟糕。#p#
我們今天所有的防病毒、防入侵很多機制是怎么樣來做的,我們說這臺PC怎么樣保證安全,我要裝一個防病毒軟件,防病毒軟件是根據一些字節、特征來進行不斷的掃描,任何數據進來之后,確保沒有問題。一旦有病毒就要怎么樣跟這個病毒進行打架。這就類似于傳統的我們警察看到一個小偷怎么辦。警察看到小偷,警察就拼命去追,看警察是不是能追上。如果警察追上了,小偷倒霉被抓了,如果警察追不上,小偷就跑了。我們今天防病毒、防入侵很多機制都是類似的概念。如果我們不去改變這種概念,我們今天整個架構就是可怕的。就像我們今天的社會,如果僅僅說警察跟小偷之間看誰跑得快,我相信大多數的小偷都跑得比警察快,我們警察肯定追不上。但是我們知道警察為什么能夠抓到小偷,小偷一般都沒有槍,警察配槍。警察有各種先進的裝備,我們做防病毒、防入侵的時候,是不是也應該給這些模塊賦予更高的一些策略和機制,讓它這些先進的配備跟病毒進行戰斗的時候,它勝出的機率更高,否則的話這個系統可以想像它的安全不安全,純粹只能靠大家燒香燒的及時不及時,如果燒的不及時就不安全。
當然在服務器這一端,我們也有很多問題需要解決,我們要在上面不斷加模塊,因為這些安全的機制還是要放在后臺,桌面有一個很重要的特點,就是我們桌面都飄到后臺去了,它的操作系統和數據都在后端,這些數據如何有效保護,在服務器端也要做很多這樣的工作。
如何解決這個問題?我們都知道云計算有很多的好處,我們有很多計費上一些優惠,我們有很多管理上的便利性,可以讓IT真正進行產業化,或者工業化。云計算讓整個IT變得工業化或者產業化。我不知道大家有沒有想過一件事情,如果用今天IT這種銷售機制去賣汽車的話,今天你要買汽車應該是一個什么樣的概念。你應該找一家廠商,買到了一個輪胎,那邊買到一個發動機,在那家廠商買到一個汽車的車蓋,那家買到一個車燈,回家找一個集成商把所有東西裝起來,然后往路上一跑,原先發動機廠商告訴我這個汽車可以跑每小時200公里,我到外面一開只能開20公里,這個汽車怎么有問題,我們應該找一個汽車的調優師,就是我們一些專業人士來調一下,這個汽車總算上路了。哪天又開不動了,發動機廠商告訴你這跟發動機沒有問題,我們發動機好,我們輪胎是好的,沒有問題。如果今天汽車還處于這樣一個階段,我們汽車能賣多少。
今天云計算徹底改變這種架構,讓IT真正變成產業化,類似汽車這種模式。不應該考慮這些復雜的管理的問題,復雜的集成的問題,組裝的問題,這一系列的東西不需要你太多的關注,你更多的類似一個自助服務。云帶來這么多的好處,類似我們去買汽車、買房一樣,應該是全裝修的,它是一個交鑰匙工程。
有這么多的好處,但是我們也看到了很多今天去擔心的一些問題,如果不能滿足這些方面的問題,就成了一個很追求的挑戰,可能這個云根本走不下去。其中會看到安全可能是重中之重。說到云的安全,我們后面會看架構,但是其中有一點大家也要記住,我覺得云的安全實際上有很多是跟法律法規,然后跟大家傳統的理念直接相關。大家可以想一下,如果我們回到200年前或者300年前,大家那時候有了錢是放在什么地方,半夜睡覺,放在枕頭下面,在家里挖一個坑,找個罐子把錢埋在地下,大家覺得最安全。我不知道今天還有誰把自己家的鈔票這樣放的,可能我們偶爾會看到幾個個案,有一些貪官是這樣放的,但是大多數正常的人都會把自己的錢放到銀行,可能大家最后看到的是一串數字。我們之所以把錢敢放到銀行,因為我們知道放在里面能取得出來,我們放在銀行里面,銀行里面有各種各樣的保障機制,不會倒閉,并且這個銀行也不會把我們的一些信息透露出去。就像我們今天說到云一樣,這些都需要一個慢慢的健全體系去保障。我們接下來要講怎么樣確保銀行的安全。這是從架構上,法律的問題還是留給法律工作者去考慮,不是我們今天討論的重要范圍。
其中很重要的一點,我們從架構上,力所能及的范圍之內如何設計云的體系,它可以讓大家放心,大家把自己的應用放在那兒,不會有安全隱患的云架構。
首先,看到云的一個重要的特性是我們要構建安全的一個模塊,沒有這個模塊的話,云對企業帶來很多的優勢我們都不敢去享受,因為有安全的挑戰。如何去做?把安全做成安全的虛擬機,這意味著我們不需要在每一個應用上面,或者每一個虛擬機里面都具有安全的模塊,這應該有專門的人負責。就像銀行一樣,有很多部門,每個部門不可能都有自己的安全員去做專業的事情,而是我們在整個系統設計,有一個專門安全部門去管理,確保它的安全。
第二,我們要在虛擬化層,hypervisor以及上面的管理層如何確保它的安全,這塊的安全性是從整個虛擬化的架構、資源池架構上去實現,我們如何構建一些可信任的區域,然后急于策略的構建整個模塊化,使這個架構實現整個外部云、內部云,以及混合云的結構。
我們做這個架構的時候,不是VMware成為了一個專業的安全的廠商,然后把所有安全廠商生意都搶過來,然后VMware去替代,這是不可以的,因為有很多專業的安全的廠商,他們積累了那么多的經驗,我們應該把接口開放出來,他們基于這個去開發,實現云的自動化,我們也應該整個虛擬數據中心的級別實現一些封裝,實現一些混合云的安全,當然我們最終的目的是讓這個云更安全,同時又不能夠搞的特別復雜。特復雜的結果,就像剛才有人提的問題一樣,可能會導致整個性能的損失,也是讓我們無法忍受的。
有人說我想建一個百分之百安全的體系,有沒有?如果從理論上講絕對可以做到,只是投資你可不可以接受。如果有無窮多的錢,我們把飛船送上月球都做到了,我們做這個安全可以做到,但是我們想到一個企業可用安全解決方案的時候,我們絕對不能用嫦娥奔月項目的思路去而想,那樣設計的話,我想沒有幾個企業用得起,那不是我們今天要去真正產業化的東西。
有了這樣一個基本思路之后,我們第一步應該做什么?怎么樣把這些安全的設備、硬件的設備進行虛擬化。我們可以把所有物理資源進行整合,整合成資源池,對于服務器來說就是整合成群集。整合成群集之后,我們可以把這些安全的功能,一項一項的移到hypervisor里面去,移到虛擬化層上面去。我們原先放在應用這個層次上的一些安全的模塊,或者放在服務器這個等級的,我們一項一項把它移到hypervisor里去,同時我們其他一些安全模組,防火墻,網關等等都可以往hypervisor層次去移。于是真正構建的是一個安全的云的計算平臺,而不是在上面做很多安全的模塊,應該去構建和諧社會,也可以說這是云計算里面的和諧社會,這是很的一支安全的力量。
同樣在服務器這一層也要做類似的事情,我們在接入層也可以把這些安全的模組都移到hypervisor里面去。我們原先用硬件去實現的一個一個模組,我們專門做了很多固定的硬件,這些硬件實際上今天都可以加到hypervisor這個層次里面去。原先需要很多計算,這個計算現在放到hypervisor里面去,誰來幫計算。hypervisor是裝在PC服務器上,PC服務器負責去完成這個計算,用PC服務器的CPU去完成。當然很多人會說傳統復雜的計算能力都放到這里,對服務器計算性能會有多大影響。VMware作出了hypervisor對整個服務器CPU都在10%之內,也就是我們把這么多安全、管理、資源池的模組放在里面,對性能的影響還是很小,我們到今天為止,看到虛擬化的應用,可以到99%點多,因此可能只有極個別特殊的情況做不到,但是在我們企業數據中心能看到的基本上接近百分之百都可以做到。#p#
在這個基礎上,有了這樣一個基礎,我們把很多虛擬的安全模組都弄到hypervisor這個層次上之后,IaaS層次已經實現了可信的、安全的模組。上面還有云應用的平臺,是做云應用開發的,云應用開發就意味著我們將來要面對的一些應用,不是今天的應用。今天現有的這些應用,我們怎么樣牽上去,是今天的問題。將來的應用,我們要移到云平臺上去,我們要開發基于云的應用,這時候我們要有云應用平臺,在這個平臺上我們如何保證,實際上就是SaaS的平臺,都是設計企業級的應用,這些應用我們如何保證基于云開發。基于云開發好了之后,最上面是一些前端的客戶端,客戶端怎么樣保證,從架構到應用到上面的客戶端,每個層次我們應該怎么樣保證安全,整個安全實際上是跨這三個層次,在每一個層次上都有相應的模組去完成。
比如我們在最上面的,可能我們有一些身份認證。在每個層次,我們能夠確保它的安全,就意味著整個架構的安全,整個架構設計的安全。這是誰來提供?所有安全部件是VMware和我們共同合作伙伴提供,而不是VMware一家獨大的其提供。VMware構建了一個云時代的IT的生態環境,這個生態環境可能跟我們傳統IT有很大的差別,基本上大家探討都是機遇的云的API,基于云上面的模組怎么樣構建。VMware從虛擬服務器,到軟件服務器,一起去構建,今天我們全球的合作伙伴數千家,大家共同打造一個讓大家放心的安全的體系。
第一個階段,怎么樣讓我們虛擬架構變得安全,也就意味著我們資源池構建時候的安全。就涉及到虛擬機,也有相應的客戶端,可能有不同的一些應用,比如有桌面,有數據中心,有企業級應用云的,有桌面云,這其中VMware有一個很產品的發布,前不久剛剛結束,9月22日在美國拉斯維加斯發布的,是基于下一代,基于動態架構、云架構的安全模塊,讓大家能夠更好的讓各個廠商基于這個平臺開發它的安全的一些模組,動態的滿足云計算的需求。它首先可以形成安全的虛擬機,專門由安全構建。在這之上進行應用的安全,進行客戶端安全的一些規劃,這個客戶端的安全意味著我們桌面這一級的安全。傳統的來說,這個桌面一級,現在我們用這個模組,可以配上槍,配上直升機等等一些先進的武器,確保我們終端的安全。
同時我們在上面這個層次也加了很多安全的一些模組,我們在邊緣這一塊有一個VMsafe,是基于每一個VDC,都會受到它進行保障,它會建一個一個的VDC,就類似于我們針對每一個部門或者每一個應用來形成的虛擬的數據中心,不是整個大的數據中心,數據中心里面可以形成很多虛擬的數據中心。從而能夠構成一個安全的模組,形成一些安全的邊界。同時有一個vShield管理者統一管理,同時vShield管理者還可以和我剛才提到的集成在一起,然后進行有效管控,這個安全模組不需要單獨或者獨立于整個架構體系之外的一個系統去管理,跟它完全融合在一起,然后管理起來更為方便。從整個架構角度來說,通過這樣幾個模組把虛擬架構形成一個安全的虛擬架構。
通過vShield zones,我們還可以去創建授信的區域或者授信分區,授信分區可以基于你的虛擬機,也可以基于你的操作系統或者應用,也可以基于其他更多一些資源,根據你的需要,整個VDC也可以形成整個授信的區域,這些授信的區域就可以進一步的幫助你更靈活配制這些云資源更安全。配制好了以后,可以隨著資源動態調整進行有效流動,來確保這些安全的策略不會固化到某一個硬件端口,或者受某一個硬件資源的限制而限制了云里面資源動態調度的能力。這些從虛擬機到虛擬的應用,到虛擬的VDC,到客戶可以根據需要自己進行定制化,然后形成一個安全的管理和機制。
整個都是基于策略的,形成一個安全的框架架構。下面有這些安全的加強模塊,從FW到VPN到LB等等,DLP,全部基于策略去實現。在這之上我們會加上相應安全的管理組件,可以基于策略的動態去管理,管理這些授信分區,當然也會提供API給我們合作伙伴,這些合作伙伴可以開發他們相應的模組。
說要API,有很多API比如今天我們用亞馬遜,用谷歌,發覺一個應用如果今天能放到谷歌上,下一段時間想移到亞馬遜上去,把應用直接拷貝過去,是不是就可以用了呢?實際上發覺不是,因為他們提供的API接口不一樣。我前一段時間去參加上海市整個云計算項目的規劃,上海云海戰略一些課題研究的時候,他們也提到上海應該形成這樣一個云的標準,今天國內一些廠商也看到每家都在做一些標準,這家作出的云的API有20個,那邊作出有100個,那邊作出有80個,各家都不一樣。實際上這就會導致我們將來沒有形成統一標準的話,我們應用就無所適從,我們移到另外一個平臺都會受到挑戰。 我們提到一些API,已經遞交DMTF,相信今年下半年或者明年應該就會成為整個業界的標準,也就是說我們除了在推動這一塊之外,提供給你API,我們是提交了一個業界功用的API標準,讓我們在用的時候,這些安全廠商沒有后顧之憂。
我們在VMware發布的vShield上提供一系列的產品,vShield Edge是構建安全的邊緣,vShield App是基于虛擬機里面的應用,也是基于虛擬化這樣一個單位去做安全;vShield Endpoint進行安全掃描等等。通過這個我們可以實現一些私有云的架構,從而確保我們實現端到端云的安全
vShield Endpoint和我們業界所有安全廠商一起協作,我們提供一個類似界面,一個接口,大家可以在這個基礎上把他們的東西裝到安全的虛機里先去,這個安全的虛擬機是在每一個服務器上只要裝一個,這個服務器上面可能裝了30個虛擬機,不需要在每一個機器里面單獨的安裝防病毒、防入侵引擎,只需要在這個里面進行安裝。這個安裝好了之后,從hypervisor監控上面的所有數據流的安全,所有病毒的掃描,所有來避免任何惡意的一些攻擊。
當然通過這種方式,這不僅適用于內部云,也適用于外部云和混合云。和哪種云的架構沒有關系,因為是在一個服務器上面,無論哪種云可能都需要這種資源區構建。有了VMsafe zone,通過它可以把這些安全的策略,跟著虛擬機去做遷移,這些虛擬機遷移的過程當中,安全的策略沒有被破壞,我們不需要重新設計,從而形成一個安全策略跟著虛擬機的動態遷移進行遷移,然后形成一個動態的、可控的、可管理的,基于策略的安全的策略,來滿足云計算的需求。
我們在vShield Edge,形成在VDC這樣一個級別,不是在某一個服務器上去確保它的一些安全策略的構建,它的整個思路基本上形成一些資源池,端口組,這是怎么樣形成一個VDC,創建好了這個VDC之后,就會啟動一些服務,這就是vShield Edge,在這里面從內部到外部,形成各種各樣的服務,這些服務都是原先我們在很多硬件上要去實現的,現在都是在hypervisor層次實現,可以看到有net,甚至有負載均衡。我們這個VDC取了一個名字叫做Org VDC,在里面創建它的一些安全的應用,有了這些應用之后,我們可以對vShield Edge進行應用保護,構建授信區,在授信區里面裝vShield App,在這里面干各種各樣的事情,包括安全訪問控制等共享的服務,在共享服務基礎上創建內部的授信區,形成一些內部網絡,同時把這些虛擬機變成虛擬的應用,通過vShield App形成它的整個安全的架構。
也就是說整個VDC的構建,變成可能我只需要幾分鐘的時間就可以完成,也就意味著通過這種方式去構建一個很安全、很可靠的一個內部云的組件也變得相當的方便,再也不需要傳統的方式帶來的這兒要去定制,那兒要做很多集成的工作,這些過程都可以通過vShield這個家族去實現,而整個創建過程,實際上里面很多步驟。
通過這樣一個模組VDC,有了這個VDC,比如企業數據中心的VDC,企業桌面的VDC,因為他們API,他們的接口是完全兼容的,意味著他們可以講同一種語言,中間就不需要做任何的翻譯,意味著將來我們去做內部云和外部云之間協同的時候,或者聯邦的時候,這之間就更方便。這個基礎都是在這里一同去構建的。同時看到安全模組可以跨內部云和外部云,來形成一個聯邦,不僅僅說我架構怎么來建,安全的架構也是跟隨這樣一個體系去構建的。從VMware角度來說,云是一個旅程,云不是一蹴而就,也就是說你會讓天下一場雨不是那么簡單的,你會看到天上的云是慢慢增多,然后烏云密布,然后怎么樣在其中加一點催化劑,有時候實在不下雨,我們只好在里面搞一點人工降雨,慢慢的形成雨,雨往往剛開始慢慢下,然后越下越大,最后形成大到暴雨的過程,云也一樣,云往往也是在企業里面某一塊,比如某一個應用,某一個部門先形成云,然后在這個基礎上積累經驗,慢慢擴展到其他一些應用,從邊緣應用到核心應用,到我們可能原先一直認為這些應用太關鍵,我們真的不敢往云上放,到后來我們大膽可以放到上面的這些應用,包括今天我們看到不僅僅國外的用戶,國內很多用戶已經把他們的SAT等等這些應用都放到上面來,而在云上的安全也是一個旅程。我們首先會形成積攢這些安全的模組,在構建一個小的云架構的時候,我們去實踐這種安全,再去考驗這種安全,再去積累安全的一些經驗,然后我們逐漸構建一些授信的區域,可能我們只建一個區域的時候無所謂授信不授信,如果我們構建很多的時候就會涉及到這一點。當然我們慢慢的也會從我們的內部云而擴展到內部云,內外部云之間協同的時候,安全怎么樣有效的協同,構建的是一個"安全的混合云",安全的混合云最后是我們實現的一個終極目標。這可能根據不同的企業,每一個階段需要停留的時間,需要學習的時間不一樣,但是任何的企業應該都是沿著這個步驟一步步走下去,絕對不是一日之間,昨天是一個傳統的架構,今天就變成了一個安全混合云的架構,這是絕對做不到的。#p#
這中間大家怎么樣一步步走好這個路程,VMware在這里會一直支持中國的一些用戶往這方向去走。我們不僅僅在美國有龐大的研發體系,在中國,特別是在清華科技園,我們有很多清華的、北大的,有很多北郵電的,很多很聰明、很智慧的畢業生,都去構建這一塊的安全體系。我們今天在清華科技園的研發人員已經超過300人。2007年下半年我們開始招第一個人,到今天有300人,每年校園宣講也在吸引全國各高校人才來加入這個團隊,我們同時也在做一些核心的開發,包括安全,包括云計算,包括虛擬桌面等等,這一切都給中國客戶足夠的信心,你在部署和實施的不是一個遙不可及開發出來的產品,我們在北京有我們的售后支持團隊,同時也有我們的研發團隊,來保證用戶從簡單的今天的數據中心架構,轉變成安全的最終的混合云的架構的旅程,一路平安和順利。謝謝!
提問:我有兩個問題,第一個問題,您講云計算的時候,舉了一個銀行的例子。到云計算里面我存的是信息,和銀行不一樣,您把銀行的例子用到信息例子里面,應該會有一點變化。
張振倫:第一個問題是把很多錢放在銀行,大家是通用的一種東西,然后我把我的數據放到數據中心的時候,放到一個外部云的時候,這其中涉及到我的數據可能是不一樣的,對各個人的需求是不一樣的。這之間的比喻有類似之處,如果看銀行另外一個業務,就跟銀行的保險柜一樣,可能放在保險柜里的東西不一樣,有的放一張紙,有的放公司機密,有的放可口可樂的配方,這些機密放在銀行保險柜里鎖著的,如果看銀行這一點業務,跟云計算有某種程度的類似,這中間絕對不是完全可以去比的,因為這之間畢竟有很多東西是不一樣的。但是有一點是一樣的,就是大家一定要有一個相應的法規來確保。如果東西放到銀行,一旦銀行出了問題,銀行應該有什么法律責任。如果把這個東西放到數據中心,一旦出了問題,數據中心應該有什么樣的責任,這中間應該有什么樣的條條框框,我可以做一些調查,有什么樣的法律來確保。
這為什么說你會看到在歐美一些國家,我們都知道IT外包,這個IT環境建好了,可能在我這兒,但是上班的人都是外面的人,不是我公司自己的人,但是這種模式在歐美很流行。大家可能都知道EDS公司,在歐美和臺灣做的很成功,然后到大陸來做得就很不成功,前幾年它已經退出,基本上在大陸撤出。最后我問他們,他們在我們寶島臺灣做的業績是我們大陸好多倍。為什么臺灣都可以做到,大家都是中國人,都是炎黃子孫,這中間就是一些法律法規的差異,絕對不是我們技能上有什么差異,相信我們技能是很容易做到的。
第二個問題,我剛才聽了下午第一場VMware做的報告,我們從端到虛擬機,到應用都做了相關的安全產品,通過您的演講,我覺得產品很有吸引力。但是我感覺我們把傳統網絡安全的產品做到虛擬化的時候,就把網絡層所有的安全手段放在hypervisor里,但是可能我認為虛擬化機器和物理機器不一樣,hypervisor本來應該做得小一點,做得更可信一點,但是如果把所有的放到hypervisor里面去以后,變得更復雜,整個對于虛擬化來說不見得是一件好事。我認為虛擬化最重要的是,跟物理機器之間的關系,它的物理界限消除了,所以可能更關心虛擬化之后的服務之間的用戶的隔離,現在VMware安全架構能夠適應這種虛擬的嗎?
張振倫:您說的第二個問題,hypervisor在逐漸往里面加很多東西的時候,怎么樣確保hypervisor也是授信的,而且是一個可靠的組件。可以從兩個方面去看:1、你會看到原先傳統的hypervisor,有很多裝過的人說你們的hypervisor就是一個Linux。后來大家看到我們ESX又出了一個新的版本叫做ESXI,它只變成了幾十兆的東西。今天幾十兆的東西,一個hypervisor可以做到幾十兆,它的代碼量急劇的壓縮,它真正成為一個瘦的hypervisor。到今天只有VMware hypervisor做到幾十兆,同時我們在這里添加所有東西的時候,都沒有把所有的接口,所有的東西公布成誰都可以往里面加。在我們網站上提供很多東西,這個層次的hypervisor今天都是提供給誰,提供給一些大的軟件開發商,其中通過一些保密協議去確保。類似于今天看到英特爾它的CPU逐漸加劇很多功能,這個CPU也逐漸變得復雜。但是到今天為止我們看到都是在受控范圍之內,我們并沒有把這個層次變成一個像OS層次,變成一個讓大家覺得安全上不授信的一個體系。所以我覺得在今天這個階段,看上去可能還沒有問題。當然很多時候我們再去加的時候,是不是我們所有的都加在hypervisor里面,可以看到另外一個重要的趨勢,為什么講VM,實際上很多東西是加在VM里面,hypervisor只是加了一些簡單的調用在里面,一些文件在里面,而很多計算能力是在VM里面,這樣能確保我在hypervisor這個層次加的代碼盡可能的少,而使它的架構不至于變成傳統OS模式,今天我們看到的趨勢也是很好的趨勢,我們沒看到這個變得越來越龐大,或者變得越來越不可控。
【編輯推薦】
