隨著云計算時代的到來，更多企業會選擇將自己的業務和基礎IT設施向云平臺遷移。雖然云計算在IT界炙手可熱，但在云計算推廣或部署過程中，無論是對使用云服務的用戶，還是對云服務提供者，安全威脅卻一直存在。素有云計算鼻祖之稱的亞馬遜(Amazon)云計算業務自開通以來，已發生兩次嚴重事故，最近2011年8月份的一次癱瘓，影響的業務涉及社交網站、在線視頻網站、圖片共享網站以及數百萬用戶。雖然云計算服務很快恢復正常運營，但還是令人對云計算產生了諸多疑慮，業內很多人戲稱云計算看上去很美，安全威脅變成了云計算的"夢魘"。

由此看來，要讓云計算帶來的IT美好愿景落地，必須要解決安全這一弱點。對用戶來說，他們擔心云服務提供者云中的數據是否安全；對于云服務提供者來說，則是如何保證云中的數據不受威脅。不過，在云計算時代，用戶面臨的安全威脅與傳統的網絡有著不同的重點。對無論是對云計算方案提供商，還是傳統安全廠商，都必將進入新一輪的安全技術革新中。

H3C公司敏銳地注意到了云計算對網絡安全應用需求帶來的新變化。在其尤其推出的NGIP新一代互聯網（Next Generation Internet Protocol，NGIP)解決方案中，H3C圍繞著如何保證NGIP安全問題進行了重點規劃與深度思考。

H3C新一代互聯網解決方案主要包含了云聯網、基礎承載網絡以及物聯網三個部分。在這三個層面，其安全的"軟肋"也各有不同。圍繞這三大不同安全焦點，H3C"修煉"了"全面、高效、智能"的"心法"，有針對性地設定了相應的"絕招"。

彌補虛擬化"破綻"，防護云聯安全

云聯，顧名思義指的是云計算的網絡連接，其中最有代表性、應用得最多的技術就是虛擬化技術。而虛擬化應用帶來的安全新問題也成為了云聯網面臨的最大挑戰。

虛擬化的安全"破綻"主要體現在三個方面。首先是針對虛擬化軟件的漏洞攻擊威脅，嚴重時將導致服務器無法使用，CVE組織也在陸續公布一些虛擬化軟件的漏洞，這一類的漏洞未來會成為黑客主攻的方向；其次是物理服務器虛擬化以后，虛擬機之間如何做訪問控制的問題；第三則是多租戶情況下，數據中心中安全設備虛擬化要求，由于不同租戶的安全策略不一定一致，在共用安全設備時，就必須能夠進行分割，將一臺設備虛擬成多臺設備，從而滿足不同用戶的需求。

那么如何全面地解決這些"破綻"呢？H3C認為，針對虛擬化軟件的漏洞，通過網絡設備+防火墻+入侵防御系統建立起L2-7層立體防御，增加針對虛擬化漏洞的特征庫研究，來滿足在云計算環境下服務器自身的威脅防范，來有效抵御安全風險。

對于虛擬機訪問控制的問題，HP提出的VEPA協議則派上了用場。通過VEPA協議，可以將虛擬機內部的數據流量通過安全設備進行各種安全防護，從而實現解決服務器內部VM之間的二層交換流量的安全訪問和攻擊檢測問題。

而在安全設備虛擬化方面，H3C已經實現了全方位的端到端的產品虛擬化，包括一臺設備虛擬成N多臺，或者根據虛擬需求實現N：1的收斂要求，從而在云中與網絡一起，形成端到端的虛擬通道。從而實現關鍵特性的多實例配置，比如防火墻的NAT多實例、支持獨立的安全域劃分和策略配置；實現基于虛擬設備資源劃分，比如負載均衡設備的最大虛服務（實服務）個數等；實現每個虛擬設備具備獨立的管理員權限，可以隨時監控、調整策略的配置實現情況；且多個虛擬設備的管理員同時操作。

"唯快不破"，基礎承載網安全"秘訣"

在中華武學中有一個重要原則，就是"千破萬破，唯快不破"，核心意思就是速度是克敵的制勝法寶。對于基礎承載網絡來說，云計算應用安全防護的性能是否足夠"快"，則是問題的焦點。

基礎承載網負責的是云計算數據中心和用戶終端的互聯，其特點就是透明傳輸，所強調的就是性能無收斂，沒有延遲，沒有丟包。這對安全設備提出的要求就是"高效"，在園區網中，安全設備性能要滿足與網絡相匹配的性能，滿足10G、40G、100G的傳輸性能需求。在廣域網應用中，要通過應用交付實現應用的加速。

針對基礎承載網的安全焦點，H3C是通過安全IRF技術來解決的。這種彈性擴展技術，可根據業務發展需要，輕松地實現系統擴容。一方面，可以做大性能的擴容，目前H3C第三代安全板卡的單卡性能為20G，通過IRF技術可以虛擬為800G的高性能設備，完全可以滿足未來在云計算環境下40G和100G以太網標準的性能處理要求。

另一方面，通過安全和網絡設備高度融合，還可以實現安全功能的擴充。用戶可以隨著業務發展需要，靈活地增加防火墻、入侵防御、流量監管、負載均衡等各種安全功能。這也是高效網絡安全很重要的一點。

安全智能化，物聯安全"如臂使指"

物聯網（The Internet of things)就是"物物相連的互聯網"，實現物與物、物與人，所有的物品與網絡的連接，方便識別、管理和控制。很多客戶最關心的是，所有的數據包括應用都放在數據中心或者云端了，安全性如何保障？

歸根結底來說，云時代的物聯層面安全關注的是兩個問題。一是安全接入的問題，云計算環境用戶的數據從終端到云計算環境的傳輸中，容易被截獲; 如何保證用戶端到云端安全訪問和接入？二是安全設備的管理問題，無論是公有云、私有云還是混合云，網絡規模都非常龐大，部署的安全設備數量也很多，而且分散在網中不同節點，如何進行有效的設備管理？安全策略如何做到統一的管理？這都是必須要考慮的。

對于安全接入的風險，H3C認為，在云端部署SSL VPN網關是可行的接入方案。利用SSL VPN技術，隨時隨地的在客戶端與資源中心之間建立一個私密通道以保證不同客戶信息私密性，客戶端HttPS方式訪問SSL VPN網關登錄頁面，通過證書客戶端與網關進行身份相互確認，客戶端與網關身份確認后，客戶端就可訪問云中心預先設定好的訪問資源，客戶端到SSL VPN數據流經過了PKI系統進行嚴格的加密保護，保證數據私密性。

同時，針對龐大物聯網中的安全設備，H3C通過統一的安全管理平臺--SecCenter安全管理中心來實現安全的統一管理。有了這個智能化的安全"指揮所"，用戶可以實現安全事件的實時監控，并通過系統提供的各種報告進行安全事件的統計和分析，最重要的是可以實現設備的統一管理和策略配置，從而讓整個安全體系更加智能化。

總的來說，H3C不斷尋求在云計算安全的技術突破和創新，將"全面、智能、高效"的概念融入到具體的解決方案之中，直指云時代安全的三大"軟肋"。

從關注路由器、交換機上安全特性以及實現，到構建L2-7層綜合防御的防火墻、IPS產品，再到融合到園區網、廣域網和數據中心的安全綜合解決方案，H3C一直致力于網絡安全的研究和技術創新。對于云計算與數據中心安全方面的技術發展和應用，H3C也將持續并重點研究，在面向對象的安全部署、虛擬化等方面不斷突破，為用戶提供新一代網絡安全解決方案。