云安全基礎設施投入連年攀升,選擇云服務器密碼機應重點關注哪些方面?
隨著云計算的發展,越來越多的業務形態托管在云端。根據新版《IDC全球半年度公有云服務支出指南》,2019年亞太地區(不包含日本)的公有云服務及基礎設施支出預計為260億美元,相比2018年增長47.1%。公有云服務支出預計將在預測期內增長近兩倍,到2023年將達到761億美元,五年復合年增長率為33.9%。IDC亞太地區客戶洞察與分析高級研究主管AshutoshBisht表示:“安全問題和IT治理是采用云技術的主要障礙,但近年來公眾對公有云安全的看法已經發生了變化,提高IT安全現在被認為是采用公有云的主要推動因素之一。”
云計算作為一種基于網絡環境的計算模式,其涉及的計算能力、儲存能力、交互能力等的計算資源都是虛擬化的、動態的,并最終以IaaS,PaaS和SaaS三種服務模式對外輸出。這種云計算服務模式與傳統的網絡安全服務模式的巨大區別,直接決定了相應的網絡安全產品不能直接拿到云端使用,需要在虛擬化的基礎上匹配研發針對于云計算服務的各類安全產品。
根據《IDC全球半年度公有云服務支出指南》顯示,基礎設施即服務(IaaS)將是亞太地區相對較大的云計算支出類別,2019年該類別支出占整體公有云支出的50.2%,在整個預測期內,IaaS支出將保持平衡,其中,服務器支出走勢略高于存儲支出。
云服務器密碼機(Cloud HSM)作為部署在IaaS層的云服務基礎設施,在保障云端數據安全方面發揮著重大作用。隨著密碼行業相關技術標準的相繼發布,網上電子商務的發展以及公鑰基礎設施(PKI)的建設對安全的需求,無論是云服務器密碼機市場需求還是產品研發與優化需要考慮的因素都很多,但基于目前云服務器密碼機的市場發展情況,在安全合規的基礎上,選擇云服務器密碼機時建議重點關注以下三個方面:
◆單機:高性價比、按需分配
云計算是一種按量(按時)收取費用的網絡服務形式,其基礎設施的服務能力受虛擬化技術水平的制約。并且,實際使用中用戶還會根據不同的功能、性能需求,采用到不同的類型和性能的虛擬密碼機(VSM)。也就是說如果一臺云服務器密碼機可虛擬化出的VSM越多,同一臺云服務器密碼機上可同時運行不同性能、不同功能、不同版本的VSM越多,越能避免用戶資源的浪費和成本的增加。例如,衛士通單臺云服務器密碼機在實現SM2簽名性能21萬次/秒、SM2驗簽10萬次/秒基礎上,最多可虛擬化出96臺VSM,折算后每臺VSM的成本僅相當于傳統密碼機成本的35%。同時,每臺衛士通云服務器密碼機都可以按需虛擬成金融數據密碼機VSM、服務器密碼機VSM,簽名驗證服務器VSM,實現用戶云服務密碼機的按需分配。
◆集群:高可用、高性能、彈性計算
集群功能對于保障云服務器密碼機的高可用性、高性能、彈性計算方面有直接且決定性的影響。
在購買云服務時,用戶往往比較擔心因宕機產生的服務終止和業務損失。通過集群,在突發設備宕機或其他故障時,集群中其它運行完好的設備可以及時替換支援,起到容災的作用。衛士通云服務器密碼機現在最多可以支持128臺VSM組成集群,并內置負載均衡器,為用戶提供高可用性的密碼服務,保障用戶業務的連續性。
在性能方面,VSM自身是否能提供高性能的密碼服務只是一方面,集群的方式則更能體現VSM的威力。多臺VSM通過集群橫向擴展,可為業務系統提供性能更高、可橫向伸縮的密碼服務,實現遠高于一臺物理機的性能。
提及可橫向伸縮的密碼服務,接下來需要介紹的就是彈性計算。云計算的一大特點是應用可以根據實際需要動態的分配資源,云服務器密碼機也可根據應用的需求動態伸縮,按需調配資源,同時應用所需的加解密功能也應能動態的按需加載。云加密的動態伸縮主要體現在資源集群伸縮與訪問控制自動配置。衛士通通過智能云監控技術,對加解密服務次數、加密服務器CPU/內存硬件性能等指標進行統計,結合智能決策算法確認當前VSM集群與服務的繁忙程度。當業務繁忙程度過高時,通知云服務器密碼機管理程序,自動在集群中新增VSM。相反,當業務繁忙程度降低后,也將根據智能算法在VSM集群中自動回收部分VSM。
衛士通云服務器密碼機
◆云化/集群化管理,使用和升級簡便
云服務器密碼機是否可無縫與主流云管理平臺結合,接受云管理平臺的云化管理,應是用戶選擇云服務器密碼機時需要重點關注的另一個因素。以衛士通云服務器密碼機為例,除可接受衛士通云密碼資源池管理平臺、OpenStack等云平臺統一管理,還可提供RESTful API,云平臺通過調用API對云服務器密碼機進行調度管理。當衛士通云服務器密碼機在這些平臺對接后,用戶創建VSM時只需在平臺上設置集群名即可自動生成或加入集群。集群自帶的Load Balancer還能自動發現集群內部VSM的狀態及其權重,并自動根據VSM狀態和權重為VSM分配對應的交易業務,以此實現簡便易用、智能調度的集群。并且,管理任何一臺VSM與管理集群等效,可對集群中的VSM依次一鍵升級,升級過程中發現問題還可回滾。
