云时代数据中心安全建设“三部曲”

 在建设云数据中心前，多个用户单位的数据中心独立建设，分别拥有独立的网络设备、安全设备和服务器，此时部署的是传统的网络安全产品。

  在云计算时代背景下，数据中心需要向集中大规模共享平台推进，通过引入服务器虚拟化技术，提供弹性、按需、自助的部署。数据中心的云化，对传统的安全防护方案和安全产品提出了新的要求。

  在此，我们将云时代数据中心的安全建设划分为三个阶段。

  第一阶段是传统安全产品的虚拟化；

  第二阶段是融合到云计算平台的虚拟机安全设备；

  第三阶段是自主安全可控的云计算平台。

传统安全产品的虚拟化

   在云数据中心建设的第一个阶段，需要把各种物理硬件建设成资源池，以虚拟化的方式对多个用户单位提供服务，从而实现实现云计算数据中心的性价比优势。用户单位使用云数据中心提供的虚拟网络、虚拟安全设备和虚拟服务器。

   在此阶段，使用的仍然是传统的安全产品部署在服务资源池的外围，为不同的用户单位创建逻辑上独立的虚拟设备。因此，传统安全需要实现虚拟化，支持虚拟设备功能。

融合到云计算平台的虚拟机安全设备

   在云数据中心建设的第二个阶段，网络设备、安全设备和服务器等硬件资源需要进一步整合。在同一台物理服务器内部的多个虚拟机之间的访问控制，不能通过在服务器资源池外围的硬件安全设备来实现。

在此阶段安全设备需要软件化，作为一个安全应用融合在虚拟化平台上。

虚拟机安全设备可以通过两种方式融合到虚拟化平台，第一方式融合到虚拟化网络路由的方式部署；第二站方式是通过调用Hypervisor层的API，将安全控制功能嵌入到虚拟化平台。

自主安全可控的云计算平台

   在云计算数据中心建设的第三阶段，我们需要考虑云计算平台自身的安全性。

  首先，云计算平台本身也存在各种安全漏洞，例如利用电信的虚拟机逃逸漏洞-----蓝色药丸，攻击者可以在控制客户机VM的情况下，攻击Hypervisor，安装后门，控制其他VM。由于云计算平台往往十分重要，这些安全漏洞需要比传统的主机安全漏洞更被重视。

   其次，Hypervisor层的API调用本身需要更受虚拟化平台厂商的控制。以VMware为例，VMware曾经向其TAP（技术联盟伙伴）开放过VM-SAFE  API,用于开发安全应用，但在最近，VMware关闭了VM-SAFE API。

  最后，站在国家信息安全的战略角度，我们在建设云计算数据中心时，不能不考虑供应链的安全。只有实现完全自主安全可控的云计算平台，云计算数据中心的安全性才能得到彻底保障。