【IT168 评论】云计算的发展势头正可谓是一发不可收拾，随着企业用户对于云计算认知大大提升和国家云计算政策引导，政府和企业用户纷纷加速云落地，大家都称之为谓是政企云，但部署政企云面临的最后一道门槛是安全问题，该问题也引起各个行业以及企业部门的广泛关注。谈及政企云安全问题，不仅包括了IT基础设施，还包括了政企云平台上用户数据的安全这两大类，对于IT基础设施安全层面，我们有幸邀请到了山石网科的虚拟化总监荣钰先生，和大家共同探讨一下当下的政企云安全以及未来政企云安全的发展趋势。

▲山石网科虚拟化总监 荣钰

　　云计算发展，安全成最大绊脚石

　　荣总认为，政企云在前一段的建设上，在安全方面考虑的不够足够。目前，从政策、标准层面，从客户的重视程度上，从产业界的能力上，都大有改观。他认为未来政企云的安全市场会越来越好。尽管如此，在政企云的建设问题上也万万不可掉以轻心，政企云还没有全面的开发，当前的政企云在全面开发上面临着诸多的挑战，荣总认为这些挑战中首当其冲的的就是安全上的挑战。

　　从现在的数据安全、虚机计算资源，虚拟网络的安全，未来到docker时代所面临的挑战都很大。荣总表示：云计算的时代从企业应用系统开发构建的时代，正式演进到SOA，向微服务发展的阶段。这对内部组件的可信要求更高。但是实际上现在的问题看，我们虽然有可信域，但是在云计算中，可信域并不好划分，我们通常看到的是这个可信域可能太大了，导致可信域内不可信。而其实现在业界也有一个观点就是，zero trust，就是我们看到很多时候可信域内部并不可信，很多的高级可持续性攻击，都是在内部实现攻击。

　　他还表示称：云计算和虚拟化，让原来企业内部信息系统的可信域不好划分，传统的物理边界没了，为了更好地业务可持续性和连续性，即使画了边界这样的边界也是在移动的。

　　SOA或者微服务都是为了让内部应用系统构建有更好的可扩展性，他们选择云计算乃至未来的docker都是看重了自动化的可扩展性，变化。荣总还讲到：我们看到在工程上自动化部署还是很大的挑战，这也是云计算要做到的目标，自动化的部署、运维、弹性。

　　软件OR硬件?这是个问题

　　谈到软件和硬件的问题，荣总说应该在合适的地方选择合适的产品。首先软件的方案是主流。原因很简单，硬件产品在云内部无法合理的部署，在灵活性、弹性、云的适应性上存在不足。软件的方案在灵活性、云环境的适应性和弹性上有优势，这种优势转变给客户的价值有更多，更小的安全防护域，更好的信任关系以及可信的通信路径，云内部的可视，再有就是更好的性能。

　　软件的方案更容易做到分布式处理。他提到山石云·格这样的软件微隔离产品，让一个宿主计算服务器内相关安全威胁的分析和防护都在本地的安全业务虚机处理完。而山石云·界这样的产品则是让每个租户的边界防护、VPN都由租户自己申请的虚拟防火墙完成。整个系统的性能可以说接近无限，可以随着租户、计算节点的增加线性增长，这样的优势是硬件产品所不具备的，而硬件靠引流出来处理之后再送回去的方式，浪费带宽、延迟、vlan地址，也过于复杂。

　　山石网科的云安全为哪般?

　　提到云安全的成功的解决方案，荣总向我们介绍了山石网科在云安全领域成功的产品和解决方案：

　　●硬墙：小身材，高性能，NSSLab 测试中被推荐的非常好的性价比和优秀检测率的下一代防火墙。

　　●山石云·界：All in One安全产品(所有功能都在一个虚机中完成，节省计算资源)提供全面安全防护，高性能和高稳定性的VPN，丰富的自动化部署经验，实用的RestAPI便于与第三方云平台集成。

　　●山石云·格：是被Gartner Group关注的全球领先的微隔离方案。阻断云内部东西向威胁的传播，透视镜功能，实现云内资产发现、应用可视和威胁可视。特别是能够呈现虚机间应用流，攻击链条。山石云·格是网络微隔离方案，对Hypervisor依赖度低、影响小。

　　针对云安全的网络攻击，荣总提到山石网科能够利用硬件的X系列防火墙，以及智能下一代防火墙来对一些低速应用层的DDoS进行防护。面对APT攻击，山石网科外部边界和硬边界有T系列防火墙，通过智能的行为分析算法UBA。此外还推出了BDS(智能内网威胁检测系统)产品。可以看出山石网科的智能威胁检测算法在数据中心这样的单一场景中更有优势。云·格也做到了云内部的微隔离，有效的在云内部做到多个系统之间隔离。

　 政企云有望弯道超车

　　云计算的应用已经是大势所趋，政府企业纷纷上云，可以说云的应用已经基本普及到各个企业当中，现在可以看到在OpenStack领域，中国公司贡献的代码越来越多。荣总认为未来政企云安全在中国会得到进一步的蓬勃发展，而且有可能在这个领域里实现弯道超车。