【IT168 专稿】VMware vForum于2011年10月26-27两天在北京举办，在今天(27日)下午的分论坛上，VMware售前咨询顾问臧铁军以“构建可信云计算”为主题，讲解了VMware在虚拟化安全以及云安全方面的解决方案。想了解更多vForum 2011相关信息，请关注IT168 vForum2011大会视频直播专题。

　　云安全三大关键因素

　　演讲开始，臧铁军首先分享了一组数据：调研显示，亚太区普遍对云计算认可程度高，中国已经有20%的用户已经开始应用云计算，准备在未来一段时间内采用云计算的用户约有40%，但其中，只有5%的用户会考虑公共云。此外，根据2011年1月的一项面向全国CIO与IT决策者的调研显示：如果云计算环境安全性与内部数据中心的安全性相同或者更好，88%的用户更大规模使用云计算。

　　安全已经成为影响用户应用部署云的三大关键因素之一，另外两项因素则分别是投资回报率和网络。

　　用户对安全的概念往往非常笼统，但实际上，安全的概念可以拆分为三个部分：安全性、遵从性和可用性。

　　安全性：指为应用、数据、存储和网络提供保护，防止恶意软件和未经授权的人员对其进行访问。

　　遵从性：指可证明符合标准和法规要求。

　　可用性：指可连续保障业务运转的能力。

　　臧铁军认为，目前三个关键因素之中，安全性相对而言做的较好，也更加成熟，但遵从性和可用性目前来说其实更为重要和迫切。臧铁军尤其强调了遵从性的重要性，遵从实际上意味着对某项相关的政策法规的遵守，臧铁军认为，推进云计算向前的一个重要因素在于政策驱动，用户和运营商都需要政策来保障。因此三个关键因素之中，遵从性是核心，所遵从的政策法规决定安全性和可用性的程度。

▲此外，臧铁军还分析了在公共云模型下，服务商与用户的安全职责。

　　VMware云安全方案vShield

　　谈到云架构安全措施和传统的安全保护措施有何区别?臧铁军表示传统的安全保护措施是静态的，云时代的IT架构富于变化。事实上，VMware和安全厂商有广泛而紧密的合作，VMware负责架构，安全厂商负责内容和技术。虚拟化像一个粘合剂，把软件、硬件的资源融合到了一起提供给用户，ESXi5则提供了云安全的非常好的保证。

▲ESXi5则提供了云安全的非常好的保证

　　vShield安全解决方案的优势可被概括为经济、简单和灵活三大特点。

　　经济：一个虚拟设备提供了全面的安全防护功能，所有的保护功能通过单一框架实现。

　　简单：极少的规则、VLAN与代理;虚拟化、网络与安全团队统一界面;简化了遵从性管理。

　　灵活：策略随虚拟机一起迁移，可感知虚拟化与配置改变。

▲vShield产品家族

▲vShield的整体应用场景案例：保护View部署

　　vShield Edge边缘安全保护

　　vShield Edge解决方案主要实现边界防护与通讯管理的角色，主要功能包括：有状态防火墙(Firewall)、网络地址转换(NAT)、动态主机配置协议(DHCP)、站点到站点VPN(IPsec)、Web负载平衡(Load Balancer)、边界流量统计、基于策略的管理、日志与审计以及静态路由功能。其中静态路由为新增功能。

▲vShield Edge架构示意

▲vShield Edge部署示意

▲vShield Edge连接另一个组织中网络的安全加密链路、或者连接本组织内部网络安全加密链路，还可连接远程网络安全加密链路

　　vShield App应用安全与vShield Endpoint端点安全

　　vShield App可以感知和适应网络的变化，简化VLAN与防火墙策略管理，可以在更细的网络级别上提供安全防护。主要功能包括：主机2-3层防火墙、网卡级保护;基于容器、安全组和五元组的策略;策略自动适应变更;允许多个租户重复使用IP地址;应用感知的网络流量监控;灵活的策略管理;日志和审计。

▲vShield App支持更多的策略分组，根据不同的应用设定独有的安全策略，当虚拟机迁移的是偶，安全策略也随之迁移。

▲vShield Endpoint端点安全防护方案的主要功能包括，将保护功能转移到安全虚拟机;自动修复、隔离或删除恶意文件;日志与审计以及与主要安全厂商合作的一些安全扫描工具，可消除病毒扫描风暴，提升性能;消除代理、简化管理并提升安全性。