一、云計算安全需求特點

云計算結構與傳統(tǒng)計算方式有著很大的區(qū)別，對云計算平臺的安全建設也不能停留在傳統(tǒng)思路上，必須與時俱進，符合新形勢下的安全要求。

云計算環(huán)境下的安全特點和需求主要包括以下幾方面：

1.集中化

云計算環(huán)境下，安全防御將呈現(xiàn)出明顯的集中化趨勢。這是因為：

1)終端幾乎不保存數(shù)據(jù)，攻擊終端的收益越來越小。惡意攻擊者更多地將注意力集中到儲存了海量數(shù)據(jù)的云端。

2)由于終端輕量化、終端安全性提高、終端多樣化等原因，對終端的攻擊越來越難。

2.專業(yè)化

正因為云計算時代明顯的安全集中化趨勢，對安全專業(yè)化的要求也達到了前所未有的程度。

近兩年出現(xiàn)的APT（Advanced Persistent Threat）--高級持續(xù)性威脅，是一種極專業(yè)、極有針對性的攻擊方法。APT攻擊具有極強的隱蔽能力，當攻擊者發(fā)現(xiàn)網(wǎng)絡中受信的應用程序漏洞時，并不急于求成，而是非常耐心地利用它來進一步滲透，從而形成攻擊所需的環(huán)境。在發(fā)起最終攻擊前，攻擊者經(jīng)常會針對性地進行幾個月甚至更長時間的潛心準備，運用多種滲透手段（包括釣魚、木馬、僵尸、注入等技術，甚至自行挖掘0day漏洞，以及利用社會工程學方法），收集大量關于目標系統(tǒng)的精確信息，熟悉被攻擊者的網(wǎng)絡壞境，探測各種安全隱患，定位關鍵信息的存儲位置與通信方式。當一切準備就緒后，攻擊者便可竊取大量被鎖定的重要信息，或者造成大面積的嚴重破壞。

3.復雜化

云計算平臺是一個通用的平臺，其上可以運行多種多樣的網(wǎng)絡應用，因此也可能帶來各種不同的安全威脅。安全管理員需要從鏈路層、網(wǎng)絡層、系統(tǒng)層、應用層（Web、數(shù)據(jù)庫等）等各個層面進行全方位的考慮。

4.健壯性

云計算為大量外部或內(nèi)部用戶提供服務，為了保證高質量的服務不間斷運行，必須構建一個健壯的平臺。云計算平臺的安全防御也同樣需要具有極強的健壯性，不應成為整個基礎架構的短板。對安全部署的健壯性要求主要體現(xiàn)在高性能、可擴展、高可靠性等幾方面。

5.虛擬化

云計算數(shù)據(jù)中心為多租戶運營環(huán)境，大量外部（公有云）及內(nèi)部（私有云）用戶共享云計算資源。服務器、鏈路、網(wǎng)絡設備、安全設備均被大量用戶共用。

為了最大化利用設備資源、便于管理，安全部署同樣有著強烈的分散虛擬化需求。

6.可視化

云計算平臺是一個復雜的網(wǎng)絡，管理難度大。為了降低管理難度，并把握全局，云計算平臺的安全建設應遵循可視化原則。

二、Fortinet全面防御云計算安全

Fortinet云安全解決方案不僅建立了從網(wǎng)絡基礎架構到關鍵應用的安全融合防御體系，滿足云計算多層次的安全需求；并運用了多種硬件加速技術，為云計算提供數(shù)據(jù)中心極高的安全性能；還結合了大量虛擬化技術，無縫貼合云計算網(wǎng)絡架構，是一套為云計算環(huán)境量身定制的安全解決方案。下圖是Fortinet云計算安全解決方案示意圖，下文將對Fortinet解決方案的特點進行詳述。

Fortinet云計算安全方案概要圖

1.多層融合安全保護

1.1網(wǎng)絡基礎架構安全

如前文所述，云計算數(shù)據(jù)中心面臨著多樣化的安全威脅，包括黑客入侵、拒絕服務攻擊、竊聽、病毒、木馬、蠕蟲等，以及結合上述威脅的混合型攻擊和APT攻擊。因此，首先需要在網(wǎng)絡基礎架構上進行安全加固。使用傳統(tǒng)的單點安全防御方法（即使用防火墻、IPS、VPN、防毒墻等一系列安全設備）來應對混合型攻擊，存在成本高、部署難、管理難等缺點，且由于安全防御的各組成部分缺乏統(tǒng)一有效的有機結合，很容易被混合型攻擊及APT攻擊逐一繞過，防御效果不好。

Fortinet公司的FortiGate新一代安全網(wǎng)關通過動態(tài)威脅防御技術、高級啟發(fā)式異常掃描引擎提供了無與倫比的功能和檢測能力。它集防火墻、IPS、應用控制、病毒過濾、內(nèi)容過濾、流量控制等多種安全功能于一身，覆蓋網(wǎng)絡層、系統(tǒng)層和應用層，多項安全技術在FortiGate設備中有機結合，形成多層次安全防御體系，有效抵御當前流行的混合型安全威脅及APT攻擊。

1.2多層次DDoS防御

FortiDDoS是專業(yè)的DDoS防御設備，通過多種檢測及過濾技術，實現(xiàn)多層次安全防護，精確檢測并阻斷各種網(wǎng)絡層和應用層的DoS/DDoS攻擊和未知惡意流量，包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻擊等各種攻擊。

FortiDDoS以在線方式串聯(lián)在云計算數(shù)據(jù)中心邊界，工作模式為透明模式，無需破壞現(xiàn)有網(wǎng)絡拓撲，也不會修改網(wǎng)絡流量。FortiDDoS具有自學習功能，能自動建立正常流量基線及相關閾值，極大地降低了管理難度。

FortiDDoS使用多個 FortiASIC-TP（流量處理器）芯片對DDoS防御功能進行加速，單臺設備即可防御高達數(shù)Gbps的攻擊，還能通過負載均衡進行擴展，滿足更高的性能要求。

1.3Web應用安全

在云計算數(shù)據(jù)中心建立專門的安全Web服務區(qū)，將FortiWeb Web應用防火墻以透明模式串聯(lián)至安全Web服務區(qū)與核心交換機之間。透明模式部署無需修改網(wǎng)絡拓撲，且不會對數(shù)據(jù)流量進行任何修改，且可以實現(xiàn)對Web攻擊的實時防護，是一種較好的部署方式。

根據(jù)性能需求，將一臺或多臺（負載均衡）FortiWeb部署至安全Web服務區(qū)的前端，所以需要FortiWeb防護的Web服務器（虛擬機）都部署至安全Web服務區(qū)?？梢岳胿Motion等VM遷移技術將虛擬機實時遷入或遷出安全Web服務區(qū)，無論公有云還是私有云都可以很靈活地開啟或關閉Web安全防御。

FortiWeb是完整Web應用和XML防火墻，對應用程序、數(shù)據(jù)庫及兩者間交互的信息進行保護、均衡和加速，能極大的降低基于Web應用程序的部署時間和復雜性。FortiWeb基于簽名庫與模板檢測、基于閾值的限制、會話管理、流強制、基于規(guī)則的參數(shù)驗證、表單及表單域篡改驗證、XML IPS等技術，能完整地防御OWASP Top 10的Web攻擊，包括跨站腳本、SQL注入、緩存溢出、OS命令注入、跨站請求偽造、出站數(shù)據(jù)泄漏、編碼攻擊、Cookie篡改/中毒、會話劫持、 失效訪問控制、強制瀏覽/目錄穿越、站點偵察、拒絕服務等攻擊，提高Web應用的安全性，并未云計算中心在法律和合規(guī)方面提供幫助。

1.4數(shù)據(jù)安全

與Web應用類似，在云計算數(shù)據(jù)中心建立專門的安全數(shù)據(jù)服務區(qū)，將重要數(shù)據(jù)庫服務器虛擬機通過vMotion遷移到該區(qū)域，然后在該區(qū)域的接入層交換機上旁路部署FortiDB數(shù)據(jù)庫安全設備，從脆弱性評估和法規(guī)遵從、數(shù)據(jù)庫活動監(jiān)測兩方面對數(shù)據(jù)庫安全進行保護。

2.虛擬化安全架構

2.1安全設備虛擬化

與服務器分散虛擬化相似，F(xiàn)ortiGate統(tǒng)一威脅管理設備也可實現(xiàn)強大的虛擬化部署。

FortiGate HA集群以旁掛方式連接在云計算中心的核心交換機上，在FortiGate上配置不同的VLAN子接口，對應不同的業(yè)務系統(tǒng)（私有云）或租戶（公有云）。這樣便實現(xiàn)了多租戶共享少數(shù)FortiGate安全設備的目標。

通常云計算平臺的業(yè)務系統(tǒng)或租戶數(shù)量都非常多，如果所有業(yè)務系統(tǒng)或租戶的安全管理都混合在一起，會使得安全策略的條目數(shù)量極其龐大（可能多達數(shù)萬條），導致管理極其困難。而且各租戶的配置還可能存在沖突（例如接口地址、路由、策略等）。

FortiGate的虛擬化功能（VDOM）可以完美地解決這一難題。單臺FortiGate可以最多劃分為500個VDOM（虛擬域），每個VDOM具有各自獨立的接口地址、工作模式（NAT或透明）、路由表、安全策略、管理員賬號等。FortiGate的防火墻、IPS、防病毒、VPN、DLP等安全功能均可在VDOM中實現(xiàn)。

2.2安全軟件虛擬化

除安全設備硬件虛擬化外，F(xiàn)ortinet還提供完善的安全軟件虛擬化解決方案。Fortinet系列安全產(chǎn)品如FortiGate、FortiWeb、FortiManager、FortiAnalyzer等可以VMware或Xen虛擬機形式交付，直接運行在云計算數(shù)據(jù)中心的虛擬化平臺上。

如上圖所示，在一臺或多臺物理服務器組成的虛擬化平臺上，運行著多個不同租戶的業(yè)務虛擬機。還可以在虛擬化平臺上再運行FortiGate-VM虛擬機，并對虛擬化網(wǎng)絡進行配置，使進出服務器物理網(wǎng)卡的流量都經(jīng)過FortiGate-VM的過濾，將其中的入侵、攻擊、病毒等安全威脅過濾，從而起到保護業(yè)務服務器的作用。

這種安全軟件虛擬化部署可為云計算數(shù)據(jù)中心提供以下益處：

1)實現(xiàn)云計算數(shù)據(jù)中心內(nèi)部各區(qū)域的安全隔離與防御。

2)實現(xiàn)安全處理性能線性擴展。

綜上所述，F(xiàn)ortiGate的設備虛擬化（VDOM）和軟件虛擬化（FortiGate-VM）契合云計算虛擬化環(huán)境，為云計算虛擬化提供了安全、可靠、易管理的解決方案。

3.高性能、低消耗的綠色安全

3.1基于ASIC專用芯片的高性能安全

FortiGate安全設備除了使用高性能多核CPU作為操作系統(tǒng)執(zhí)行者和任務調(diào)度者，還采用多種Fortinet公司自行設計開發(fā)的專用ASIC芯片，來進行特定安全功能。例如負責包轉發(fā)、NAT、流控、VPN加解密的FortiASIC-NP（網(wǎng)絡處理器）、負責IPS解碼和特征匹配的FortiASIC-SP（安全處理器）、負責內(nèi)容層特征匹配（病毒過濾、內(nèi)容過濾等）的FortiASIC-CP（內(nèi)容處理器）等。這些專用ASIC芯片與通用處理器（CPU）配合使用來處理復雜的業(yè)務，就像人的大腦和脊柱（CPU）以及周圍神經(jīng)系統(tǒng)（ASIC）協(xié)同工作來執(zhí)行一樣，如此，將CPU從繁重的工作中解放出來，使整個系統(tǒng)實現(xiàn)數(shù)倍于同類產(chǎn)品的性能。

根據(jù)權威安全性能評測廠商Breaking Point的測試，F(xiàn)ortinet公司的高端旗艦產(chǎn)品FortiGate-5140B的防火墻吞吐量高達559Gbps，包轉發(fā)率高達813Mpps，遙遙領先于同類產(chǎn)品，被譽為"世界上最快的防火墻"。

3.2低資源消耗的綠色安全

云計算數(shù)據(jù)中心的設備數(shù)量龐大，往往需要占用龐大空間，消耗大量能源。如何減少空間、能源等資源消耗，也是云計算數(shù)據(jù)中心建設的難題。

由于大量使用專用ASIC芯片作為性能引擎，F(xiàn)ortiGate設備無需配置過多高能耗的CPU，整機能耗和發(fā)熱量遠低于同類產(chǎn)品。又因為能耗和發(fā)熱量小，就無需大量空間來安置散熱裝置，使得設備體積也實現(xiàn)了小型化。作為"世界上最快的防火墻"，F(xiàn)ortiGate-5140B實現(xiàn)了500Gbps以上的超高防火墻性能，而設備高度只有13U，功率僅為3000多W；120Gbps的FortiGate-3950B只有3U高度，最大功率僅400多W。使用FortiGate高性能安全設備同時還能大量節(jié)約機房空間，降低能耗，非常符合云計算中心實現(xiàn)節(jié)能減排、綠色安全的目標。

4.可視化安全管理

云計算數(shù)據(jù)中心為大量租戶運行海量應用，而且設備種類、數(shù)量眾多，在多站點環(huán)境中甚至需要跨地域管理，管理難度很高。

結合FortiManger集中管控平臺、FortiAnalyzer日志審計中心，F(xiàn)ortinet云安全管理方案實現(xiàn)統(tǒng)一可視化安全管理，使云計算中心管理員既能隨時掌握全局安全態(tài)勢，又能深入每一個安全細節(jié)，為安全建設、監(jiān)控、響應、優(yōu)化提供科學依據(jù)。

5.FortiGuard安全云

信息安全是一個動態(tài)的過程，世界各地每天都會產(chǎn)生新的病毒、攻擊等安全威脅，靜態(tài)的安全防護很難適應瞬息萬變的安全需求。

Fortinet公司的FortiGuard安全云為Fortinet用戶提供安全特征更新與查詢服務，配合Fortinet系列安全產(chǎn)品，為云計算中心構建實時更新、快速響應的安全體系。

6.Fortinet云計算安全方案優(yōu)勢總結

Fortinet云計算安全解決方案覆蓋了從鏈路、網(wǎng)絡、系統(tǒng)、內(nèi)容到Web、DB等關鍵應用的安全需求，避免了安全短板，為云計算數(shù)據(jù)中心構建了立體安全防御體系，全面防御各類混合型攻擊和APT攻擊。

安全設備虛擬化和安全軟件虛擬化技術，與VM虛擬機技術、HA冗余技術、vMotion遷移技術完美配合，使Fortinet的安全技術無縫溶入多租戶、虛擬化的云計算環(huán)境。

獨特的多ASIC芯片硬件處理構架，提供無與倫比的安全處理能力，滿足云計算中心苛刻的性能要求。極低的空間占用和能源消耗，順應云計算中心節(jié)能減排、綠色安全的趨勢。

統(tǒng)一可視化安全管理及智能響應，為云計算數(shù)據(jù)中心降低管理難度，整合安全資源，加快響應速度，提升防御能力。

Fortinet安全設備與FortiGuard安全云配合工作，幫助云計算中心持續(xù)更新安全體系，第一時間防御各種0day攻擊。

Fortinet是全球領先的網(wǎng)絡安全設備供應商，產(chǎn)品銷量名列前茅，F(xiàn)ortiGate UTM（又稱為下一代防火墻）長期占據(jù)全球銷量冠軍寶座，產(chǎn)品廣受全球知名用戶好評。Fortinet公司具有業(yè)界最全面的專業(yè)安全認證，包括6項ICSA認證、NSS認證、EAL 4+認證等，是值得云計算平臺信賴的專業(yè)安全合作伙伴。