[ 導讀 ] 陸永康先生，是Sonic WALL的技術總監，畢業于香港理工大學，獲得工程學識學位，陸先生在網絡行業有二十多年的工作經驗，在IT行業經過廠商、經銷商、咨詢服務多種類型的公司，在整體的網絡安全規劃部署上來，更為熟悉，并且參加了政府金融、航空等網絡項目，他的題目是

Sonic  WALL的技術總監陸永康演講全文

    大家下午好！我是陸永康，是代表Sonic  WALL公司，Sonic  WALL是一個網絡安全設備廠家，今天我們是從網絡層次看看云計算能夠提供一些意見給大家，如果你們有機會要部署一個企業的云或公共云的時候，有什么地方要注意的，尤其是在網絡層次上。

    云是一個剛開始的階段，但是我們看到越來越多的公司已經投放了一些資源去做一些自己企業的云，或為了省錢的直接給公共云提供服務。最簡單的例子，這個推動力可以給企業省錢，如果不可以給企業省錢，沒有人會買的東西。這是很簡單的， 每一個用戶也會問到這種問題。

    云計算公共云，不需要買什么設備，服務器、網絡投資完全不用。只是給他們交一個月費。提高多少帶寬、用戶量多少，都通過這個計算提供。操作系統打補貼都可以省錢，企業都愿意把目前的IT設備轉到云計算上的。

    另外一個部署方面，是比較簡單的，比如說很有名的應用，像CRM，已經有很多做好的應用，個別的公司可能有他們特別的要是，只要通過很簡單的部署，就馬上可以用。這個定植很快，沒有什么負擔，請一個人去維護、做一些備份也要錢，全是云計算可以搞定，不用擔心。

    可測量性，動態分配資源，存儲、記憶、帶寬、連接數都可以動態增加或減少。應用軟件不是24小時使用，白天的時候，員工上班的時候使用量會大，那時候可能CPU使用量不夠，可以動態增加服務器，處理能力就增加。下班沒有那么多需求，就可以減少。基于這個原則，用多少算多少，從成本的考慮，從月費的考慮，云計算是有他的賣點。我們是看到云計算越來越流行，是這個原因。

    這是一些趨勢，美國一個雜志提到十個趨勢，我把兩個拿上來給大家看。說的是一些私有企業建的云，一般提到公共云，一些大的跨國企業建立自己的云，可以省一些成本。

    現在目前來說，很有名的公司，他們提供這些企業的云，基于公共云，他們已經很努力去推這個方案出來，我們看到越來越多的公司往這個方面走。我們整個銷售的系統、技術支持、售后服務，所有的東西都是在銷售上跑的，全球的員工無論是中國大陸還是美國，也可以通過云技術來運作，然后我們可以最新的信息。
    說那么多云的好處，云真的那么完美嗎，一點缺點都沒有嗎？云計算威脅我們要探討一下。這里說到很多人因為企業應用以及[FS:PAGE]語音上面，有什么問題出現？不用自己的服務器，網絡設備不是自己的，是云計算中心的，沒有權力改造網絡設備配制或調整服務器等種種設備，問題出在這里？在人家手下，如何確保你的應用數據是安全，這是很關鍵的問題。

    云，從用戶的角度來看，我們是用瀏覽器，有一個統計，目前來說，有一個八分比，目前我們的生活習慣，打開筆記本還是上網，用瀏覽器，可以用微軟的，基于這種方式來和應用聯起來，把信息拿下來。

    云的結構，云的最底層是Intel，沒有Intel就沒有云的計算，云的計算把所有的東西集中在云中心里。沒有網絡基本上不行。云有一個特點，結構是云計算中心不可能你一個客戶。要收集很多用戶，他們越多用戶來說，生意就越作越大。  越多用戶時資源就可以調配，共同分享。包括服務器、軟件、存儲、網絡。問題就出現了。

    這些數據怎么保證是安全？我們有一個圖，在云計算中心，現在用了很多服務器，某一個用戶有一個應用軟件，在三個服務器上跑，怎么知道你的數據不會和另外一個客戶的數據混起來？怎么保證？好處是有，但是不好的地方沒有控制。

    一般我們把云看成一個服務而已，我們很多也說了，是一個服務，提供一個服務給你，不要管里面有什么，你在里面跑，公司的運作可以通過手段來完成就可以。

    應用方面把不同的應用隔離，服務器上跑不同的軟件，出現死機的形式，服務器沒有反映的時候，怎么辦？用戶的應用怎么可以很快的恢復？這是另外一個問題。

    存取控制，用戶進入云的時候有密碼，密碼進去才有一個授權進行訪問內部的資源，怎么控制？不是單一的用戶，現在可能有幾百個用戶、上千個用戶，云計算中心怎么確認？也是值得我們想一下的問題。

    在應用層，這些威脅怎么解決？病毒、木馬、間諜軟件等攻擊如何保證用戶避免這些問題。

    數據泄露怎么處理？確保不會泄露出去，傳輸方面的風險也是，有沒有完整性，是服務器傳到瀏覽器的時候，中間有沒有一些黑客攻擊，數據有沒有 給人修改過，這都是很重要的問題。

    這是剛才總結碰到的問題，可以很好的控制，網絡安全設備、加密，怎么做法可依控制？既可以云的供應商談，我想要的時候你怎么保證，這是要和他們探討的，服務的水平怎么樣？出了問題的時候，怎么很快的進行恢復？也是一些我們要注意的地方。[FS:PAGE]

    另外一個例子，在云里的虛擬器，第一個用戶服務器含有70%的CPU沒有用，另外一個客戶有用戶軟件在上面跑。好處是可以動態，這個應用不夠的時候，可以動態加一個服務器，可以看到反映很快。

    你們也很忙，要作的事情很多，反映不夠快，用戶是沒有興趣等待的，這個服務的水平，云計算中心要提供最低起碼的水平，用戶才能覺得可以。以前有這種反映的時候。

    在虛擬上有一些建議，黃的是外面進入的，可以放一些防火墻，可以把一些病毒、外面的攻擊抵擋住。紅色是代表抵擋住了，進入不了。另外一個做法，在多個虛擬服務器之間提供安全保護。

    另外一個考慮，大家也知道，瀏覽器連在云上，99%已經是用安全的WEB，所有的數據通過互聯網業是加密的。加密的時候，有一個SSLVPN設備，要進行解密，防火墻，解密之后可以看到數據報的內容，可以拿下來，不讓通過，提供一種保護， 我們叫做干凈的VPN。

    云安全措施，從我們的角度探討一下在實際應用方面我們可以做什么？首先我們先考慮客戶端瀏覽器上，從瀏覽器連到某一個網站，我們建立的千萬不要用公共的電腦，打個比方星期六放假，突然有一個電話，有一些事情要查，沒有電腦怎么辦？有時候可能去網吧上一下網，網吧公共的電腦風險是很大的，我們建議千萬不要。

    實際環境可能還是要用公共電腦，我們怎么去網絡的層次解決這個問題？首先，我們要有安全的遠程存取服務器，給瀏覽器第一關連到云，第一點所有的是HTTPS，怎么知道這個設備在公共的不是自己的PC，我們通過一些遠程控制，這個功能是在遠程儲備服務器上的功能，是做什么？做一些查詢，會問PC，你現在是什么的操作系統？微軟的XP等，你現在有沒有打一個補丁，Server是多少，服務器通過查詢，遠端電腦的瀏覽器是什么系統？電腦有沒有安裝防病毒軟件，夠不夠安全？通過這些查詢，他就知道大概對方是什么，如果已經打了補丁，又安裝了防毒軟件，就會把用戶放在安全的區域，這個區域是服務器里一些安排。

    如果公共網吧的電腦，沒有安裝什么防毒軟件，或者安裝了但版本很低，經常沒有更新系統，把這些不安全的東西改善了，發現如果不安全，存儲服務器放在檢疫區，進行隔離。是有一點設置，可以訪問到內部的資源是有限的。或者現在可以給你用，但是在你的電腦里分割出一部分的記憶體，然后把所有的信息放到這個特別的[FS:PAGE]區域，這個區域和系統是分割出來，不會混在一起，控制權在存儲服務器上。問題因為是網吧電腦，怕有病毒感染，所有的文件下載下來，下載到電腦的隔離區域上，這些信息不會被訪問到，因為不安全。所以受感染病毒或受攻擊的機會，通過這些手段可以把數據有問題的電腦進行隔離。

    還有下載下來的文件存到硬盤，是不允許存的，可以關機，沒有關電腦，在起來，拿到里面的東西是亂七八糟的東西，拿到也沒有用。通過這種安排，從安全角度來看，從云的切入點已經做了第一道防線，受感染的機會大大的減少，不敢說百分之百，但總有一些漏洞。根據我們的經驗，這種安排目前還可以，沒有什么問題發生。

    云安全措施，要有防火墻保護，DOS和DDOS，要做好這方面的保護。云計算中心是幾百個用戶一起用的，不是你每一家企業，要做的好一點怎么隔離。登陸以后，客戶區到哪一個區，不應該去到那里，要做好防火墻的規劃。
    UTM主要是有三塊，是網關防病毒、入侵組織、反間諜軟件，病毒影響比較大一些，入侵也是有，還有其他的。
    加了UTM設備，也是一個防火墻。也可以分開來做，有很多在云計算中間，網關殺毒是一個設備，入侵是另外一個設備，因為流量很大，獨立的設備好一些，效率高一些。我這個連接是HTTPS，殺毒怎么殺，數據已經加密了。一般的做法是首先終止點在遠程存儲服務器上，出來的時候這個數據已經沒有加密了。沒有加密之后，就可以通過防火墻UTM設備檢查到內容是什么，我有說過，數據怎么保護泄露的問題，比如公司的文件有加密的，不能流入到外面，如何確保？如果要下載一些文件，我們可以在UTM做一些保護，比如WEB有一些機密，通過掃描，如果有機密，就不能讓你下載。

    外面其實還有一些文件安全的保護設備，這些可以做的更實。通過用戶名，有一些人可以下載，有一些不可以下載，都可以做到。很多很多的解決方案，但是另外一種服務器。

    全是在云接入點上做的，我們應該做網絡方面的應用防火墻，其實剛才說過，目前已經80%的流量在互聯網上全部是WEB的流量，所以針對WEB方面的保護，應該加強，而且黑客知道，那么多人用，攻擊、漏洞都是在微軟平臺，因為微軟比較流行。同時WEB比較流行，80%是WEB流量，所以這方面有一個組織，他們是有一些建議，建議你有WEB的時候，安全怎么做？有很多東西，有一些是操作方面的過程，有一些網絡方面的過程，[FS:PAGE]有一些其他的等等來保護WEB的運作，保證是安全的。

    有一個組織叫做PCI，是網上購物去，去淘寶買東西用信用卡，去年也聽到VS的信用卡資料被人盜用了，事情搞的很大，其實這些事情是黑客做的，是網上的犯罪分子做的，為什么要做？他們是有錢的，盜用人家的信息，把這些信息賣給其他人，VS信用卡拿到別人的資料，復制一個信用卡可以購物，背后有錢推導黑客做這些非法的事情。所以有規定，做網上的買賣，通過用信用卡，必須要遵守這些規則。經常見到的攻擊，SQL  injection，可以通過這個手段，如果沒有這些保護措施，你的數據庫是很危險的。

    這些是一些WEB應用防火墻，可以提供的服務，可以保護在WEB上交易或是通信方面免受到我們知道的攻擊。
    剛才說瀏覽器和云接入點，云中間有很多數據中心，數據中心也是Intel，所以互聯網也要，每一個數據中心總出口有紅色防火墻、黃色的WEB應用的防火墻，這種做法在網絡層次已經保護到，不能說百分之百，因為每天都有新的病毒出來，至少98%以上，已經知道的問題可以解決。

    數據中心里面要用這種服務的時候，要和他說這個補丁有沒有升級，補丁怎么打？多長時間打？這個數據的保護，有沒有加密，這些種種的問題，買服務之前要問他們。

    密碼怎么保證人家用戶用暴力入侵的手段，通過電腦自動化來填用戶名和密碼進去，現在在國內有很多銀行，登陸網上銀行看到了，除了填寫密碼，還有一張圖，后面有一些背景圖案，上面有一些字，是用機器分辨不到，但是人可以看到，是另外一種安全措施。

    另外日志、監控、報表，每一天給我一個報告，審計一下有沒有黑客攻擊，有幾百客戶，我只有興趣看自己的，整個云方面介入的時間，表現是否達到我的要求，也是我們要注意的地方。

    今天我要講的就到這里，希望我們從網絡方面為大家帶來一些建議，以后你們用這個云的時候，有一些地方要注意，或自己建立企業云的時候，你們可以注意一些地方，謝謝大家！

主持人：
    謝謝陸先生，陸先生四十分鐘正好用完了。如果大家有問題，我建議大家琢磨一下，聽完下面的講演之后，在提出自己的問題。

【聲明】物流產品網轉載本文目的在于傳遞信息，并不代表贊同其觀點或對真實性負責，物流產品網倡導尊重與保護知識產權。如發現文章存在版權問題，煩請聯系小編電話：010-82387008，我們將及時進行處理。