云计算中的安全云服务的资源池化和虚拟化(1)

云计算中的安全云服务的资源池化和虚拟化

云计算的核心理念就是通过互联网络为用户提供按需的IT资源服务。为了达到这个目标，云服务提供商首先要保证拥有一个容量充足的资源池以满足在并发的业务高峰时刻仍能满足用户的服务要求，这就是云服务的资源池化，而这个容量充足、可扩展的资源池也就是按需业务提供的基础。另一方面，由于用户在使用云服务时无须了解云中的实际架构和技术实现，从用户感知上其使用的是独立完整的设备或计算资源，用户在使用云服务时对计算资源的这种独立性要求，将驱动云服务解决方案在实现资源池化的基础上提供将计算资源划分为多组的业务逻辑单元并提供给用户的能力，这就是云服务的资源虚拟化。

在理想的状态下，云计算的技术方案最好能做到资源池化和虚拟化的无缝连接，也就是在资源池的构建上可以通过物理设备的加入实现弹性的动态容量扩展。另一方面，在已经构建的资源池上进行灵活的按需独立逻辑分组。在实际实现时，由于目前云计算技术的限制，很多资源的云化提供上并未能完全实现这一点。例如在设备的虚拟化方面，目前跨物理主机的虚拟设备解决方案就尚未成熟。

安全云服务作为一种特定的云服务，在其技术实现中最重要的也是资源能力的池化和虚拟化，只不过这种池化和虚拟化所针对的是网络安全这种特殊的计算资源和能力。综合7.1及7.2.1节的分析，为了满足用户的各种网络安全防范要求，安全云服务提供商在安全云服务的业务体系中一般包括防火墙访问控制、DDoS攻击防护、入侵检测和防护、特定应用的安全检测和过滤（如Email、Web的内容过滤，木马、病毒等恶意代码的检测和过滤，特定URL流量过滤，垃圾邮件过滤等）、网络安全脆弱性扫描检测、Web等特定应用的安全检测、安全事件的监控和分析、网络异常流量的检测、在线病毒和木马查杀、在线终端安全性检测等服务。这些安全云服务根据其业务提供的层次和形式分属于SIaaS、SPaaS、SSaaS的范畴，但不管这些业务的提供内容和形式如何，作为一种特定的云计算服务，均存在着资源池化和虚拟化的实现问题，所不同的是对于不同的安全云服务，其资源池化和虚拟化所采用的技术实现方案有所不同。

安全云服务资源池化指的是在多台安全设备中采用集群技术或者在安全处理软件中引入分布式计算技术，从而形成对用户透明的统一网络安全能力池的过程。安全云服务资源池化过程中要解决的主要问题是可扩展性、可管理性和可靠性。可扩展性指的是资源池的容量可以根据用户业务需求的增加进行弹性的扩充。可管理性指的是在资源池化之后系统具有对资源池的统一监控调度和分配的能力。可靠性指的是池化之后的资源池具有统一的一体化的协同处理和容错能力，不会因为特定物理安全设备单元的故障或失效影响到整个资源池的正常运作。

安全服务资源虚拟化指的是在实现资源池化的基础上根据用户需求在资源池中划分出逻辑独立的虚拟化安全能力提供给用户使用的过程。在用户看来，用户正在使用的是一个完全独立的安全设备和软件。安全服务资源虚拟化过程中要解决的主要问题是逻辑隔离、业务复用和智能感知。逻辑隔离指的是通过设备或用户管理实现用户之间资源和数据的隔离，保障用户独立资源使用的业务体验。业务复用指的是多个用户使用的虚拟安全能力资源在时间、带宽等方面实现在资源池中物理设备的复用，提高安全资源的利用率。智能感知指的是在安全服务资源虚拟化过程中可以智能感知资源池的业务状态和用户要求，实现设备资源和用户需求的契合。

以上分析了在安全服务资源池化和虚拟化过程中面临的一些主要问题。在各种安全云服务中，为了获得特定的业务能力，所采用的安全设备、安全软件各不相同，其资源池化和虚拟化采用的方法也各不相同，实现的难度也各异。