如何选择云服务器密码机
星期五, 九月 6, 2019
安全问题和IT治理是采用云技术的主要障碍,但近年来公众对公有云安全的看法已经发生了变化,提高IT安全现在被认为是采用公有云的主要推动因素之一。
云计算涉及的计算能力、储存能力、交互能力等的计算资源都是虚拟化的、动态的,并最终以IaaS,PaaS和SaaS三种服务模式对外输出。这种云计算服务模式与传统的网络安全服务模式的巨大区别,直接决定了相应的网络安全产品不能直接拿到云端使用,需要在虚拟化的基础上匹配研发针对于云计算服务的各类安全产品。
云服务器密码机(Cloud HSM)作为部署在IaaS层的云服务基础设施,在保障云端数据安全方面发挥着重大作用。
随着密码行业相关技术标准的相继发布,网上电子商务的发展以及公钥基础设施(PKI)的建设对安全的需求,无论是云服务器密码机市场需求还是产品研发与优化需要考虑的因素都很多,但基于目前云服务器密码机的市场发展情况,在安全合规的基础上,选择云服务器密码机时建议重点关注以下几个方面:
云计算是一种按量(按时)收取费用的网络服务形式,其基础设施的服务能力受虚拟化技术水平的制约。并且,实际使用中用户还会根据不同的功能、性能需求,采用到不同的类型和性能的虚拟密码机(VSM)。也就是说如果一台云服务器密码机可虚拟化出的VSM越多,同一台云服务器密码机上可同时运行不同性能、不同功能、不同版本的VSM越多,越能避免用户资源的浪费和成本的增加。例如,卫士通单台云服务器密码机在实现SM2签名性能21万次/秒、SM2验签10万次/秒基础上,最多可虚拟化出96台VSM,折算后每台VSM的成本仅相当于传统密码机成本的35%。同时,每台卫士通云服务器密码机都可以按需虚拟成金融数据密码机VSM、服务器密码机VSM,签名验证服务器VSM,实现用户云服务密码机的按需分配。
集群功能对于保障云服务器密码机的高可用性、高性能、弹性计算方面有直接且决定性的影响。
在购买云服务时,用户往往比较担心因宕机产生的服务终止和业务损失。通过集群,在突发设备宕机或其他故障时,集群中其它运行完好的设备可以及时替换支援,起到容灾的作用。卫士通云服务器密码机现在最多可以支持128台VSM组成集群,并内置负载均衡器,为用户提供高可用性的密码服务,保障用户业务的连续性。
在性能方面,VSM自身是否能提供高性能的密码服务只是一方面,集群的方式则更能体现VSM的威力。多台VSM通过集群横向扩展,可为业务系统提供性能更高、可横向伸缩的密码服务,实现远高于一台物理机的性能。
提及可横向伸缩的密码服务,接下来需要介绍的就是弹性计算。云计算的一大特点是应用可以根据实际需要动态的分配资源,云服务器密码机也可根据应用的需求动态伸缩,按需调配资源,同时应用所需的加解密功能也应能动态的按需加载。云加密的动态伸缩主要体现在资源集群伸缩与访问控制自动配置。卫士通通过智能云监控技术,对加解密服务次数、加密服务器CPU/内存硬件性能等指标进行统计,结合智能决策算法确认当前VSM集群与服务的繁忙程度。当业务繁忙程度过高时,通知云服务器密码机管理程序,自动在集群中新增VSM。相反,当业务繁忙程度降低后,也将根据智能算法在VSM集群中自动回收部分VSM。
云服务器密码机是否可无缝与主流云管理平台结合,接受云管理平台的云化管理,应是用户选择云服务器密码机时需要重点关注的另一个因素。以卫士通云服务器密码机为例,除可接受卫士通云密码资源池管理平台、OpenStack等云平台统一管理,还可提供RESTful API,云平台通过调用API对云服务器密码机进行调度管理。当卫士通云服务器密码机在这些平台对接后,用户创建VSM时只需在平台上设置集群名即可自动生成或加入集群。集群自带的Load Balancer还能自动发现集群内部VSM的状态及其权重,并自动根据VSM状态和权重为VSM分配对应的交易业务,以此实现简便易用、智能调度的集群。并且,管理任何一台VSM与管理集群等效,可对集群中的VSM依次一键升级,升级过程中发现问题还可回滚。
作者:卫士通 战略市场部 张静