哥本哈根的硝烟还未散去,这边厢低碳的浪潮已经席卷而来。从官方的政策导向到NGO组织的公益实践,从智能电网的建设到物联网概念,到大漠中高耸的风车到电动汽车,绿色低碳理念已经在实实在在地改变着我们的生活。这中间当然也少不了IT人忙碌的身影。事实上,在很早之前绿色IT的概念就已经引起了企业决策者的关注。在Gartner公司2008年、2009年关于未来10大战略技术预测中,绿色IT更是压倒云安全、虚拟计算等热门技术,连续两年入围,风头一时无俩。
绿色IT面临的最典型的问题是能耗:随着企业业务的快速扩张,数据中心日益庞大,能耗也越来越大。最新的统计数据显示,用于能源消耗(包括供电、制冷等)的投资已经占到了数据中心投入的48%,超过了IT设备的投资。这其中服务器、存储设备和网络设备占据了数据中心能耗的绝大部分;而随着信息安全日益受到重视,安全产品的环保、低能耗也日渐受到关注。那么在信息安全建设上,企业应当如何来践行绿色IT呢?
一、安全运营外包:MSSP和安全IDC的出现
中国的信息化建设正处在快速发展的阶段,但信息安全的建设,尤其是中小企业的信息安全保障却相对滞后。由于资金、技术实力等条件的限制,中小企业在信息安全的投入上严重不足,给企业的进一步发展埋下了安全隐患;而从产业的角度,如果中小企业采用和政府、大型企业同样的安全运营模式,又很难完全发挥资源的效能,还会产生更多的碳排放。在这种情况下,采用MSSP(外包安全服务商)和安全IDC提供的安全外包模式可以破解中小企业的技术难题,同时解决投入不足和资源闲置的矛盾,是一种更加“低碳”、绿色环保的安全运营模式。
在国外,为企业用户提供安全服务的MSSP(外包安全服务商)已经有着很成熟的应用;在国内,包括电信运营商在内的众多信息化方案提供商也开始进入这一领域。譬如中国电信的“商务领航”,在为企业用户提供信息化解决方案的同时,还能够提供包括防病毒、反垃圾邮件、漏洞检测、防DDoS攻击在内的安全增值服务。安全IDC是同MSSP类似的概念,由专业的安全厂家和IDC联合,为中小企业提供网站安全运营服务。譬如启明星辰公司和世纪互联推出的“安全IDC”业务,可以为租用在IDC机房的客户提供Web漏洞扫描、网站挂马监测,甚至基于业务层面的安全审计等服务,为网站提供实时的安全防护。
采用MSSP和安全IDC的安全运营模式有助于整个信息安全产业的低碳排放。举例来说,一家规模的MSSP可能同时为5000家企业提供信息安全服务,相关的碳排放量平均到每一家企业的几乎是可以忽略的;而如果每家企业都独立进行安全部署,需要部署防火墙、UTM等防护类设备,还要部署IDS等监控类设备,碳排放就是一个很大的问题,[page]
二、整合的安全方案:UTM走向成熟
网关位置的安全防护是信息安全的基础,但传统的防火墙仅能解决非授权访问的问题,无法提供更深层的安全防护。作为对防火墙的补充,防毒墙、网络入侵防御(NIPS)、VPN等安全设备纷纷出现在网关的位置。这种“糖葫芦串”式安全部署所带来的问题,除了投资成本、管理成本的迅速增加,能耗也呈指数性地上升。
现在来看UTM已经不是一个全新的概念。由于在一个平台上整合了防火墙、防病毒、网络入侵防御(NIPS)和VPN等多种安全防护能力,UTM一诞生就受到了万众瞩目的礼遇。而随着多核等技术的成熟,UTM的性能瓶颈也被打破,已经完全胜任千兆、准万兆等高端应用场景。同“糖葫芦串”式的安全方案相比,使用UTM只需要在网关的位置部署一台硬件设备,就可以完成访问控制、防病毒、入侵防御、安全接入、上网行为管理的功能,而实际耗电量仅是原来耗电量的1/5。另外,考虑到有些安全设备还需要单独部署管理软件和日志处理中心,UTM的低能耗优势就更加明显了。
三、高效能的安全硬件:多核是发展趋势
早在2005年,Sun公司为下一代Internet推出了一个新的评判标准,即以SWaP值(包括系统占用空间、功耗瓦数与性能等因素)来评判数据中心内服务器系统的功效状况及经济性。Sun提出的计算公式很简单,即SWaP值=性能/(占用空间×功耗),这个比值越大,说明服务器综合指标越好。在安全设备上,同样可以借用SWaP这样一个参数,在同样的性能前提下,设备占的空间越小,功耗越低,设备的SWaP值就越高,也就是效能更高。
目前安全设备的硬件平台,不外乎X86、ASIC、多核等几种架构。使用ASIC硬件可以获得很高的转发性能,但由于ASIC扩展性差,只适合作为功能固定的防火墙的硬件平台;而X86是基于复杂指令集的,结构复杂,功耗高。对于安全设备来说,要以低能耗获得高性能,最理想的是多核SoC架构:多核SoC的多个核之间可以协同工作,同时在SoC上还可以集成硬件加密、正则匹配和网络应用等加速器,可以大大提高安全设备的整体性能;同时,采用精简指令集的MIPS多核功耗大大低于x86平台,是真正的绿色平台。
我们以启明星辰公司的某款UTM为例来进行对比(数据由启明星辰提供)。启明星辰是国内领先的UTM制造商,其UTM产品已经从最初的x86架构迁移到了基于Cavium的多核SoC平台。从厂商数据可以看到,采用多核SoC架构的UTM,其能耗仅相当于同等档次的X86产品的1/10。按照每消耗1度电等效于0.997千克二氧化碳计,如果采用多核架构,每台UTM每年可以减少1.5吨的碳排放,相当于种植了13棵树。[page]
信息安全产业貌似离低碳、减排比较远,其实不然,如果不加节制,即使是朝阳产业也同样会把我们拖入高能耗、低产出的泥淖。信息安全产业作为传统产业的助推器,不能在提升生产力的同时又带来更多的环境问题。只有每个人、每个企业都能身体力行地去实践绿色IT的理念,气候变化和环境问题才会逐渐缓和。
