何平:新IT云環(huán)境下安全防護架構(gòu)設(shè)計

互聯(lián)網(wǎng)IDC圈1月7日報道,1月5-7日,第十屆中國IDC產(chǎn)業(yè)年度大典(IDCC2015)在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo),中國IDC產(chǎn)業(yè)年度大典組委會主辦,互聯(lián)網(wǎng)IDC圈承辦,并受到諸多媒體的大力支持。

創(chuàng)新互聯(lián)是一家專業(yè)提供楚雄州企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為楚雄州眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進行中。

中國IDC產(chǎn)業(yè)年度大典作為國內(nèi)云計算和數(shù)據(jù)中心領(lǐng)域規(guī)模大、最具影響力的標志性盛會,之前已成功舉辦過九屆,在本屆大會無論是規(guī)格還是規(guī)模都"更上一層樓",引來現(xiàn)場人員爆滿,影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等多個領(lǐng)域。

華三通信安全產(chǎn)品線總工何平出席IDCC2015大會并在大數(shù)據(jù)應(yīng)用與安全技術(shù)論壇發(fā)表主題為《新IT云環(huán)境下安全防護架構(gòu)設(shè)計》的精彩演講。

和平

華三通信安全產(chǎn)品線總工何平

以下為何平演講實錄:

非常榮幸有這么次機會跟各位分享華三在云環(huán)境下的技術(shù)理念和方案,半個小時的時間要把整個理念和技術(shù)框架介紹清楚是比較難的,挑一些重點給大家講一下。首先我們要看在新IT情況下云是什么樣的變化,華三是如何理解和應(yīng)對變化的。新IT情況下,華三把它分為三個大趨勢,一是云計算,云計算現(xiàn)在是非常熱的技術(shù)趨勢,我們在各行各業(yè)里都離不開云,家里買的電腦也是云電視,其中就是云的技術(shù)對各行各業(yè)的滲透。還有大數(shù)據(jù),有了云,數(shù)據(jù)集中以后,所有的數(shù)據(jù),包括終端的數(shù)據(jù)、各行各業(yè)跟我們的生活、工作息息相關(guān)的數(shù)據(jù),上網(wǎng)到百度查詢里面有數(shù)據(jù),等等的信息形成的大數(shù)據(jù)幫助我們的工作進一步優(yōu)化。我們的移動互聯(lián),在會場只能聽演講嘉賓給我們灌輸知識,但現(xiàn)在你可以拿你的手機、Pad隨時聽隨時辦公,感興趣的可以聽一下,不感興趣的可以干別的事情,有疑惑的可以查。

三個大趨勢使得安全形勢發(fā)生了翻天覆地的變化,我們認為這種情況下安全不能采用原來的方式進行考量,我們要有新的變化,華三提出了大安全的變化。大安全就是應(yīng)互聯(lián)網(wǎng)需求變化,以應(yīng)用驅(qū)動安全靈活實施安全策略,我們認為傳統(tǒng)的架一個防火墻,設(shè)立關(guān)公卡的方式已經(jīng)不合適了。華三提出這么一個大安全的理念,我們有一個核心的技術(shù)是軟件定義安全,原來設(shè)備的這種方式不合適了,必須有一個大腦來集中的管控,這個集中的管控我們稱之為控制中心,其實就是用在網(wǎng)絡(luò)里的叫SDN,軟件定義網(wǎng)絡(luò),它是個控制器。

先整體講一下整個架構(gòu)。我們認為傳統(tǒng)的東西還是存在,安全里常用的防火墻、入侵防御、防病毒等等,我們把這些繼續(xù)布置在網(wǎng)絡(luò)中,我們做出相應(yīng)的安全元素的提取,這是第二層,是安全資源層。我們把所有的防火墻做成防火墻的元素,IPS做成IPS的元素,防病毒網(wǎng)關(guān)做成防病毒網(wǎng)關(guān)的元素。某個地方需要安全的防護,只要把流量在資源池里進行清晰,安全控制中心起到的作用就是控制器也是整個安全理念的核心。再往上結(jié)合大數(shù)據(jù)分析,可以進行威脅的預(yù)判以及威脅的策略下發(fā),再結(jié)合云就可以形成云的解決方案。再往上一層就是我們對普通用戶可見的這些應(yīng)用。

整個體系要體現(xiàn)把安全像服務(wù)一樣進行交付,這句話如果大家關(guān)注過的話很容易理解,它其實就像云的交互方式一樣,云其實就是把各種各樣的基礎(chǔ)架構(gòu)、基礎(chǔ)資源像服務(wù)一樣交付,我需要一臺服務(wù)器了,以前先評估我的業(yè)務(wù)多少,先評估我的服務(wù)器性能多少,再去采購,申請購買服務(wù)器,再去采購,采購來了安裝,有了云計算以后在門戶上選需要什么樣的服務(wù)器,這個服務(wù)器可以給你下發(fā),甚至操作系統(tǒng)已經(jīng)有了。安全也需要這樣,我們的理念就是軟件定義安全,把安全像服務(wù)一樣交付??次覀兒筮呍趺醋?。

今天的主題是云,我們看云在每個行業(yè)里,企業(yè)云、政務(wù)云、衛(wèi)生云、教育云,目前建設(shè)范圍最廣的是政務(wù)云,政務(wù)云目前在全國各地從國家到省到市到地區(qū)全都在建設(shè)各種層次的政務(wù)云,華三親自參與了全國各個省市的政務(wù)云。云里要實現(xiàn)我們的理念,安全像服務(wù)一樣交付,我們再分析一下,第一IT資源被虛擬化,剛才講過了,第二數(shù)據(jù)大二層結(jié)構(gòu),有了虛機以后,虛擬化的重要標志就是虛機可以動態(tài)的遷移,我在一個位置資源不夠了,從另外一個地方遷移過來一個虛機,我在一個位置網(wǎng)絡(luò)出現(xiàn)了故障,我把這個虛機遷移到另外一個位置,遷移就是云計算虛擬化里一個重要的標志,有了這個標志以后這個計算資源才能隨意的調(diào)度,隨意的調(diào)度會帶來安全問題,策略怎么辦,虛機遷走了需要重新測定還是策略隨之遷移過去,是這樣的。

我要想虛機動態(tài)遷移,網(wǎng)絡(luò)架構(gòu)就要發(fā)生變化,網(wǎng)絡(luò)架構(gòu)是目前最流行的大二層架構(gòu),所有的虛機遷移過去,地址不變,在同樣一個二層結(jié)構(gòu)里?;A(chǔ)設(shè)施及服務(wù),基礎(chǔ)設(shè)施變成了服務(wù),安全也需要把它變成服務(wù)。我們把安全再進行一下歸類,這種情況下,遷移策略帶來了問題,虛擬化的情況下原來一臺物理機和另一臺物理機之間架一臺防火墻進行隔離,現(xiàn)在虛機之間怎么進行隔離,云計算的情況下所有的資源都在一個平臺里,如何來進行隔離?我們認為安全邊界已經(jīng)模糊了,傳統(tǒng)的安全設(shè)備沒地方部署了。

大量的租戶,云計算的特點,尤其是政務(wù)云原來各個省、各個地市、各個委辦局有自己的網(wǎng)絡(luò)、自己的數(shù)據(jù)中心,他的業(yè)務(wù)都可以單獨進行防護,單獨地部署安全防火墻措施,現(xiàn)在政府要建一個大型的省級政務(wù)云,所有委辦局的業(yè)務(wù)都要遷過來,遷過來也可以,數(shù)據(jù)集中,集中完了以后。旅游局過來說這個業(yè)務(wù)是對外發(fā)布的,必須要允許公眾訪問,二級就可以了,每個不同的租戶的安全需求不一樣,我要防范的措施就不一樣,可是在同一個平臺里針對不同的租戶、不同的安全需求提供不同的安全服務(wù),這給云安全帶來了很大的難點。你要提供服務(wù),眾口難調(diào),怎么做?

三個解決方案,從幾方面來做。第一,安全資源虛擬化,兩個不同的租戶,把它標進兩個區(qū)域,我們認為針對不同的租戶要有不同的安全防范策略,如果用一臺設(shè)備來實現(xiàn)的話,我們要求基于不同的CPU、不同的內(nèi)存,安全的策略和部署不影響其他的租戶,策略可以隨時調(diào)整,每個租戶可以單獨部署。再看怎么來應(yīng)對。這是一臺設(shè)備,分布式的高性能的高可靠的安全網(wǎng)關(guān),選這么一臺設(shè)備,部署在你的云資源池里,放在出口位置也好,放在計算資源池旁邊也好,我有多個接口,支持各種各樣的虛擬化接入的技術(shù)。我把它變成多個防火墻,變成多個負載均衡,變成多IPS,實現(xiàn)高性能。

硬件的安全設(shè)備變成多個邏輯的安全設(shè)備,就這一臺硬件設(shè)備變成多個不同品類的安全設(shè)備。一臺高性能的網(wǎng)關(guān)變成了多個邏輯的防火墻,每個防火墻可以分給每個租戶自己自行管理,也可以統(tǒng)一下發(fā)策略。我們實現(xiàn)了真正的虛擬化,有的企業(yè)做這塊的時候做了半調(diào)子。我們有實力實現(xiàn)不同租戶不同安全需求的基礎(chǔ)。這個也不夠,在云的情況下我們要求安全資源動態(tài)隨需調(diào)度,總感覺影響不是那么自主、自由,一個網(wǎng)絡(luò)里最不缺的就是X86的服務(wù)器,一次采購采購500臺服務(wù)器,但上業(yè)務(wù)只上了20臺,剩下的80臺怎么辦,這些都是資源。我們安全的操作系統(tǒng)把它做成軟件化,基于X86平臺,這叫NMV網(wǎng)絡(luò)功能虛擬化。

華三是做網(wǎng)絡(luò)的公司,做無線設(shè)備,WiFi接入,我們可以做安全、做路由器。這些都是基于同樣的操作系統(tǒng),Comware。這個操作系統(tǒng)集成了各種各樣的功能,有安全防火墻功能、AC控制器功能,把這個操作系統(tǒng)做成軟件形式的產(chǎn)品,就像我們在虛擬化平臺里的虛機一樣,利用X86的平臺實現(xiàn)安全功能。這樣部署起來就很方便了。紫色的框代表物理服務(wù)器,物理服務(wù)器兩臺虛機,這兩臺虛機需要安全隔離,把放火墻作為軟件的形式直接部署在里面,從邏輯來看跟原來兩臺服務(wù)器的隔離是一樣的,這種方式非常靈活,利用現(xiàn)有的計算資源就可以實現(xiàn)安全的部署,而且軟件的形式大家通常理解是調(diào)度管理起來很方便。

我把資源流量調(diào)度到安全資源池里進行清洗,如何調(diào)度?要利用網(wǎng)絡(luò)架構(gòu)的改變。在云里一般是大二層的技術(shù),大二層的技術(shù)里存在問題,多個數(shù)據(jù)中心要想實現(xiàn)資源的統(tǒng)一管理,虛機的動態(tài)遷移,必然要用大二層技術(shù),大二層技術(shù)使整個網(wǎng)絡(luò)互聯(lián)互通了,我們的業(yè)務(wù)非常多了,有了VLAN。overlay,中文叫疊加網(wǎng)絡(luò),傳統(tǒng)物理網(wǎng)絡(luò)上疊加出一個邏輯的網(wǎng)絡(luò),這個邏輯的網(wǎng)絡(luò)能夠保證從一個客戶端到服務(wù)器的訪問更簡便,能夠做到直通。第二,云網(wǎng)絡(luò)的改變,數(shù)據(jù)中心網(wǎng)絡(luò)的改變非常簡單,overlay和underlay。我們用幾種技術(shù)方式可以實現(xiàn),IP地址靈活分配、虛機任意遷移、多租戶,消除大二層網(wǎng)絡(luò)各種各樣的問題。大層網(wǎng)絡(luò)里有各種各樣的問題,網(wǎng)絡(luò)風(fēng)暴,在overlay的網(wǎng)絡(luò)里天然地就解決了。

有了網(wǎng)絡(luò)的改造,我們重點改造幾個點。一是核心設(shè)備,核心設(shè)備用于網(wǎng)絡(luò)的overlay和underlay轉(zhuǎn)換的核心節(jié)點,核心設(shè)備要改,但是也不一定非得改,可以加一些旁掛設(shè)備來實現(xiàn)它的簡單改造。二是接入設(shè)備得改,我們可以直接把接入交換機改了,改成支持overlay的設(shè)備。整個改動有幾個點,技術(shù)有點復(fù)雜,我們只需要記住安全流量的調(diào)度,而且非常簡便。

流量可以牽引到我的安全資源池,通過虛擬化技術(shù)進行清洗,資源池里如果只有防火墻就好辦了,但是不可能,這里面可能有入侵防御,可能有審計,可能有各種各樣的控制需求,這時候直接扔到你的資源池里,如何實現(xiàn)不同的業(yè)務(wù)的不同的安全訪問需求,華三也實現(xiàn)一個需求,叫做安全服務(wù)鏈,確保流量調(diào)度到資源池里以后,安全設(shè)備起作用的順序,可以先過防火墻后過IPS,也可以只過防火墻只過IPS,也可以過完IPS再過負載均衡,看我們這里的路徑。綠色的線只過防火墻,黃色的線過了防火墻也過了IPS。我只需要知道源和目的,至于路徑怎么定義怎么做不用管,由我們的控制器來統(tǒng)一調(diào)度。新的環(huán)境下云安全是按照我們設(shè)想的方式進行調(diào)度,而且只是通過鼠標的點選和路徑的規(guī)劃,完全在一個界面里。如果在傳統(tǒng)的情況下,這個接入設(shè)備得配,防火墻IPS得單獨配,我們要做到安全像服務(wù)一樣簡單的交付。涉及到華三云安全技術(shù)的服務(wù)理念,安全即服務(wù),說了半天到底是什么,很簡單,就是要達到這么個目的,不同的業(yè)務(wù)、不同的租戶有區(qū)別地進行安全的策略指定,這個服務(wù)器就代表一個業(yè)務(wù)或一個租戶,把部署了這么多安全設(shè)備,每個設(shè)備是什么樣的部署策略,我們可以單獨進行定制,我們也叫做條帶化的安全。

最后看一個案例?,F(xiàn)在云里用的最多的就是政府的政務(wù)云,一般情況下政府在外網(wǎng)實現(xiàn)政務(wù)云,還有互聯(lián)網(wǎng),外網(wǎng)和互聯(lián)網(wǎng)這兩套不同的網(wǎng)絡(luò)中間要有跨數(shù)據(jù)交換平臺,不同的業(yè)務(wù)放在不同的安全區(qū)域進行防護。公共業(yè)務(wù)區(qū)為不同的區(qū)域服務(wù),互聯(lián)網(wǎng)區(qū)也進行同樣的設(shè)定,互聯(lián)網(wǎng)區(qū)和電子業(yè)務(wù)區(qū)要進行有效的隔離,整網(wǎng)的安全還有專門的安全控制中心進行控制,比如堡壘機、網(wǎng)頁防篡改、防病毒等等進行監(jiān)控。整網(wǎng)部署的是overlay的網(wǎng)絡(luò),控制器也是在我們的管理中心,存儲、操作數(shù)據(jù)的調(diào)度都需要進行有效的隔離。資源池同化在核心上,這是進行南北向的防護,東西向的防護也可以在某一個計算資源池里單獨批一個進行防護。

今天的內(nèi)容就分享到這里,感謝大家!

本文題目:何平:新IT云環(huán)境下安全防護架構(gòu)設(shè)計
URL分享:http://muchs.cn/article4/sdiooe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供響應(yīng)式網(wǎng)站、面包屑導(dǎo)航網(wǎng)站內(nèi)鏈、電子商務(wù)定制網(wǎng)站ChatGPT

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護公司