7月4日消息,2012年中國計算機網(wǎng)絡安全年會今日在西安舉行,杭州迪普科技有限公司總工程師孫曉明發(fā)表了主題是“新環(huán)境下安全基礎架構研究”的演講。
杭州迪普科技有限公司總工程師孫曉明
以下為演講實錄:
我今天給大家?guī)頌橹黝}是“新環(huán)境下安全基礎架構研究”,依然是云計算的東西。這些東西從09年到現(xiàn)在三年多的時間里,我們在想,我們在實踐,我們得到的一些東西拿出來跟大家分享一下。有些東西可能很接近,大家思路都差不多,就算英雄所見略同。新環(huán)境,從計算來講新的環(huán)境很簡單,我們甚至提到云計算的環(huán)節(jié),云計算是什么,各個方面都會帶來深刻的影響,它可能不是一個新的技術,但是它這些技術的組合到今天,可以說是最近10多年以來IT技術架構最大的一個奠定,也是這10多年來IT技術發(fā)展最令人激動人心的一個。
云計算的基本概念我就不講了,我想在這里提出,云計算究竟給我們帶來了哪些改變,以及哪些沒有改變的,也就是云計算的變與不變,哪些變了?我們的建設方式改變了,我們的運維方式改變了,我們網(wǎng)絡計算基礎架構改變了,但是有一個東西沒有變,就是應用,或者我們的業(yè)務本身并沒有變。我們的ERP依然是我們的ERP,我們的CRM依然是我們的CRM,它并不因為從傳統(tǒng)的物理服務器上面,不管這個云是共有云也好,還是私有云也好,它不會因為這個基礎架構改變而讓業(yè)務發(fā)生任何實質(zhì)性的變化,變的只是底層,在用戶感知的層面來講并沒有發(fā)生變化,這意味著什么?對于我們做安全的人來講,它意味著一件事,業(yè)務的安全需求沒有發(fā)生任何改變,這一點很重要。包括今年初,在國家資金的立項申請,當時會有一些調(diào)研問卷,曾經(jīng)說云計算會不會有新的商業(yè)形態(tài)出來這一系列問題,應用沒有改變,應用的安全需求沒有改變,比如虛擬化安全風險,但是這些風險并沒有改變應用自身的安全需求,那它也就意味著,我們依然要用最傳統(tǒng)的防火墻,IPS,IBS,依然用這些東西來保衛(wèi)我們的平臺,這就是我說的變與不變。
我們可以看到一些改變的東西,比如運維模式,我有一個項目需求,我去做相關的方案,做采購,采購標準化的運營,把標準化的運營總結在一起,當某個業(yè)務出現(xiàn)變更也好,它直接到資源中申請就可以了,這就是建設運維方式的一些改變。從基礎架構的改變來講,從我們傳統(tǒng)的網(wǎng)絡結構,現(xiàn)在提的比較清楚的云端管這樣的結構,數(shù)據(jù)中心提到了前所未有的很重要的高度。之前我們沒有數(shù)據(jù)中心,放到機房,機房有網(wǎng)絡、有服務器,現(xiàn)在我們提出獨立的數(shù)據(jù)中心的概念,就是云的概念,終端也發(fā)生了變化,從最早單一形式的PC機,到今天各種各樣的研發(fā),這是基礎架構上的一個重新的分割和變化。這張圖就反映基礎架構的一點,就是管道上的變化,管道有數(shù)據(jù)中心、有廣域網(wǎng),在不同的地方都會有不同的變化,尤其數(shù)據(jù)中心的變化是最大的,包括數(shù)據(jù)中心接入隔離的技術,一個虛擬機接入進來的時候,我怎樣讓同一臺物理服務器兩個虛擬機之間有可控的訪問,這個現(xiàn)在也有很多接近成熟的標準。我們數(shù)據(jù)中心的基礎架構會有很多的變化,廣域網(wǎng)也是一樣。
新架構的核心思想,通過虛擬化,實現(xiàn)資源化,進行動態(tài)調(diào)度。我通過虛擬化的技術,然后把我物理資源變成一個一個的資源顆粒,這個資源顆粒,我可以讓它動態(tài)的變大變小,或者組合,或者是若干個資源串在一起。由此,安全在這種大的背景下,安全應該怎么做,我們的期望是安全可以成為云的一部分,它也變成像云那樣的資源化、顆粒化這樣一個東西。核心的思路就是基于分布式網(wǎng)關的L4—7策略流,這句話再簡短一點說,放在數(shù)據(jù)中心的網(wǎng)絡里,這句話可以歸結為一句話,二層以下歸網(wǎng)絡,三層以下歸安全。什么意思?二層,也就是我們整個以太網(wǎng)層面全部交給網(wǎng)絡去,網(wǎng)絡方面擁有的準成熟,我們完全可以把所有的虛擬機在二層層面把它完全隔離開,就是在網(wǎng)絡層面把它分開。安全部署在哪里,安全部署在網(wǎng)關,因為是虛擬在遷移當中唯一不會變化的參數(shù),當虛擬機從A5服務區(qū)到B5服務區(qū)大范圍牽引的時候,一切參數(shù)可以改變,但是網(wǎng)關不會改變。我們要去實現(xiàn)它,有兩個前提,第一個前提是高性能與集成化。我們要把整個數(shù)據(jù)中心到網(wǎng)關的流量集中到安全設備上,這個安全設備不是一個低性能的設備,它一定是一個高性能的設備,什么樣算高性能?大概幾年前國內(nèi)IDC的出口大約是4—8G,現(xiàn)在是40—80G,如果我們再把東西流量考慮進去的話,大概可以提升到400—800G可能才能做到這一點。另外一個就是集成化,一條策略流它肯定不會只有一種,我肯定還有其他的策略,這些策略我們是做一個大UTM把所有東西放在一起去實現(xiàn),還是說把它去分開?我們要做的功能上分開,但是整體上要放在一起這樣的東西,400—800性能的前提下,提供完整的2—7層的安全比例。N:M虛擬化建立資源地,其實除了防火墻以外還有很多其他的東西我們都要這樣去做,包括IPS。單設的性能畢竟是有限的,我只有把多個設備整合成一個設備,我才能做到性能規(guī)劃。
從我們公司的實踐來看,我們將這一套思路,大概在11年左右我們把思路想清楚,然后我們?nèi)嵺`它了,分三個階段來做。第一,主要實現(xiàn)高性能和集成化,這個階段我們現(xiàn)在已經(jīng)做到了。第二個階段就是虛擬化階段,我們要去實現(xiàn)虛擬化誰一套東西,這一部分我們也做到了。第三,資源的動態(tài)調(diào)度,這一階段我們目前來講,我們還做不多動態(tài),我們只能做到靜態(tài)。可以看清我們具體的工作,第一是高性能,如何做到高性能,我們可以在一塊業(yè)務板上做到40個G的防火墻。集成化的實踐:豐富的網(wǎng)絡特性。集成化的實踐:多插卡的功能集成,我們的插卡種類已經(jīng)多到了,如果要想把每一個插卡都插一塊的話,在我們機框里插不下,插卡的數(shù)量已經(jīng)多余機槽的數(shù)量。虛擬化的實踐:N:M虛擬化,我們現(xiàn)在可以實現(xiàn)把兩個機框整合成一個機框,跨機框虛擬化,跨板卡虛擬化。
目前來講,國際上真正能夠稱之為云的應用應該不是很多,我們最近做的就是中國電信的云計算的一個試點,它是選擇了上海、廣州、四川,7、8月份的時候,我們在中國電信的防火墻的測試效果很好,最后我們拿下了兩個試點,上海和四川。
以上就是我們對云計算環(huán)境下的安全,我們自己的一些考慮和我們自己的一些實踐,這個僅僅代表我自己的觀點。而且平心而論,云計算的技術遠遠沒有成型,我們今天提供的所有的方案、所有的東西只是一個向云過渡性的一個方案,最終是什么樣的,我們并不知道。包括未來的網(wǎng)絡會是什么樣子,未來的云計算會是什么樣子,IT行業(yè)各個巨頭都聚在一起在打亂七八糟的麻將,沒人知道這個牌最終會打成什么樣子。可以說IT基礎架構的變革確實非常巨大,可能5年以后,它究竟是什么樣子,我們不知道。根據(jù)我們的現(xiàn)在現(xiàn)狀,我們踏踏實實去邁這一步,給大家提供一個向云演進的方向。
推薦閱讀
從4日召開的2012中國計算機網(wǎng)絡安全年會上獲悉,2011年我國企業(yè)網(wǎng)絡安全防護措施總體達標率98.78%,較2010年的92.25%穩(wěn)步提升。但今年我國的網(wǎng)絡安全形勢更加復雜,智能終端將成為網(wǎng)絡安全防護的重點目標。 國家互聯(lián)>>>詳細閱讀
地址:http://m.sdlzkt.com/a/11/20120705/73440.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示