7月4日消息,2012年中國計算機網絡安全年會今日在西安舉行,杭州迪普科技有限公司總工程師孫曉明發表了主題是“新環境下安全基礎架構研究”的演講。
杭州迪普科技有限公司總工程師孫曉明
以下為演講實錄:
我今天給大家帶來為主題是“新環境下安全基礎架構研究”,依然是云計算的東西。這些東西從09年到現在三年多的時間里,我們在想,我們在實踐,我們得到的一些東西拿出來跟大家分享一下。有些東西可能很接近,大家思路都差不多,就算英雄所見略同。新環境,從計算來講新的環境很簡單,我們甚至提到云計算的環節,云計算是什么,各個方面都會帶來深刻的影響,它可能不是一個新的技術,但是它這些技術的組合到今天,可以說是最近10多年以來IT技術架構最大的一個奠定,也是這10多年來IT技術發展最令人激動人心的一個。
云計算的基本概念我就不講了,我想在這里提出,云計算究竟給我們帶來了哪些改變,以及哪些沒有改變的,也就是云計算的變與不變,哪些變了?我們的建設方式改變了,我們的運維方式改變了,我們網絡計算基礎架構改變了,但是有一個東西沒有變,就是應用,或者我們的業務本身并沒有變。我們的ERP依然是我們的ERP,我們的CRM依然是我們的CRM,它并不因為從傳統的物理服務器上面,不管這個云是共有云也好,還是私有云也好,它不會因為這個基礎架構改變而讓業務發生任何實質性的變化,變的只是底層,在用戶感知的層面來講并沒有發生變化,這意味著什么?對于我們做安全的人來講,它意味著一件事,業務的安全需求沒有發生任何改變,這一點很重要。包括今年初,在國家資金的立項申請,當時會有一些調研問卷,曾經說云計算會不會有新的商業形態出來這一系列問題,應用沒有改變,應用的安全需求沒有改變,比如虛擬化安全風險,但是這些風險并沒有改變應用自身的安全需求,那它也就意味著,我們依然要用最傳統的防火墻,IPS,IBS,依然用這些東西來保衛我們的平臺,這就是我說的變與不變。
我們可以看到一些改變的東西,比如運維模式,我有一個項目需求,我去做相關的方案,做采購,采購標準化的運營,把標準化的運營總結在一起,當某個業務出現變更也好,它直接到資源中申請就可以了,這就是建設運維方式的一些改變。從基礎架構的改變來講,從我們傳統的網絡結構,現在提的比較清楚的云端管這樣的結構,數據中心提到了前所未有的很重要的高度。之前我們沒有數據中心,放到機房,機房有網絡、有服務器,現在我們提出獨立的數據中心的概念,就是云的概念,終端也發生了變化,從最早單一形式的PC機,到今天各種各樣的研發,這是基礎架構上的一個重新的分割和變化。這張圖就反映基礎架構的一點,就是管道上的變化,管道有數據中心、有廣域網,在不同的地方都會有不同的變化,尤其數據中心的變化是最大的,包括數據中心接入隔離的技術,一個虛擬機接入進來的時候,我怎樣讓同一臺物理服務器兩個虛擬機之間有可控的訪問,這個現在也有很多接近成熟的標準。我們數據中心的基礎架構會有很多的變化,廣域網也是一樣。
新架構的核心思想,通過虛擬化,實現資源化,進行動態調度。我通過虛擬化的技術,然后把我物理資源變成一個一個的資源顆粒,這個資源顆粒,我可以讓它動態的變大變小,或者組合,或者是若干個資源串在一起。由此,安全在這種大的背景下,安全應該怎么做,我們的期望是安全可以成為云的一部分,它也變成像云那樣的資源化、顆粒化這樣一個東西。核心的思路就是基于分布式網關的L4—7策略流,這句話再簡短一點說,放在數據中心的網絡里,這句話可以歸結為一句話,二層以下歸網絡,三層以下歸安全。什么意思?二層,也就是我們整個以太網層面全部交給網絡去,網絡方面擁有的準成熟,我們完全可以把所有的虛擬機在二層層面把它完全隔離開,就是在網絡層面把它分開。安全部署在哪里,安全部署在網關,因為是虛擬在遷移當中唯一不會變化的參數,當虛擬機從A5服務區到B5服務區大范圍牽引的時候,一切參數可以改變,但是網關不會改變。我們要去實現它,有兩個前提,第一個前提是高性能與集成化。我們要把整個數據中心到網關的流量集中到安全設備上,這個安全設備不是一個低性能的設備,它一定是一個高性能的設備,什么樣算高性能?大概幾年前國內IDC的出口大約是4—8G,現在是40—80G,如果我們再把東西流量考慮進去的話,大概可以提升到400—800G可能才能做到這一點。另外一個就是集成化,一條策略流它肯定不會只有一種,我肯定還有其他的策略,這些策略我們是做一個大UTM把所有東西放在一起去實現,還是說把它去分開?我們要做的功能上分開,但是整體上要放在一起這樣的東西,400—800性能的前提下,提供完整的2—7層的安全比例。N:M虛擬化建立資源地,其實除了防火墻以外還有很多其他的東西我們都要這樣去做,包括IPS。單設的性能畢竟是有限的,我只有把多個設備整合成一個設備,我才能做到性能規劃。
從我們公司的實踐來看,我們將這一套思路,大概在11年左右我們把思路想清楚,然后我們去實踐它了,分三個階段來做。第一,主要實現高性能和集成化,這個階段我們現在已經做到了。第二個階段就是虛擬化階段,我們要去實現虛擬化誰一套東西,這一部分我們也做到了。第三,資源的動態調度,這一階段我們目前來講,我們還做不多動態,我們只能做到靜態。可以看清我們具體的工作,第一是高性能,如何做到高性能,我們可以在一塊業務板上做到40個G的防火墻。集成化的實踐:豐富的網絡特性。集成化的實踐:多插卡的功能集成,我們的插卡種類已經多到了,如果要想把每一個插卡都插一塊的話,在我們機框里插不下,插卡的數量已經多余機槽的數量。虛擬化的實踐:N:M虛擬化,我們現在可以實現把兩個機框整合成一個機框,跨機框虛擬化,跨板卡虛擬化。
目前來講,國際上真正能夠稱之為云的應用應該不是很多,我們最近做的就是中國電信的云計算的一個試點,它是選擇了上海、廣州、四川,7、8月份的時候,我們在中國電信的防火墻的測試效果很好,最后我們拿下了兩個試點,上海和四川。
以上就是我們對云計算環境下的安全,我們自己的一些考慮和我們自己的一些實踐,這個僅僅代表我自己的觀點。而且平心而論,云計算的技術遠遠沒有成型,我們今天提供的所有的方案、所有的東西只是一個向云過渡性的一個方案,最終是什么樣的,我們并不知道。包括未來的網絡會是什么樣子,未來的云計算會是什么樣子,IT行業各個巨頭都聚在一起在打亂七八糟的麻將,沒人知道這個牌最終會打成什么樣子。可以說IT基礎架構的變革確實非常巨大,可能5年以后,它究竟是什么樣子,我們不知道。根據我們的現在現狀,我們踏踏實實去邁這一步,給大家提供一個向云演進的方向。
推薦閱讀
從4日召開的2012中國計算機網絡安全年會上獲悉,2011年我國企業網絡安全防護措施總體達標率98.78%,較2010年的92.25%穩步提升。但今年我國的網絡安全形勢更加復雜,智能終端將成為網絡安全防護的重點目標。 國家互聯>>>詳細閱讀
本文標題:孫曉明:新環境下安全基礎架構的研究
地址:http://www.xglongwei.com/a/11/20120705/73440.html
網友點評
精彩導讀
科技快報
品牌展示