互聯(lián)網(wǎng)IDC圈1月7日?qǐng)?bào)道，1月5-7日，第十屆中國(guó)IDC產(chǎn)業(yè)年度大典（IDCC2015）在北京國(guó)家會(huì)議中心隆重召開(kāi)。本次大會(huì)由中國(guó)信息通信研究院、云計(jì)算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo)，中國(guó)IDC產(chǎn)業(yè)年度大典組委會(huì)主辦，互聯(lián)網(wǎng)IDC圈承辦，并受到諸多媒體的大力支持。

創(chuàng)新互聯(lián)是一家專業(yè)提供楚雄州企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為楚雄州眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進(jìn)行中。

中國(guó)IDC產(chǎn)業(yè)年度大典作為國(guó)內(nèi)云計(jì)算和數(shù)據(jù)中心領(lǐng)域規(guī)模大、最具影響力的標(biāo)志性盛會(huì)，之前已成功舉辦過(guò)九屆，在本屆大會(huì)無(wú)論是規(guī)格還是規(guī)模都"更上一層樓"，引來(lái)現(xiàn)場(chǎng)人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等多個(gè)領(lǐng)域。

華三通信安全產(chǎn)品線總工何平出席IDCC2015大會(huì)并在大數(shù)據(jù)應(yīng)用與安全技術(shù)論壇發(fā)表主題為《新IT云環(huán)境下安全防護(hù)架構(gòu)設(shè)計(jì)》的精彩演講。

華三通信安全產(chǎn)品線總工何平

以下為何平演講實(shí)錄：

非常榮幸有這么次機(jī)會(huì)跟各位分享華三在云環(huán)境下的技術(shù)理念和方案，半個(gè)小時(shí)的時(shí)間要把整個(gè)理念和技術(shù)框架介紹清楚是比較難的，挑一些重點(diǎn)給大家講一下。首先我們要看在新IT情況下云是什么樣的變化，華三是如何理解和應(yīng)對(duì)變化的。新IT情況下，華三把它分為三個(gè)大趨勢(shì)，一是云計(jì)算，云計(jì)算現(xiàn)在是非常熱的技術(shù)趨勢(shì)，我們?cè)诟餍懈鳂I(yè)里都離不開(kāi)云，家里買的電腦也是云電視，其中就是云的技術(shù)對(duì)各行各業(yè)的滲透。還有大數(shù)據(jù)，有了云，數(shù)據(jù)集中以后，所有的數(shù)據(jù)，包括終端的數(shù)據(jù)、各行各業(yè)跟我們的生活、工作息息相關(guān)的數(shù)據(jù)，上網(wǎng)到百度查詢里面有數(shù)據(jù)，等等的信息形成的大數(shù)據(jù)幫助我們的工作進(jìn)一步優(yōu)化。我們的移動(dòng)互聯(lián)，在會(huì)場(chǎng)只能聽(tīng)演講嘉賓給我們灌輸知識(shí)，但現(xiàn)在你可以拿你的手機(jī)、Pad隨時(shí)聽(tīng)隨時(shí)辦公，感興趣的可以聽(tīng)一下，不感興趣的可以干別的事情，有疑惑的可以查。

三個(gè)大趨勢(shì)使得安全形勢(shì)發(fā)生了翻天覆地的變化，我們認(rèn)為這種情況下安全不能采用原來(lái)的方式進(jìn)行考量，我們要有新的變化，華三提出了大安全的變化。大安全就是應(yīng)互聯(lián)網(wǎng)需求變化，以應(yīng)用驅(qū)動(dòng)安全靈活實(shí)施安全策略，我們認(rèn)為傳統(tǒng)的架一個(gè)防火墻，設(shè)立關(guān)公卡的方式已經(jīng)不合適了。華三提出這么一個(gè)大安全的理念，我們有一個(gè)核心的技術(shù)是軟件定義安全，原來(lái)設(shè)備的這種方式不合適了，必須有一個(gè)大腦來(lái)集中的管控，這個(gè)集中的管控我們稱之為控制中心，其實(shí)就是用在網(wǎng)絡(luò)里的叫SDN，軟件定義網(wǎng)絡(luò)，它是個(gè)控制器。

先整體講一下整個(gè)架構(gòu)。我們認(rèn)為傳統(tǒng)的東西還是存在，安全里常用的防火墻、入侵防御、防病毒等等，我們把這些繼續(xù)布置在網(wǎng)絡(luò)中，我們做出相應(yīng)的安全元素的提取，這是第二層，是安全資源層。我們把所有的防火墻做成防火墻的元素，IPS做成IPS的元素，防病毒網(wǎng)關(guān)做成防病毒網(wǎng)關(guān)的元素。某個(gè)地方需要安全的防護(hù)，只要把流量在資源池里進(jìn)行清晰，安全控制中心起到的作用就是控制器也是整個(gè)安全理念的核心。再往上結(jié)合大數(shù)據(jù)分析，可以進(jìn)行威脅的預(yù)判以及威脅的策略下發(fā)，再結(jié)合云就可以形成云的解決方案。再往上一層就是我們對(duì)普通用戶可見(jiàn)的這些應(yīng)用。

整個(gè)體系要體現(xiàn)把安全像服務(wù)一樣進(jìn)行交付，這句話如果大家關(guān)注過(guò)的話很容易理解，它其實(shí)就像云的交互方式一樣，云其實(shí)就是把各種各樣的基礎(chǔ)架構(gòu)、基礎(chǔ)資源像服務(wù)一樣交付，我需要一臺(tái)服務(wù)器了，以前先評(píng)估我的業(yè)務(wù)多少，先評(píng)估我的服務(wù)器性能多少，再去采購(gòu)，申請(qǐng)購(gòu)買服務(wù)器，再去采購(gòu)，采購(gòu)來(lái)了安裝，有了云計(jì)算以后在門戶上選需要什么樣的服務(wù)器，這個(gè)服務(wù)器可以給你下發(fā)，甚至操作系統(tǒng)已經(jīng)有了。安全也需要這樣，我們的理念就是軟件定義安全，把安全像服務(wù)一樣交付。看我們后邊怎么做。

今天的主題是云，我們看云在每個(gè)行業(yè)里，企業(yè)云、政務(wù)云、衛(wèi)生云、教育云，目前建設(shè)范圍最廣的是政務(wù)云，政務(wù)云目前在全國(guó)各地從國(guó)家到省到市到地區(qū)全都在建設(shè)各種層次的政務(wù)云，華三親自參與了全國(guó)各個(gè)省市的政務(wù)云。云里要實(shí)現(xiàn)我們的理念，安全像服務(wù)一樣交付，我們?cè)俜治鲆幌拢谝籌T資源被虛擬化，剛才講過(guò)了，第二數(shù)據(jù)大二層結(jié)構(gòu)，有了虛機(jī)以后，虛擬化的重要標(biāo)志就是虛機(jī)可以動(dòng)態(tài)的遷移，我在一個(gè)位置資源不夠了，從另外一個(gè)地方遷移過(guò)來(lái)一個(gè)虛機(jī)，我在一個(gè)位置網(wǎng)絡(luò)出現(xiàn)了故障，我把這個(gè)虛機(jī)遷移到另外一個(gè)位置，遷移就是云計(jì)算虛擬化里一個(gè)重要的標(biāo)志，有了這個(gè)標(biāo)志以后這個(gè)計(jì)算資源才能隨意的調(diào)度，隨意的調(diào)度會(huì)帶來(lái)安全問(wèn)題，策略怎么辦，虛機(jī)遷走了需要重新測(cè)定還是策略隨之遷移過(guò)去，是這樣的。

我要想虛機(jī)動(dòng)態(tài)遷移，網(wǎng)絡(luò)架構(gòu)就要發(fā)生變化，網(wǎng)絡(luò)架構(gòu)是目前最流行的大二層架構(gòu)，所有的虛機(jī)遷移過(guò)去，地址不變，在同樣一個(gè)二層結(jié)構(gòu)里。基礎(chǔ)設(shè)施及服務(wù)，基礎(chǔ)設(shè)施變成了服務(wù)，安全也需要把它變成服務(wù)。我們把安全再進(jìn)行一下歸類，這種情況下，遷移策略帶來(lái)了問(wèn)題，虛擬化的情況下原來(lái)一臺(tái)物理機(jī)和另一臺(tái)物理機(jī)之間架一臺(tái)防火墻進(jìn)行隔離，現(xiàn)在虛機(jī)之間怎么進(jìn)行隔離，云計(jì)算的情況下所有的資源都在一個(gè)平臺(tái)里，如何來(lái)進(jìn)行隔離？我們認(rèn)為安全邊界已經(jīng)模糊了，傳統(tǒng)的安全設(shè)備沒(méi)地方部署了。

大量的租戶，云計(jì)算的特點(diǎn)，尤其是政務(wù)云原來(lái)各個(gè)省、各個(gè)地市、各個(gè)委辦局有自己的網(wǎng)絡(luò)、自己的數(shù)據(jù)中心，他的業(yè)務(wù)都可以單獨(dú)進(jìn)行防護(hù)，單獨(dú)地部署安全防火墻措施，現(xiàn)在政府要建一個(gè)大型的省級(jí)政務(wù)云，所有委辦局的業(yè)務(wù)都要遷過(guò)來(lái)，遷過(guò)來(lái)也可以，數(shù)據(jù)集中，集中完了以后。旅游局過(guò)來(lái)說(shuō)這個(gè)業(yè)務(wù)是對(duì)外發(fā)布的，必須要允許公眾訪問(wèn)，二級(jí)就可以了，每個(gè)不同的租戶的安全需求不一樣，我要防范的措施就不一樣，可是在同一個(gè)平臺(tái)里針對(duì)不同的租戶、不同的安全需求提供不同的安全服務(wù)，這給云安全帶來(lái)了很大的難點(diǎn)。你要提供服務(wù)，眾口難調(diào)，怎么做？

三個(gè)解決方案，從幾方面來(lái)做。第一，安全資源虛擬化，兩個(gè)不同的租戶，把它標(biāo)進(jìn)兩個(gè)區(qū)域，我們認(rèn)為針對(duì)不同的租戶要有不同的安全防范策略，如果用一臺(tái)設(shè)備來(lái)實(shí)現(xiàn)的話，我們要求基于不同的CPU、不同的內(nèi)存，安全的策略和部署不影響其他的租戶，策略可以隨時(shí)調(diào)整，每個(gè)租戶可以單獨(dú)部署。再看怎么來(lái)應(yīng)對(duì)。這是一臺(tái)設(shè)備，分布式的高性能的高可靠的安全網(wǎng)關(guān)，選這么一臺(tái)設(shè)備，部署在你的云資源池里，放在出口位置也好，放在計(jì)算資源池旁邊也好，我有多個(gè)接口，支持各種各樣的虛擬化接入的技術(shù)。我把它變成多個(gè)防火墻，變成多個(gè)負(fù)載均衡，變成多IPS，實(shí)現(xiàn)高性能。

硬件的安全設(shè)備變成多個(gè)邏輯的安全設(shè)備，就這一臺(tái)硬件設(shè)備變成多個(gè)不同品類的安全設(shè)備。一臺(tái)高性能的網(wǎng)關(guān)變成了多個(gè)邏輯的防火墻，每個(gè)防火墻可以分給每個(gè)租戶自己自行管理，也可以統(tǒng)一下發(fā)策略。我們實(shí)現(xiàn)了真正的虛擬化，有的企業(yè)做這塊的時(shí)候做了半調(diào)子。我們有實(shí)力實(shí)現(xiàn)不同租戶不同安全需求的基礎(chǔ)。這個(gè)也不夠，在云的情況下我們要求安全資源動(dòng)態(tài)隨需調(diào)度，總感覺(jué)影響不是那么自主、自由，一個(gè)網(wǎng)絡(luò)里最不缺的就是X86的服務(wù)器，一次采購(gòu)采購(gòu)500臺(tái)服務(wù)器，但上業(yè)務(wù)只上了20臺(tái)，剩下的80臺(tái)怎么辦，這些都是資源。我們安全的操作系統(tǒng)把它做成軟件化，基于X86平臺(tái)，這叫NMV網(wǎng)絡(luò)功能虛擬化。

華三是做網(wǎng)絡(luò)的公司，做無(wú)線設(shè)備，WiFi接入，我們可以做安全、做路由器。這些都是基于同樣的操作系統(tǒng)，Comware。這個(gè)操作系統(tǒng)集成了各種各樣的功能，有安全防火墻功能、AC控制器功能，把這個(gè)操作系統(tǒng)做成軟件形式的產(chǎn)品，就像我們?cè)谔摂M化平臺(tái)里的虛機(jī)一樣，利用X86的平臺(tái)實(shí)現(xiàn)安全功能。這樣部署起來(lái)就很方便了。紫色的框代表物理服務(wù)器，物理服務(wù)器兩臺(tái)虛機(jī)，這兩臺(tái)虛機(jī)需要安全隔離，把放火墻作為軟件的形式直接部署在里面，從邏輯來(lái)看跟原來(lái)兩臺(tái)服務(wù)器的隔離是一樣的，這種方式非常靈活，利用現(xiàn)有的計(jì)算資源就可以實(shí)現(xiàn)安全的部署，而且軟件的形式大家通常理解是調(diào)度管理起來(lái)很方便。

我把資源流量調(diào)度到安全資源池里進(jìn)行清洗，如何調(diào)度？要利用網(wǎng)絡(luò)架構(gòu)的改變。在云里一般是大二層的技術(shù)，大二層的技術(shù)里存在問(wèn)題，多個(gè)數(shù)據(jù)中心要想實(shí)現(xiàn)資源的統(tǒng)一管理，虛機(jī)的動(dòng)態(tài)遷移，必然要用大二層技術(shù)，大二層技術(shù)使整個(gè)網(wǎng)絡(luò)互聯(lián)互通了，我們的業(yè)務(wù)非常多了，有了VLAN。overlay，中文叫疊加網(wǎng)絡(luò)，傳統(tǒng)物理網(wǎng)絡(luò)上疊加出一個(gè)邏輯的網(wǎng)絡(luò)，這個(gè)邏輯的網(wǎng)絡(luò)能夠保證從一個(gè)客戶端到服務(wù)器的訪問(wèn)更簡(jiǎn)便，能夠做到直通。第二，云網(wǎng)絡(luò)的改變，數(shù)據(jù)中心網(wǎng)絡(luò)的改變非常簡(jiǎn)單，overlay和underlay。我們用幾種技術(shù)方式可以實(shí)現(xiàn)，IP地址靈活分配、虛機(jī)任意遷移、多租戶，消除大二層網(wǎng)絡(luò)各種各樣的問(wèn)題。大層網(wǎng)絡(luò)里有各種各樣的問(wèn)題，網(wǎng)絡(luò)風(fēng)暴，在overlay的網(wǎng)絡(luò)里天然地就解決了。

有了網(wǎng)絡(luò)的改造，我們重點(diǎn)改造幾個(gè)點(diǎn)。一是核心設(shè)備，核心設(shè)備用于網(wǎng)絡(luò)的overlay和underlay轉(zhuǎn)換的核心節(jié)點(diǎn)，核心設(shè)備要改，但是也不一定非得改，可以加一些旁掛設(shè)備來(lái)實(shí)現(xiàn)它的簡(jiǎn)單改造。二是接入設(shè)備得改，我們可以直接把接入交換機(jī)改了，改成支持overlay的設(shè)備。整個(gè)改動(dòng)有幾個(gè)點(diǎn)，技術(shù)有點(diǎn)復(fù)雜，我們只需要記住安全流量的調(diào)度，而且非常簡(jiǎn)便。

流量可以牽引到我的安全資源池，通過(guò)虛擬化技術(shù)進(jìn)行清洗，資源池里如果只有防火墻就好辦了，但是不可能，這里面可能有入侵防御，可能有審計(jì)，可能有各種各樣的控制需求，這時(shí)候直接扔到你的資源池里，如何實(shí)現(xiàn)不同的業(yè)務(wù)的不同的安全訪問(wèn)需求，華三也實(shí)現(xiàn)一個(gè)需求，叫做安全服務(wù)鏈，確保流量調(diào)度到資源池里以后，安全設(shè)備起作用的順序，可以先過(guò)防火墻后過(guò)IPS，也可以只過(guò)防火墻只過(guò)IPS，也可以過(guò)完IPS再過(guò)負(fù)載均衡，看我們這里的路徑。綠色的線只過(guò)防火墻，黃色的線過(guò)了防火墻也過(guò)了IPS。我只需要知道源和目的，至于路徑怎么定義怎么做不用管，由我們的控制器來(lái)統(tǒng)一調(diào)度。新的環(huán)境下云安全是按照我們?cè)O(shè)想的方式進(jìn)行調(diào)度，而且只是通過(guò)鼠標(biāo)的點(diǎn)選和路徑的規(guī)劃，完全在一個(gè)界面里。如果在傳統(tǒng)的情況下，這個(gè)接入設(shè)備得配，防火墻IPS得單獨(dú)配，我們要做到安全像服務(wù)一樣簡(jiǎn)單的交付。涉及到華三云安全技術(shù)的服務(wù)理念，安全即服務(wù)，說(shuō)了半天到底是什么，很簡(jiǎn)單，就是要達(dá)到這么個(gè)目的，不同的業(yè)務(wù)、不同的租戶有區(qū)別地進(jìn)行安全的策略指定，這個(gè)服務(wù)器就代表一個(gè)業(yè)務(wù)或一個(gè)租戶，把部署了這么多安全設(shè)備，每個(gè)設(shè)備是什么樣的部署策略，我們可以單獨(dú)進(jìn)行定制，我們也叫做條帶化的安全。

最后看一個(gè)案例。現(xiàn)在云里用的最多的就是政府的政務(wù)云，一般情況下政府在外網(wǎng)實(shí)現(xiàn)政務(wù)云，還有互聯(lián)網(wǎng)，外網(wǎng)和互聯(lián)網(wǎng)這兩套不同的網(wǎng)絡(luò)中間要有跨數(shù)據(jù)交換平臺(tái)，不同的業(yè)務(wù)放在不同的安全區(qū)域進(jìn)行防護(hù)。公共業(yè)務(wù)區(qū)為不同的區(qū)域服務(wù)，互聯(lián)網(wǎng)區(qū)也進(jìn)行同樣的設(shè)定，互聯(lián)網(wǎng)區(qū)和電子業(yè)務(wù)區(qū)要進(jìn)行有效的隔離，整網(wǎng)的安全還有專門的安全控制中心進(jìn)行控制，比如堡壘機(jī)、網(wǎng)頁(yè)防篡改、防病毒等等進(jìn)行監(jiān)控。整網(wǎng)部署的是overlay的網(wǎng)絡(luò)，控制器也是在我們的管理中心，存儲(chǔ)、操作數(shù)據(jù)的調(diào)度都需要進(jìn)行有效的隔離。資源池同化在核心上，這是進(jìn)行南北向的防護(hù)，東西向的防護(hù)也可以在某一個(gè)計(jì)算資源池里單獨(dú)批一個(gè)進(jìn)行防護(hù)。

今天的內(nèi)容就分享到這里，感謝大家！

本文題目：何平：新IT云環(huán)境下安全防護(hù)架構(gòu)設(shè)計(jì)
URL分享：http://www.chinadenli.net/article4/sdiooe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、面包屑導(dǎo)航、網(wǎng)站內(nèi)鏈、電子商務(wù)、定制網(wǎng)站、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)