7月4日消息,2012年中國計算機(jī)網(wǎng)絡(luò)安全年會今日在西安舉行,杭州迪普科技有限公司總工程師孫曉明發(fā)表了主題是“新環(huán)境下安全基礎(chǔ)架構(gòu)研究”的演講。
杭州迪普科技有限公司總工程師孫曉明
以下為演講實(shí)錄:
我今天給大家?guī)頌橹黝}是“新環(huán)境下安全基礎(chǔ)架構(gòu)研究”,依然是云計算的東西。這些東西從09年到現(xiàn)在三年多的時間里,我們在想,我們在實(shí)踐,我們得到的一些東西拿出來跟大家分享一下。有些東西可能很接近,大家思路都差不多,就算英雄所見略同。新環(huán)境,從計算來講新的環(huán)境很簡單,我們甚至提到云計算的環(huán)節(jié),云計算是什么,各個方面都會帶來深刻的影響,它可能不是一個新的技術(shù),但是它這些技術(shù)的組合到今天,可以說是最近10多年以來IT技術(shù)架構(gòu)最大的一個奠定,也是這10多年來IT技術(shù)發(fā)展最令人激動人心的一個。
云計算的基本概念我就不講了,我想在這里提出,云計算究竟給我們帶來了哪些改變,以及哪些沒有改變的,也就是云計算的變與不變,哪些變了?我們的建設(shè)方式改變了,我們的運(yùn)維方式改變了,我們網(wǎng)絡(luò)計算基礎(chǔ)架構(gòu)改變了,但是有一個東西沒有變,就是應(yīng)用,或者我們的業(yè)務(wù)本身并沒有變。我們的ERP依然是我們的ERP,我們的CRM依然是我們的CRM,它并不因?yàn)閺膫鹘y(tǒng)的物理服務(wù)器上面,不管這個云是共有云也好,還是私有云也好,它不會因?yàn)檫@個基礎(chǔ)架構(gòu)改變而讓業(yè)務(wù)發(fā)生任何實(shí)質(zhì)性的變化,變的只是底層,在用戶感知的層面來講并沒有發(fā)生變化,這意味著什么?對于我們做安全的人來講,它意味著一件事,業(yè)務(wù)的安全需求沒有發(fā)生任何改變,這一點(diǎn)很重要。包括今年初,在國家資金的立項申請,當(dāng)時會有一些調(diào)研問卷,曾經(jīng)說云計算會不會有新的商業(yè)形態(tài)出來這一系列問題,應(yīng)用沒有改變,應(yīng)用的安全需求沒有改變,比如虛擬化安全風(fēng)險,但是這些風(fēng)險并沒有改變應(yīng)用自身的安全需求,那它也就意味著,我們依然要用最傳統(tǒng)的防火墻,IPS,IBS,依然用這些東西來保衛(wèi)我們的平臺,這就是我說的變與不變。
我們可以看到一些改變的東西,比如運(yùn)維模式,我有一個項目需求,我去做相關(guān)的方案,做采購,采購標(biāo)準(zhǔn)化的運(yùn)營,把標(biāo)準(zhǔn)化的運(yùn)營總結(jié)在一起,當(dāng)某個業(yè)務(wù)出現(xiàn)變更也好,它直接到資源中申請就可以了,這就是建設(shè)運(yùn)維方式的一些改變。從基礎(chǔ)架構(gòu)的改變來講,從我們傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),現(xiàn)在提的比較清楚的云端管這樣的結(jié)構(gòu),數(shù)據(jù)中心提到了前所未有的很重要的高度。之前我們沒有數(shù)據(jù)中心,放到機(jī)房,機(jī)房有網(wǎng)絡(luò)、有服務(wù)器,現(xiàn)在我們提出獨(dú)立的數(shù)據(jù)中心的概念,就是云的概念,終端也發(fā)生了變化,從最早單一形式的PC機(jī),到今天各種各樣的研發(fā),這是基礎(chǔ)架構(gòu)上的一個重新的分割和變化。這張圖就反映基礎(chǔ)架構(gòu)的一點(diǎn),就是管道上的變化,管道有數(shù)據(jù)中心、有廣域網(wǎng),在不同的地方都會有不同的變化,尤其數(shù)據(jù)中心的變化是最大的,包括數(shù)據(jù)中心接入隔離的技術(shù),一個虛擬機(jī)接入進(jìn)來的時候,我怎樣讓同一臺物理服務(wù)器兩個虛擬機(jī)之間有可控的訪問,這個現(xiàn)在也有很多接近成熟的標(biāo)準(zhǔn)。我們數(shù)據(jù)中心的基礎(chǔ)架構(gòu)會有很多的變化,廣域網(wǎng)也是一樣。
新架構(gòu)的核心思想,通過虛擬化,實(shí)現(xiàn)資源化,進(jìn)行動態(tài)調(diào)度。我通過虛擬化的技術(shù),然后把我物理資源變成一個一個的資源顆粒,這個資源顆粒,我可以讓它動態(tài)的變大變小,或者組合,或者是若干個資源串在一起。由此,安全在這種大的背景下,安全應(yīng)該怎么做,我們的期望是安全可以成為云的一部分,它也變成像云那樣的資源化、顆粒化這樣一個東西。核心的思路就是基于分布式網(wǎng)關(guān)的L4—7策略流,這句話再簡短一點(diǎn)說,放在數(shù)據(jù)中心的網(wǎng)絡(luò)里,這句話可以歸結(jié)為一句話,二層以下歸網(wǎng)絡(luò),三層以下歸安全。什么意思?二層,也就是我們整個以太網(wǎng)層面全部交給網(wǎng)絡(luò)去,網(wǎng)絡(luò)方面擁有的準(zhǔn)成熟,我們完全可以把所有的虛擬機(jī)在二層層面把它完全隔離開,就是在網(wǎng)絡(luò)層面把它分開。安全部署在哪里,安全部署在網(wǎng)關(guān),因?yàn)槭翘摂M在遷移當(dāng)中唯一不會變化的參數(shù),當(dāng)虛擬機(jī)從A5服務(wù)區(qū)到B5服務(wù)區(qū)大范圍牽引的時候,一切參數(shù)可以改變,但是網(wǎng)關(guān)不會改變。我們要去實(shí)現(xiàn)它,有兩個前提,第一個前提是高性能與集成化。我們要把整個數(shù)據(jù)中心到網(wǎng)關(guān)的流量集中到安全設(shè)備上,這個安全設(shè)備不是一個低性能的設(shè)備,它一定是一個高性能的設(shè)備,什么樣算高性能?大概幾年前國內(nèi)IDC的出口大約是4—8G,現(xiàn)在是40—80G,如果我們再把東西流量考慮進(jìn)去的話,大概可以提升到400—800G可能才能做到這一點(diǎn)。另外一個就是集成化,一條策略流它肯定不會只有一種,我肯定還有其他的策略,這些策略我們是做一個大UTM把所有東西放在一起去實(shí)現(xiàn),還是說把它去分開?我們要做的功能上分開,但是整體上要放在一起這樣的東西,400—800性能的前提下,提供完整的2—7層的安全比例。N:M虛擬化建立資源地,其實(shí)除了防火墻以外還有很多其他的東西我們都要這樣去做,包括IPS。單設(shè)的性能畢竟是有限的,我只有把多個設(shè)備整合成一個設(shè)備,我才能做到性能規(guī)劃。
從我們公司的實(shí)踐來看,我們將這一套思路,大概在11年左右我們把思路想清楚,然后我們?nèi)?shí)踐它了,分三個階段來做。第一,主要實(shí)現(xiàn)高性能和集成化,這個階段我們現(xiàn)在已經(jīng)做到了。第二個階段就是虛擬化階段,我們要去實(shí)現(xiàn)虛擬化誰一套東西,這一部分我們也做到了。第三,資源的動態(tài)調(diào)度,這一階段我們目前來講,我們還做不多動態(tài),我們只能做到靜態(tài)。可以看清我們具體的工作,第一是高性能,如何做到高性能,我們可以在一塊業(yè)務(wù)板上做到40個G的防火墻。集成化的實(shí)踐:豐富的網(wǎng)絡(luò)特性。集成化的實(shí)踐:多插卡的功能集成,我們的插卡種類已經(jīng)多到了,如果要想把每一個插卡都插一塊的話,在我們機(jī)框里插不下,插卡的數(shù)量已經(jīng)多余機(jī)槽的數(shù)量。虛擬化的實(shí)踐:N:M虛擬化,我們現(xiàn)在可以實(shí)現(xiàn)把兩個機(jī)框整合成一個機(jī)框,跨機(jī)框虛擬化,跨板卡虛擬化。
目前來講,國際上真正能夠稱之為云的應(yīng)用應(yīng)該不是很多,我們最近做的就是中國電信的云計算的一個試點(diǎn),它是選擇了上海、廣州、四川,7、8月份的時候,我們在中國電信的防火墻的測試效果很好,最后我們拿下了兩個試點(diǎn),上海和四川。
以上就是我們對云計算環(huán)境下的安全,我們自己的一些考慮和我們自己的一些實(shí)踐,這個僅僅代表我自己的觀點(diǎn)。而且平心而論,云計算的技術(shù)遠(yuǎn)遠(yuǎn)沒有成型,我們今天提供的所有的方案、所有的東西只是一個向云過渡性的一個方案,最終是什么樣的,我們并不知道。包括未來的網(wǎng)絡(luò)會是什么樣子,未來的云計算會是什么樣子,IT行業(yè)各個巨頭都聚在一起在打亂七八糟的麻將,沒人知道這個牌最終會打成什么樣子。可以說IT基礎(chǔ)架構(gòu)的變革確實(shí)非常巨大,可能5年以后,它究竟是什么樣子,我們不知道。根據(jù)我們的現(xiàn)在現(xiàn)狀,我們踏踏實(shí)實(shí)去邁這一步,給大家提供一個向云演進(jìn)的方向。
推薦閱讀
網(wǎng)絡(luò)安全形勢更加復(fù)雜 智能終端成防護(hù)重點(diǎn)
從4日召開的2012中國計算機(jī)網(wǎng)絡(luò)安全年會上獲悉,2011年我國企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率98.78%,較2010年的92.25%穩(wěn)步提升。但今年我國的網(wǎng)絡(luò)安全形勢更加復(fù)雜,智能終端將成為網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)目標(biāo)。 國家互聯(lián)>>>詳細(xì)閱讀
本文標(biāo)題:孫曉明:新環(huán)境下安全基礎(chǔ)架構(gòu)的研究
地址:http://www.geekbao.cn/a/11/20120705/73440.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報
品牌展示