何平:新IT云环境下安全防护架构设计
互联网IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,互联网IDC圈承办,并受到诸多媒体的大力支持。
创新互联是一家专业提供楚雄州企业网站建设,专注与网站设计、网站建设、H5响应式网站、小程序制作等业务。10年已为楚雄州众多企业、政府机构等服务。创新互联专业网站建设公司优惠进行中。中国IDC产业年度大典作为国内云计算和数据中心领域规模大、最具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。
华三通信安全产品线总工何平出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《新IT云环境下安全防护架构设计》的精彩演讲。
华三通信安全产品线总工何平
以下为何平演讲实录:
非常荣幸有这么次机会跟各位分享华三在云环境下的技术理念和方案,半个小时的时间要把整个理念和技术框架介绍清楚是比较难的,挑一些重点给大家讲一下。首先我们要看在新IT情况下云是什么样的变化,华三是如何理解和应对变化的。新IT情况下,华三把它分为三个大趋势,一是云计算,云计算现在是非常热的技术趋势,我们在各行各业里都离不开云,家里买的电脑也是云电视,其中就是云的技术对各行各业的渗透。还有大数据,有了云,数据集中以后,所有的数据,包括终端的数据、各行各业跟我们的生活、工作息息相关的数据,上网到百度查询里面有数据,等等的信息形成的大数据帮助我们的工作进一步优化。我们的移动互联,在会场只能听演讲嘉宾给我们灌输知识,但现在你可以拿你的手机、Pad随时听随时办公,感兴趣的可以听一下,不感兴趣的可以干别的事情,有疑惑的可以查。
三个大趋势使得安全形势发生了翻天覆地的变化,我们认为这种情况下安全不能采用原来的方式进行考量,我们要有新的变化,华三提出了大安全的变化。大安全就是应互联网需求变化,以应用驱动安全灵活实施安全策略,我们认为传统的架一个防火墙,设立关公卡的方式已经不合适了。华三提出这么一个大安全的理念,我们有一个核心的技术是软件定义安全,原来设备的这种方式不合适了,必须有一个大脑来集中的管控,这个集中的管控我们称之为控制中心,其实就是用在网络里的叫SDN,软件定义网络,它是个控制器。
先整体讲一下整个架构。我们认为传统的东西还是存在,安全里常用的防火墙、入侵防御、防病毒等等,我们把这些继续布置在网络中,我们做出相应的安全元素的提取,这是第二层,是安全资源层。我们把所有的防火墙做成防火墙的元素,IPS做成IPS的元素,防病毒网关做成防病毒网关的元素。某个地方需要安全的防护,只要把流量在资源池里进行清晰,安全控制中心起到的作用就是控制器也是整个安全理念的核心。再往上结合大数据分析,可以进行威胁的预判以及威胁的策略下发,再结合云就可以形成云的解决方案。再往上一层就是我们对普通用户可见的这些应用。
整个体系要体现把安全像服务一样进行交付,这句话如果大家关注过的话很容易理解,它其实就像云的交互方式一样,云其实就是把各种各样的基础架构、基础资源像服务一样交付,我需要一台服务器了,以前先评估我的业务多少,先评估我的服务器性能多少,再去采购,申请购买服务器,再去采购,采购来了安装,有了云计算以后在门户上选需要什么样的服务器,这个服务器可以给你下发,甚至操作系统已经有了。安全也需要这样,我们的理念就是软件定义安全,把安全像服务一样交付。看我们后边怎么做。
今天的主题是云,我们看云在每个行业里,企业云、政务云、卫生云、教育云,目前建设范围最广的是政务云,政务云目前在全国各地从国家到省到市到地区全都在建设各种层次的政务云,华三亲自参与了全国各个省市的政务云。云里要实现我们的理念,安全像服务一样交付,我们再分析一下,第一IT资源被虚拟化,刚才讲过了,第二数据大二层结构,有了虚机以后,虚拟化的重要标志就是虚机可以动态的迁移,我在一个位置资源不够了,从另外一个地方迁移过来一个虚机,我在一个位置网络出现了故障,我把这个虚机迁移到另外一个位置,迁移就是云计算虚拟化里一个重要的标志,有了这个标志以后这个计算资源才能随意的调度,随意的调度会带来安全问题,策略怎么办,虚机迁走了需要重新测定还是策略随之迁移过去,是这样的。
我要想虚机动态迁移,网络架构就要发生变化,网络架构是目前最流行的大二层架构,所有的虚机迁移过去,地址不变,在同样一个二层结构里。基础设施及服务,基础设施变成了服务,安全也需要把它变成服务。我们把安全再进行一下归类,这种情况下,迁移策略带来了问题,虚拟化的情况下原来一台物理机和另一台物理机之间架一台防火墙进行隔离,现在虚机之间怎么进行隔离,云计算的情况下所有的资源都在一个平台里,如何来进行隔离?我们认为安全边界已经模糊了,传统的安全设备没地方部署了。
大量的租户,云计算的特点,尤其是政务云原来各个省、各个地市、各个委办局有自己的网络、自己的数据中心,他的业务都可以单独进行防护,单独地部署安全防火墙措施,现在政府要建一个大型的省级政务云,所有委办局的业务都要迁过来,迁过来也可以,数据集中,集中完了以后。旅游局过来说这个业务是对外发布的,必须要允许公众访问,二级就可以了,每个不同的租户的安全需求不一样,我要防范的措施就不一样,可是在同一个平台里针对不同的租户、不同的安全需求提供不同的安全服务,这给云安全带来了很大的难点。你要提供服务,众口难调,怎么做?
三个解决方案,从几方面来做。第一,安全资源虚拟化,两个不同的租户,把它标进两个区域,我们认为针对不同的租户要有不同的安全防范策略,如果用一台设备来实现的话,我们要求基于不同的CPU、不同的内存,安全的策略和部署不影响其他的租户,策略可以随时调整,每个租户可以单独部署。再看怎么来应对。这是一台设备,分布式的高性能的高可靠的安全网关,选这么一台设备,部署在你的云资源池里,放在出口位置也好,放在计算资源池旁边也好,我有多个接口,支持各种各样的虚拟化接入的技术。我把它变成多个防火墙,变成多个负载均衡,变成多IPS,实现高性能。
硬件的安全设备变成多个逻辑的安全设备,就这一台硬件设备变成多个不同品类的安全设备。一台高性能的网关变成了多个逻辑的防火墙,每个防火墙可以分给每个租户自己自行管理,也可以统一下发策略。我们实现了真正的虚拟化,有的企业做这块的时候做了半调子。我们有实力实现不同租户不同安全需求的基础。这个也不够,在云的情况下我们要求安全资源动态随需调度,总感觉影响不是那么自主、自由,一个网络里最不缺的就是X86的服务器,一次采购采购500台服务器,但上业务只上了20台,剩下的80台怎么办,这些都是资源。我们安全的操作系统把它做成软件化,基于X86平台,这叫NMV网络功能虚拟化。
华三是做网络的公司,做无线设备,WiFi接入,我们可以做安全、做路由器。这些都是基于同样的操作系统,Comware。这个操作系统集成了各种各样的功能,有安全防火墙功能、AC控制器功能,把这个操作系统做成软件形式的产品,就像我们在虚拟化平台里的虚机一样,利用X86的平台实现安全功能。这样部署起来就很方便了。紫色的框代表物理服务器,物理服务器两台虚机,这两台虚机需要安全隔离,把放火墙作为软件的形式直接部署在里面,从逻辑来看跟原来两台服务器的隔离是一样的,这种方式非常灵活,利用现有的计算资源就可以实现安全的部署,而且软件的形式大家通常理解是调度管理起来很方便。
我把资源流量调度到安全资源池里进行清洗,如何调度?要利用网络架构的改变。在云里一般是大二层的技术,大二层的技术里存在问题,多个数据中心要想实现资源的统一管理,虚机的动态迁移,必然要用大二层技术,大二层技术使整个网络互联互通了,我们的业务非常多了,有了VLAN。overlay,中文叫叠加网络,传统物理网络上叠加出一个逻辑的网络,这个逻辑的网络能够保证从一个客户端到服务器的访问更简便,能够做到直通。第二,云网络的改变,数据中心网络的改变非常简单,overlay和underlay。我们用几种技术方式可以实现,IP地址灵活分配、虚机任意迁移、多租户,消除大二层网络各种各样的问题。大层网络里有各种各样的问题,网络风暴,在overlay的网络里天然地就解决了。
有了网络的改造,我们重点改造几个点。一是核心设备,核心设备用于网络的overlay和underlay转换的核心节点,核心设备要改,但是也不一定非得改,可以加一些旁挂设备来实现它的简单改造。二是接入设备得改,我们可以直接把接入交换机改了,改成支持overlay的设备。整个改动有几个点,技术有点复杂,我们只需要记住安全流量的调度,而且非常简便。
流量可以牵引到我的安全资源池,通过虚拟化技术进行清洗,资源池里如果只有防火墙就好办了,但是不可能,这里面可能有入侵防御,可能有审计,可能有各种各样的控制需求,这时候直接扔到你的资源池里,如何实现不同的业务的不同的安全访问需求,华三也实现一个需求,叫做安全服务链,确保流量调度到资源池里以后,安全设备起作用的顺序,可以先过防火墙后过IPS,也可以只过防火墙只过IPS,也可以过完IPS再过负载均衡,看我们这里的路径。绿色的线只过防火墙,黄色的线过了防火墙也过了IPS。我只需要知道源和目的,至于路径怎么定义怎么做不用管,由我们的控制器来统一调度。新的环境下云安全是按照我们设想的方式进行调度,而且只是通过鼠标的点选和路径的规划,完全在一个界面里。如果在传统的情况下,这个接入设备得配,防火墙IPS得单独配,我们要做到安全像服务一样简单的交付。涉及到华三云安全技术的服务理念,安全即服务,说了半天到底是什么,很简单,就是要达到这么个目的,不同的业务、不同的租户有区别地进行安全的策略指定,这个服务器就代表一个业务或一个租户,把部署了这么多安全设备,每个设备是什么样的部署策略,我们可以单独进行定制,我们也叫做条带化的安全。
最后看一个案例。现在云里用的最多的就是政府的政务云,一般情况下政府在外网实现政务云,还有互联网,外网和互联网这两套不同的网络中间要有跨数据交换平台,不同的业务放在不同的安全区域进行防护。公共业务区为不同的区域服务,互联网区也进行同样的设定,互联网区和电子业务区要进行有效的隔离,整网的安全还有专门的安全控制中心进行控制,比如堡垒机、网页防篡改、防病毒等等进行监控。整网部署的是overlay的网络,控制器也是在我们的管理中心,存储、操作数据的调度都需要进行有效的隔离。资源池同化在核心上,这是进行南北向的防护,东西向的防护也可以在某一个计算资源池里单独批一个进行防护。
今天的内容就分享到这里,感谢大家!
分享题目:何平:新IT云环境下安全防护架构设计
转载来源:http://cdiso.cn/article/sdiooe.html