何平新IT云環境下安全防護架構設計

何平：新IT云环境下安全防护架构设计

中国IDC圈1月7道，1月日，第十届中国IDC产业年度大典（IDCC2015）在北京国家会议中心隆重召开本次大会由中国信息通讯研究院、云计算发展与政策论坛、数据中心同盟指点，中国IDC产业年度大典组委会主办，中国IDC圈承办，并受到诸多媒体的大力支持

中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会，之前已成功举行过九届，在本届大会无论是规格还是范围都"更上一层楼"，引来现场人员爆满，影响力全面覆盖数据中心、互联、云计算、大数据等多个领域

华三通讯安全产品线总工何平出席IDCC2015大会并在大数据运用与安全技术论坛发表主题为《新IT云环境下安全防护架构设计》的精彩演讲

华三通讯安全产品线总工何平

以下为何平演讲实录：

非常荣幸有这么次机会跟各位分享华三在云环境下的技术理念和方案，半个小时的时间要把全部理念和技术框架介绍清楚是比较难的，挑一些重点给大家讲一下首先我们要看在新IT情况下云是什么样的变化，华三是如何理解和应对变化的新IT情况下，华三把它分为三个大趋势，一是云计算，云计算现在是非常热的技术趋势，我们在各行各业里都离不开云，家里买的电脑也是云电视，其中就是云的技术对各行各业的渗透还有大数据，有了云，数据集中以后，所有的数据，包括终端的数据、各行各业跟我们的生活、工作息息相关的数据，上到百度查询里面有数据，等等的信息构成的大数据帮助我们的工作进一步优化我们的移动互联，在会场只能听演讲嘉宾给我们灌输知识，但现在你可以拿你的、Pad随时听随时办公，感兴趣的可以听一下，不感兴趣的可以干别的事情，有疑惑的可以查

三个大趋势使得安全形势发生了翻天覆地的变化，我们认为这种情况下安全不能采用原来的方式进行考量，我们要有新的变化，华三提出了大安全的变化大安全就是应互联需求变化，以应用驱动安全灵活实施安全策略，我们认为传统的架一个防火墙，设立关公卡的方式已不合适了华三提出这么一个大安全的理念，我们有一个核心的技术是软件定义安全，原来设备的这类方式不合适了，必须有一个大脑来集中的管控，这个集中的管控我们称之为控制中心，其实就是用在络里的叫SDN，软件定义络，它是个控制器

先整体讲一下整个架构我们认为传统的东西还是存在，安全里经常使用的防火墙、入侵防御、防病毒等等，我们把这些继续布置在络中，我们做出相应的安全元素的提取，这是第二层，是安全资源层我们把所有的防火墙做成防火墙的元素，IPS做成IPS的元素，防病毒关做成防病毒关的元素某个地方需要安全的防护，只要把流量在资源池里进行清晰，安全控制中心起到的作用就是控制器也是整个安全理念的核心再往上结合大数据分析，可以进行威胁的预判以及威胁的策略下发，再结合云就可以形成云的解决方案再往上一层就是我们对普通用户可见的这些运用

全部体系要体现把安全像服务一样进行交付，这句话如果大家关注过的话很容易理解，它其实就像云的交互方式一样，云其实就是把各种各样的基础架构、基础资源像服务一样交付，我需要1台服务器了，之前先评估我的业务多少，先评估我的服务器性能多少，再去采购，申请购买服务器，再去采购，采购来了安装，有了云计算以后在门户上选需要什么样的服务器，这个服务器可以给你下发，甚至操作系统已有了安全也需要这样，我们的理念就是软件定义安全，把安全像服务一样交付看我们后边怎样做

今天的主题是云，我们看云在每个行业里，企业云、政务云、卫生云、教育云，目前建设范围最广的是政务云，政务云目前在全国各地从国家到省到市到地区全都在建设各种层次的政务云，华三亲身参与了全国各个省市的政务云云里要实现我们的理念，安全像服务一样交付，我们再分析一下，第一IT资源被虚拟化，刚才讲过了，第二数据大二层结构，有了虚机以后，虚拟化的重要标志就是虚机可以动态的迁移，我在一个位置资源不够了，从另外一个地方迁移过来一个虚机，我在一个位置络出现了故障，我把这个虚机迁移到另外一个位置，迁移就是云计算虚拟化里一个重要的标志，有了这个标志以后这个计算资源才能随意的调度，随便的调度会带来安全问题，策略怎么办，虚机迁走了需要重新测定还是策略随之迁移过去，是这样的

我要想虚机动态迁移，络架构就要产生变化，络架构是目前最流行的大二层架构，所有的虚机迁移过去，地址不变，在一样一个2层结构里基础设施及服务，基础设施变成了服务，安全也需要把它变成服务我们把安全再进行一下归类，这种情况下，迁移策略带来了问题，虚拟化的情况下原来一台物理机和另外一台物理机之间架一台防火墙进行隔离，现在虚机之间怎么进行隔离，云计算的情况下所有的资源都在一个平台里，如何来进行隔离我们认为安全边界已经模糊了，传统的安全设备没地方部署了

大量的租户，云计算的特点，尤其是政务云原来各个省、各个地市、各个委办局有自己的络、自己的数据中心，他的业务都可以单独进行防护，单独地部署安全防火墙措施，现在政府要建一个大型的省级政务云，所有委办局的业务都要迁过来，迁过来也可以，数据集中，集中完了以后旅游局过来讲这个业务是对外发布的，必须要允许公众访问，二级就可以了，每个不同的租户的安全需求不一样，我要防范的措施就不一样，可是在同一个平台里针对不同的租户、不同的安全需求提供不同的安全服务，这给云安全带来了很大的难点你要提供服务，众口难调，怎么做

三个解决方案，从几方面来做第一，安全资源虚拟化，两个不同的租户，把它标进两个区域，我们认为针对不同的租户要有不同的安全防范策略，如果用一台设备来实现的话，我们要求基于不同的CPU、不同的内存，安全的策略和部署不影响其他的租户，策略可以随时调整，每一个租户可以单独部署再看怎么来应对这是一台装备，分布式的高性能的高可靠的安全关，选这么1台设备，部署在你的云资源池里，放在出口位置也好，放在计算资源池旁边也好，我有多个接口，支持各种各样的虚拟化接入的技术我把它变成多个防火墙，变成多个负载均衡，变成多IPS，实现高性能

硬件的安全设备变成多个逻辑的安全设备，就这一台硬件设备变成多个不同品类的安全设备一台高性能的关变成了多个逻辑的防火墙，每个防火墙可以分给每一个租户自己自行管理，也可以统一下发策略我们实现了真正的虚拟化，有的企业做这块的时候做了半音调我们有实力实现不同租户不同安全需求的基础这个也不够，在云的情况下我们要求安全资源动态随需调度，总感觉影响不是那末自主、自由，一个络里最不缺的就是X86的服务器，一次采购采购500台服务器，但上业务只上了20台，剩下的80台怎么办，这些都是资源我们安全的操作系统把它做成软件化，基于X86平台，这叫NMV络功能虚拟化

华三是做络的公司，做无线设备，WiFi接入，我们可以做安全、做路由器这些都是基于一样的操作系统，Comware这个操作系统集成了各种各样的功能，有安全防火墙功能、AC控制器功能，把这个操作系统做成软件形式的产品，就像我们在虚拟化平台里的虚机一样，利用X86的平台实现安全功能这样部署起来就很方便了紫色的框代表物理服务器，物理服务器两台虚机，这两台虚机需要安全隔离，把放火墙作为软件的情势直接部署在里面，从逻辑来看跟原来两台服务器的隔离是一样的，这种方式非常灵活，利用现有的计算资源就可以实现安全的部署，而且软件的情势大家通常理解是调度管理起来很方便

我把资源流量调度到安全资源池里进行清洗，如何调度要利用络架构的改变在云里一般是大二层的技术，大二层的技术里存在问题，多个数据中心要想实现资源的统一管理，虚机的动态迁移，必定要用大二层技术，大二层技术使整个络互联互通了，我们的业务非常多了，有了VLANoverlay，中文叫叠加络，传统物理络上叠加出一个逻辑的络，这个逻辑的络能够保证从一个客户端到服务器的访问更简便，能够做到直通第二，云络的改变，数据中心络的改变非常简单，overlay和underlay我们用几种技术方式可以实现，IP地址灵活分配、虚机任意迁移、多租户，消除大二层络各种各样的问题大层络里有各种各样的问题，络风暴，在overlay的络里天然地就解决了

有了络的改造，我们重点改造几个点一是核心装备，核心装备用于络的overlay和underlay转换的核心节点，核心设备要改，但是也不一定非得改，可以加一些旁挂设备来实现它的简单改造二是接入装备得改，我们可以直接把接入交换机改了，改成支持overlay的装备全部改动有几个点，技术有点复杂，我们只需要记住安全流量的调度，而且非常简便

流量可以牵引到我的安全资源池，通过虚拟化技术进行清洗，资源池里如果只有防火墙就好办了，但是不可能，这里面可能有入侵防御，可能有审计，可能有各种各样的控制需求，这时候直接扔到你的资源池里，如何实现不同的业务的不同的安全访问需求，华三也实现一个需求，叫做安全服务链，确保流量调度到资源池里以后，安全设备起作用的顺序，可以先过防火墙后过IPS，也可以只过防火墙只过IPS，也可以过完IPS再过负载均衡，看我们这里的路径绿色的线只过防火墙，黄色的线过了防火墙也过了IPS我只需要知道源和目的，至于路径怎么定义怎样做不用管，由我们的控制器来统一调度新的环境下云安全是依照我们假想的方式进行调度，而且只是通过鼠标的点选和路径的计划，完全在一个界面里如果在传统的情况下，这个接入设备得配，防火墙IPS得单独配，我们要做到安全像服务一样简单的交付涉及到华三云安全技术的服务理念，安全即服务，说了半天到底是什么，很简单，就是要达到这么个目的，不同的业务、不同的租户有区分地进行安全的策略指定，这个服务器就代表一个业务或一个租户，把部署了这么多安全设备，每一个装备是什么样的部署策略，我们可以单独进行定制，我们也叫做条带化的安全

最后看一个案例现在云里用的最多的就是政府的政务云，一般情况下政府在外实现政务云，还有互联，外和互联这两套不同的络中间要有跨数据交换平台，不同的业务放在不同的安全区域进行防护公共业务区为不同的区域服务

，互联区也进行一样的设定，互联区和电子业务区要进行有效的隔离，整的安全还有专门的安全控制中心进行控制，比如堡垒机、页防篡改、防病毒等等进行监控整部署的是overlay的络，控制器也是在我们的管理中心，存储、操作数据的调度都需要进行有效的隔离资源池同化在核心上，这是进行南北向的防护，东西向的防护也可以在某一个计算资源池里单独批一个进行防护

今天的内容就分享到这里，感谢大家

儿童健脾胃的药有哪些

儿童感冒吃优卡丹可以吗

儿童眼屎多