孙晓明新环境下安全基础架构的研究

7月4日消息，2012年中国计算机网络安全年会今日在西安举行，杭州迪普科技有限公司总工程师孙晓明发表了主题是“新环境下安全基础架构研究”的演讲。

杭州迪普科技有限公司总工程师孙晓明

以下为演讲实录：

我今天给大家带来为主题是“新环境下安全基础架构研究”，依然是云计算的东西。这些东西从09年到现在三年多的时间里，我们在想，我们在实践，我们得到的一些东西拿出来跟大家分享一下。有些东西可能很接近，大家思路都差不多，就算英雄所见略同。新环境，从计算来讲新的环境很简单，我们甚至提到云计算的环节，云计算是什么，各个方面都会带来深刻的影响，它可能不是一个新的技术，但是它这些技术的组合到今天，可以说是最近10多年以来IT技术架构最大的一个奠定，也是这10多年来IT技术发展最令人激动人心的一个。

云计算的基本概念我就不讲了，我想在这里提出，云计算究竟给我们带来了哪些改变，以及哪些没有改变的，也就是云计算的变与不变，哪些变了?我们的建设方式改变了，我们的运维方式改变了，我们网络计算基础架构改变了，但是有一个东西没有变，就是应用，或者我们的业务本身并没有变。我们的ERP依然是我们的ERP，我们的CRM依然是我们的CRM，它并不因为从传统的物理服务器上面，不管这个云是共有云也好，还是私有云也好，它不会因为这个基础架构改变而让业务发生任何实质性的变化，变的只是底层，在用户感知的层面来讲并没有发生变化，这意味着什么?对于我们做安全的人来讲，它意味着一件事，业务的安全需求没有发生任何改变，这一点很重要。包括今年初，在国家资金的立项申请，当时会有一些调研问卷，曾经说云计算会不会有新的商业形态出来这一系列问题，应用没有改变，应用的安全需求没有改变，比如虚拟化安全风险，但是这些风险并没有改变应用自身的安全需求，那它也就意味着，我们依然要用最传统的防火墙，IPS，IBS，依然用这些东西来保卫我们的平台，这就是我说的变与不变。

我们可以看到一些改变的东西，比如运维模式，我有一个项目需求，我去做相关的方案，做采购，采购标准化的运营，把标准化的运营总结在一起，当某个业务出现变更也好，它直接到资源中申请就可以了，这就是建设运维方式的一些改变。从基础架构的改变来讲，从我们传统的网络结构，现在提的比较清楚的云端管这样的结构，数据中心提到了前所未有的很重要的高度。之前我们没有数据中心，放到机房，机房有网络、有服务器，现在我们提出独立的数据中心的概念，就是云的概念，终端也发生了变化，从最早单一形式的PC机，到今天各种各样的研发，这是基础架构上的一个重新的分割和变化。这张图就反映基础架构的一点，就是管道上的变化，管道有数据中心、有广域网，在不同的地方都会有不同的变化，尤其数据中心的变化是最大的，包括数据中心接入隔离的技术，一个虚拟机接入进来的时候，我怎样让同一台物理服务器两个虚拟机之间有可控的访问，这个现在也有很多接近成熟的标准。我们数据中心的基础架构会有很多的变化，广域网也是一样。

新架构的核心思想，通过虚拟化，实现资源化，进行动态调度。我通过虚拟化的技术，然后把我物理资源变成一个一个的资源颗粒，这个资源颗粒，我可以让它动态的变大变小，或者组合，或者是若干个资源串在一起。由此，安全在这种大的背景下，安全应该怎么做，我们的期望是安全可以成为云的一部分，它也变成像云那样的资源化、颗粒化这样一个东西。核心的思路就是基于分布式网关的L4—7策略流，这句话再简短一点说，放在数据中心的网络里，这句话可以归结为一句话，二层以下归网络，三层以下归安全。什么意思?二层，也就是我们整个以太网层面全部交给网络去，网络方面拥有的准成熟，我们完全可以把所有的虚拟机在二层层面把它完全隔离开，就是在网络层面把它分开。安全部署在哪里，安全部署在网关，因为是虚拟在迁移当中唯一不会变化的参数，当虚拟机从A5服务区到B5服务区大范围牵引的时候，一切参数可以改变，但是网关不会改变。我们要去实现它，有两个前提，第一个前提是高性能与集成化。我们要把整个数据中心到网关的流量集中到安全设备上，这个安全设备不是一个低性能的设备，它一定是一个高性能的设备，什么样算高性能?大概几年前国内IDC的出口大约是4—8G，现在是40—80G，如果我们再把东西流量考虑进去的话，大概可以提升到400—800G可能才能做到这一点。另外一个就是集成化，一条策略流它肯定不会只有一种，我肯定还有其他的策略，这些策略我们是做一个大UTM把所有东西放在一起去实现，还是说把它去分开?我们要做的功能上分开，但是整体上要放在一起这样的东西，400—800性能的前提下，提供完整的2—7层的安全比例。N：M虚拟化建立资源地，其实除了防火墙以外还有很多其他的东西我们都要这样去做，包括IPS。单设的性能毕竟是有限的，我只有把多个设备整合成一个设备，我才能做到性能规划。

从我们公司的实践来看，我们将这一套思路，大概在11年左右我们把思路想清楚，然后我们去实践它了，分三个阶段来做。第一，主要实现高性能和集成化，这个阶段我们现在已经做到了。第二个阶段就是虚拟化阶段，我们要去实现虚拟化谁一套东西，这一部分我们也做到了。第三，资源的动态调度，这一阶段我们目前来讲，我们还做不多动态，我们只能做到静态。可以看清我们具体的工作，第一是高性能，如何做到高性能，我们可以在一块业务板上做到40个G的防火墙。集成化的实践：丰富的网络特性。集成化的实践：多插卡的功能集成，我们的插卡种类已经多到了，如果要想把每一个插卡都插一块的话，在我们机框里插不下，插卡的数量已经多余机槽的数量。虚拟化的实践：N：M虚拟化，我们现在可以实现把两个机框整合成一个机框，跨机框虚拟化，跨板卡虚拟化。

目前来讲，国际上真正能够称之为云的应用应该不是很多，我们最近做的就是中国电信的云计算的一个试点，它是选择了上海、广州、四川，7、8月份的时候，我们在中国电信的防火墙的测试效果很好，最后我们拿下了两个试点，上海和四川。

以上就是我们对云计算环境下的安全，我们自己的一些考虑和我们自己的一些实践，这个仅仅代表我自己的观点。而且平心而论，云计算的技术远远没有成型，我们今天提供的所有的方案、所有的东西只是一个向云过渡性的一个方案，最终是什么样的，我们并不知道。包括未来的网络会是什么样子，未来的云计算会是什么样子，IT行业各个巨头都聚在一起在打乱七八糟的麻将，没人知道这个牌最终会打成什么样子。可以说IT基础架构的变革确实非常巨大，可能5年以后，它究竟是什么样子，我们不知道。根据我们的现在现状，我们踏踏实实去迈这一步，给大家提供一个向云演进的方向。

我就介绍这么多，谢谢。

商标注册

增值电信业务许可证

深圳代理记账税务

筹划税务案例分析

特殊许可

中山工作签证种类

中山工作签证条件