足浴盆厂家
免费服务热线

Free service

hotline

010-00000000
足浴盆厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

孙晓明新环境下安全基础架构的研究

发布时间:2020-02-11 07:10:31 阅读: 来源:足浴盆厂家

7月4日消息,2012年中国计算机网络安全年会今日在西安举行,杭州迪普科技有限公司总工程师孙晓明发表了主题是“新环境下安全基础架构研究”的演讲。

杭州迪普科技有限公司总工程师孙晓明

以下为演讲实录:

我今天给大家带来为主题是“新环境下安全基础架构研究”,依然是云计算的东西。这些东西从09年到现在三年多的时间里,我们在想,我们在实践,我们得到的一些东西拿出来跟大家分享一下。有些东西可能很接近,大家思路都差不多,就算英雄所见略同。新环境,从计算来讲新的环境很简单,我们甚至提到云计算的环节,云计算是什么,各个方面都会带来深刻的影响,它可能不是一个新的技术,但是它这些技术的组合到今天,可以说是最近10多年以来IT技术架构最大的一个奠定,也是这10多年来IT技术发展最令人激动人心的一个。

云计算的基本概念我就不讲了,我想在这里提出,云计算究竟给我们带来了哪些改变,以及哪些没有改变的,也就是云计算的变与不变,哪些变了?我们的建设方式改变了,我们的运维方式改变了,我们网络计算基础架构改变了,但是有一个东西没有变,就是应用,或者我们的业务本身并没有变。我们的ERP依然是我们的ERP,我们的CRM依然是我们的CRM,它并不因为从传统的物理服务器上面,不管这个云是共有云也好,还是私有云也好,它不会因为这个基础架构改变而让业务发生任何实质性的变化,变的只是底层,在用户感知的层面来讲并没有发生变化,这意味着什么?对于我们做安全的人来讲,它意味着一件事,业务的安全需求没有发生任何改变,这一点很重要。包括今年初,在国家资金的立项申请,当时会有一些调研问卷,曾经说云计算会不会有新的商业形态出来这一系列问题,应用没有改变,应用的安全需求没有改变,比如虚拟化安全风险,但是这些风险并没有改变应用自身的安全需求,那它也就意味着,我们依然要用最传统的防火墙,IPS,IBS,依然用这些东西来保卫我们的平台,这就是我说的变与不变。

我们可以看到一些改变的东西,比如运维模式,我有一个项目需求,我去做相关的方案,做采购,采购标准化的运营,把标准化的运营总结在一起,当某个业务出现变更也好,它直接到资源中申请就可以了,这就是建设运维方式的一些改变。从基础架构的改变来讲,从我们传统的网络结构,现在提的比较清楚的云端管这样的结构,数据中心提到了前所未有的很重要的高度。之前我们没有数据中心,放到机房,机房有网络、有服务器,现在我们提出独立的数据中心的概念,就是云的概念,终端也发生了变化,从最早单一形式的PC机,到今天各种各样的研发,这是基础架构上的一个重新的分割和变化。这张图就反映基础架构的一点,就是管道上的变化,管道有数据中心、有广域网,在不同的地方都会有不同的变化,尤其数据中心的变化是最大的,包括数据中心接入隔离的技术,一个虚拟机接入进来的时候,我怎样让同一台物理服务器两个虚拟机之间有可控的访问,这个现在也有很多接近成熟的标准。我们数据中心的基础架构会有很多的变化,广域网也是一样。

新架构的核心思想,通过虚拟化,实现资源化,进行动态调度。我通过虚拟化的技术,然后把我物理资源变成一个一个的资源颗粒,这个资源颗粒,我可以让它动态的变大变小,或者组合,或者是若干个资源串在一起。由此,安全在这种大的背景下,安全应该怎么做,我们的期望是安全可以成为云的一部分,它也变成像云那样的资源化、颗粒化这样一个东西。核心的思路就是基于分布式网关的L4—7策略流,这句话再简短一点说,放在数据中心的网络里,这句话可以归结为一句话,二层以下归网络,三层以下归安全。什么意思?二层,也就是我们整个以太网层面全部交给网络去,网络方面拥有的准成熟,我们完全可以把所有的虚拟机在二层层面把它完全隔离开,就是在网络层面把它分开。安全部署在哪里,安全部署在网关,因为是虚拟在迁移当中唯一不会变化的参数,当虚拟机从A5服务区到B5服务区大范围牵引的时候,一切参数可以改变,但是网关不会改变。我们要去实现它,有两个前提,第一个前提是高性能与集成化。我们要把整个数据中心到网关的流量集中到安全设备上,这个安全设备不是一个低性能的设备,它一定是一个高性能的设备,什么样算高性能?大概几年前国内IDC的出口大约是4—8G,现在是40—80G,如果我们再把东西流量考虑进去的话,大概可以提升到400—800G可能才能做到这一点。另外一个就是集成化,一条策略流它肯定不会只有一种,我肯定还有其他的策略,这些策略我们是做一个大UTM把所有东西放在一起去实现,还是说把它去分开?我们要做的功能上分开,但是整体上要放在一起这样的东西,400—800性能的前提下,提供完整的2—7层的安全比例。N:M虚拟化建立资源地,其实除了防火墙以外还有很多其他的东西我们都要这样去做,包括IPS。单设的性能毕竟是有限的,我只有把多个设备整合成一个设备,我才能做到性能规划。

从我们公司的实践来看,我们将这一套思路,大概在11年左右我们把思路想清楚,然后我们去实践它了,分三个阶段来做。第一,主要实现高性能和集成化,这个阶段我们现在已经做到了。第二个阶段就是虚拟化阶段,我们要去实现虚拟化谁一套东西,这一部分我们也做到了。第三,资源的动态调度,这一阶段我们目前来讲,我们还做不多动态,我们只能做到静态。可以看清我们具体的工作,第一是高性能,如何做到高性能,我们可以在一块业务板上做到40个G的防火墙。集成化的实践:丰富的网络特性。集成化的实践:多插卡的功能集成,我们的插卡种类已经多到了,如果要想把每一个插卡都插一块的话,在我们机框里插不下,插卡的数量已经多余机槽的数量。虚拟化的实践:N:M虚拟化,我们现在可以实现把两个机框整合成一个机框,跨机框虚拟化,跨板卡虚拟化。

目前来讲,国际上真正能够称之为云的应用应该不是很多,我们最近做的就是中国电信的云计算的一个试点,它是选择了上海、广州、四川,7、8月份的时候,我们在中国电信的防火墙的测试效果很好,最后我们拿下了两个试点,上海和四川。

以上就是我们对云计算环境下的安全,我们自己的一些考虑和我们自己的一些实践,这个仅仅代表我自己的观点。而且平心而论,云计算的技术远远没有成型,我们今天提供的所有的方案、所有的东西只是一个向云过渡性的一个方案,最终是什么样的,我们并不知道。包括未来的网络会是什么样子,未来的云计算会是什么样子,IT行业各个巨头都聚在一起在打乱七八糟的麻将,没人知道这个牌最终会打成什么样子。可以说IT基础架构的变革确实非常巨大,可能5年以后,它究竟是什么样子,我们不知道。根据我们的现在现状,我们踏踏实实去迈这一步,给大家提供一个向云演进的方向。

我就介绍这么多,谢谢。

商标注册

增值电信业务许可证

深圳代理记账税务

筹划税务案例分析

特殊许可

中山工作签证种类

中山工作签证条件

相关阅读