華為安全首席架構師甘永存

華為安全首席架構師甘永存先生，他給大家?guī)淼念}目是《讓安全貼近負載》。

大家好，我是來自華為的甘永存，今天我講的偏技術一點。讓安全貼近負載是什么意思呢？傳統(tǒng)的負載在數(shù)據(jù)中心的負載都是比較穩(wěn)定、靜態(tài)的，通常不會變。但是隨著公有云和混合云，這個負載會變化非?？?，而且是彈性的。傳統(tǒng)的安全架構可能跟不上這種負載的變化，我們怎么應對呢？所以，大概就是這么一個意思。

這是傳統(tǒng)數(shù)據(jù)中心的架構圖，有不同分區(qū)的，中間是核心交換機、匯聚、接入，最后可能會掛一些防火墻等等，大概這么一個架構。這個架構本質上來說就是兩層，一層是防火墻、IPS、DDos，內部是按網段分離的。這個大家比較熟了，我就不再講了。

說一個趨勢，第一個是2020年的時候云計算的支出將超過自建IT基礎設施，90%的企業(yè)會采用混合云。所以，我們發(fā)現(xiàn)未來整個基礎設施云化是一個非常明確的趨勢，這也是大家比較清楚的，我只是說一個數(shù)字而已。

另外一個問題，數(shù)據(jù)中心東西向流量占比超過三分之二。傳統(tǒng)數(shù)據(jù)中心的架構是為了適應南北向，三層，核心、匯聚和接入?，F(xiàn)在比較典型的數(shù)據(jù)中心架構都是二層的，這樣適合于滿足大容量、無阻塞、延時可控的業(yè)務。東西向流量占比超過三分之二，對整個數(shù)據(jù)中心服務質量其實是有要求的。但是傳統(tǒng)的安全方案會對這種服務質量有影響，一會我們會看一下。

我們找了一個比較典型的數(shù)據(jù)中心，看下一些情況的介紹。這個數(shù)據(jù)中心大概有1200個防火墻，有PA、Jumiper、華為等等，用戶策略大概20W，主要是進出數(shù)據(jù)中心的。網元策略主要是30W，這個策略是經過20—30年積累的過程。現(xiàn)在據(jù)說一般人不會動原有的策略，因為他不知道這個業(yè)務是什么樣子，所以大部分是敢加不敢刪。

這種復雜情況他們自己也開發(fā)過一個防火墻策略管理系統(tǒng)，但是這個系統(tǒng)沒法適應網絡變化，原來做的時候能夠統(tǒng)一管理。例如實現(xiàn)跨廠商的統(tǒng)一管理是能做到的，但是唯一的問題是比如我某個業(yè)務下線了，它根本適應不過來，因為業(yè)務和安全是剝離的。我的策略按照這個去配，如果業(yè)務下線，業(yè)務和策略不綁定，所以這個是跟不上的，只能解決統(tǒng)一管理的問題，但是解決不了網絡變化，這個幾乎已經是被廢棄的狀態(tài)。這里一共有接近50萬，超過70%的策略是服務器之間的互訪。當前主要的問題是安全策略管理和應用管理是分離的，我部署了哪些服務器和應用，和安全策略剝離開了，這樣一個問題就是剛才說的，根本適應不了不同網絡的變化，業(yè)務變化已經適應不了。業(yè)務的變更、遷移、擴容、下線都跟不上。用戶提交策略是要審批，每天要批300個單子，哪組服務器到哪組服務器，審批權限，所以這還是有很大的問題。

它的訴求，第一，全網防火墻統(tǒng)一納管和可視化。另外一個是對接現(xiàn)有的工單系統(tǒng)，實現(xiàn)策略的自動編排下發(fā)。希望實現(xiàn)以應用為中心的策略管理，大部分的策略全是用戶訪問應用，應用內部的分組互發(fā)，比如說我這個業(yè)務分三層，web層、APP業(yè)務邏輯和數(shù)據(jù)庫，每層大概有哪些服務器，我定義好之后，這個策略自動翻譯轉發(fā)到下面的防火墻或者其他設備去執(zhí)行。比如說運維人員不用管底層的策略管理，我會把應用和策略綁到一起，最后綜合就是聚焦以應用為中心的安全策略管理，同時實現(xiàn)安全策略自動下發(fā)和編排，并且跟蹤到安全策略全生命周期，這就是一個比較基礎的需求。

我們再看看傳統(tǒng)的網絡控制方案圖。這是傳統(tǒng)的三層架構，核心、匯聚、接入，每一區(qū)有不同的分組，例如web服務器放一個區(qū)，APP服務器放一個區(qū)，所有的業(yè)務流量是通過防火墻做隔離的。這種架構的問題，其實沒有任何一個地方定義應用，可能在IT工程師的本子上或者資料里會寫，我這個應用分幾層，每層大概的服務器有哪些，這個其實不在整個系統(tǒng)中維護。這樣的話，應用變了，安全策略變不了，所以這是一個傳統(tǒng)的訪問控制方案的不足。

另外是負載和安全的分離，本質上來說，我們常用的web服務器和APP服務器，通常會在防火墻來做，安全策略控制是在這兒體現(xiàn)的。但是負載是在這兒，所以這就是一個分離的問題。解決方案是什么呢？安全要跟隨負載一塊走，負載在哪，安全就在哪。未來安全策略會隨著負載的變化而變化。

 1/3    1 2 3 下一頁 尾頁