當(dāng)前傳統(tǒng)的架構(gòu)只能子網(wǎng)級的安全控制，當(dāng)然這個(gè)業(yè)內(nèi)的思路挺多的，最終實(shí)現(xiàn)VM級的隔離，如果你做了更精細(xì)化的話，可以做到應(yīng)用級的隔離。另外一個(gè)就是性能低、延時(shí)高。所有的內(nèi)部流量都需要到防火墻轉(zhuǎn)一圈，然后從防火墻再回來。如果是按照我們剛才說的架構(gòu)的話，正常的就是兩跳，第一跳到這兒下來，如果你旁掛一個(gè)防火墻的話，再增加，這樣的話對整個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)服務(wù)質(zhì)量、吞吐是有很大影響的。另外一個(gè)是把集中式防火墻拆散，放到下面的集成負(fù)載上面，這樣才能適應(yīng)大容量、不阻塞、不延時(shí)的架構(gòu)。

大概是一個(gè)什么樣的方案呢？應(yīng)用驅(qū)動的安全策略管理，我們大概把它分成幾層，按照紅線分，最上面一層是CIO角度，只看到應(yīng)用就足夠了。IT層面它會指導(dǎo)這個(gè)應(yīng)用由哪些邏輯的分組組成，邏輯分組之間的互訪關(guān)系是怎樣的，同時(shí)有哪些服務(wù)器負(fù)載承擔(dān)，這個(gè)應(yīng)該是IT能看到的維度。從安全的角度就是互訪，例如web到APP的互訪，這個(gè)都是從邏輯定義的角度來說，自上而下的編排，從應(yīng)用到應(yīng)用互訪的定義，到最終往下安全策略的分級。

最終再好的安全策略都有一個(gè)執(zhí)行層面的東西，所以就變成整個(gè)安全策略的執(zhí)行，大概分兩個(gè)，第一，混合云。如果是同構(gòu)的，以華為為例，我們有私有云、和數(shù)據(jù)中心，通過私有云安全組、傳統(tǒng)數(shù)據(jù)DCN的接入交換機(jī)，在這幾個(gè)層面完全可以離你的負(fù)載最近的位置上實(shí)現(xiàn)訪問控制。負(fù)載在的時(shí)候，我這個(gè)訪問控制策略自然加在上面。負(fù)載消失了，這個(gè)策略就會只存在在數(shù)據(jù)庫里，而不會在網(wǎng)絡(luò)中有什么效果。對于以后的混合云組網(wǎng)和負(fù)載Docker化，一它做不了訪問控制，所以沒辦法，只能把訪問控制策略再往上移，移到跟VM一個(gè)級別。對于現(xiàn)在已有的防火墻和策略，怎么調(diào)優(yōu)？就是安全策略自動化，要求下面接入交換機(jī)的，我不管你是公有云還是私有云，還是物理的數(shù)據(jù)中心，要進(jìn)行流量信息的導(dǎo)入，我根據(jù)這些流量信息做應(yīng)用分組識別、用戶互訪定義，策略的一致性校驗(yàn)。

安全策略編排，通常定義應(yīng)用分組，這些分組都是在IT層面中看到的，包含web的分組、應(yīng)用邏輯的分組和DB的分組，每個(gè)資產(chǎn)對應(yīng)的名字和IP地址都有統(tǒng)一的管理。在這塊接下來會有一個(gè)安全策略的清單，比較傳統(tǒng)的是這么做的，而且這個(gè)策略通常在防火墻實(shí)現(xiàn)。

但是這里有幾個(gè)問題，第一，應(yīng)用下線，策略依然存在，維護(hù)海量策略的情況下，如何保證策略和安全的一致性。這是一個(gè)問題。第二個(gè)問題是，應(yīng)用的擴(kuò)容，舉個(gè)例子，我web里增加了一個(gè)主機(jī)，那就要求對應(yīng)修改我的防火墻策略。怎么樣能夠快速高效滿足應(yīng)用的變化？這是傳統(tǒng)的不能夠跟得上的。第三是基礎(chǔ)設(shè)施的云化，利用負(fù)載的快速變化，安全策略怎樣高效地滿足應(yīng)用變化，這上面主要是傳統(tǒng)的安全策略的定義及面臨的一些挑戰(zhàn)。

無論單體的公有云、私有云、混合云，我們接下來都會采用一個(gè)安全策略編排的方式，第一，你要定義業(yè)務(wù)，就是我有哪些業(yè)務(wù)。業(yè)務(wù)上有哪些負(fù)載，對應(yīng)的負(fù)載的安全策略是怎樣的，舉個(gè)例子，我們以剛才APP為例，可能APP上有兩個(gè)APP的負(fù)載，分別是APP01和APP02，剛才的定義其實(shí)是web是能夠訪問APP的，同時(shí)它倆又能訪問DB，這就變成了一個(gè)入站策略和出站策略。比如說我會在通過安全組，或者通過在接入交換機(jī)，把這個(gè)策略下發(fā)到這兒來，只有白名單策略才是OK的。

最后一個(gè)，如果我這個(gè)應(yīng)用變化了，增加了APP03，我只要把APP03打一個(gè)標(biāo)簽，不管它在公有云還是私有云，還是數(shù)據(jù)中心，只要這個(gè)資產(chǎn)或者負(fù)載一上線，把這個(gè)策略直接配置到數(shù)據(jù)中心。這是整個(gè)安全策略編排思路。

下面是安排策略自動化，大概分成幾層，同樣跟剛才介紹的負(fù)載是一樣的，這層是web的負(fù)載，中間是應(yīng)用邏輯的負(fù)載，最后是DB的負(fù)載。分組，第一無論是底層的網(wǎng)絡(luò)，安全策略會自動化把這個(gè)分組出來，比如說哪個(gè)是web分組，哪個(gè)是APP分組，哪個(gè)是DB分組。分組之后會把互訪關(guān)系定義出來，整個(gè)應(yīng)用分組的互訪關(guān)系自動化生成。接下來把它轉(zhuǎn)換成底層的安全策略，就變成了負(fù)載對應(yīng)的出站入站，到來源到目的的一個(gè)訪問過程策略，這跟安全策略編排是一樣的，從這兒開始往下都是一樣的。

下面一個(gè)就是要把安全策略執(zhí)行綁定到策略上，剛才我們說的應(yīng)用分組一樣，我加一個(gè)服務(wù)器，它一上線我的交換機(jī)就知道這個(gè)應(yīng)用上線了，我就會安策略自動化，或者新的負(fù)載就會查詢安全策略。這也一樣，到這兒去查詢策略。查詢策略之后可以下發(fā)給安全組，也可以下發(fā)給VM.負(fù)載上線，我策略自動下發(fā)過去，負(fù)載一下線，策略自動消失，安全隨著應(yīng)用變化而變化，無論是應(yīng)用的上線下線、還是擴(kuò)容都可以跟得上。如果現(xiàn)實(shí)沒有負(fù)載的話，那就意味著這個(gè)策略只存在在數(shù)據(jù)庫里，而不會在網(wǎng)絡(luò)中存在。而且我也會提醒用戶說這個(gè)策略沒有在網(wǎng)絡(luò)生效，用戶其實(shí)就知道這個(gè)策略是可以刪掉的。

 2/3   首頁 上一頁 1 2 3 下一頁 尾頁