山石网科刘向明:云数据中心网络安全

12月12日,全球首个探讨产业互联网的大型会议,2014 CVW﹒产业互联网大会在北京亦庄召开,并通过纽约时代广场大屏幕同步呈现。大会由亚信集团、云基地和亦庄经济技术开发区联合举办,汇聚超过5000名关注互联网和传统产业发展的全球IT和传统行业领袖和精英,探讨“互联网进入传统行业”、“传统行业互联网化”的演进以及产业互联网的技术模式和业务创新。

在下午的“网络安全@互联网”主题论坛中,山石网科CTO刘向明带来《云数据中心网络安全》的主题演讲。

以下是他的演讲全文:

刘向明:我在这里听了那么多演讲,感觉到收获很大。因为产业互联网实际涵盖了现在所有热门的技术,在数据收集这边有智能 家居有工业系统,当数据收集上了以后进行数据分析我们有大数据的技术,会利用到数据中心,虚拟化这些技术。这些数据背后的使 用通过移动互联网,大家拿一个PAD控制这些系统,最后涉及到移动互联。我们现在可能这次的讨论,方方面面的都有涵盖的原因。 我们公司是专门做网络安全,所以我在这里分享一下我们在网络安全,在虚拟化安全方面的一些思考和实践。在数据中心里面做安全 ,实际上安全的问题可能大家非常了解,因为虚拟化使得这种安全的边界模糊,我们在公有云里面有租户之间的隔离,租户内部的安 全控制怎么做?现有的一些安全方案,利用硬件去做,把租户之间的流量或者系统之间的流量去引流,然后做安全控制,它会引起一 些效率的问题,流量它引出来然后回溯回去,带来延时的影响,另外数据中心迁移也是特别大的问题。

最后强调一下是管理的问题,这是我们现在发现的重大问题。我们现在有管理系统,可以管网络资源,但是现在有一个安全系统 进来了,或者现在一个负载均衡系统进来,他有他自己的管理方法,怎么把管理融合?往往是一个需要耗费相当工作的事情。现在比 较好的做法,就是把你的系统能够提供出去,让集成更加简单一点。看看技术的发展,这里面我想讲两点,第一点就是SDN,现在大 家做一个数据中心SDN肯定是一个考虑。SDN给数据中心安全带来一个契机,原来模糊的边界因为SDN变成一个有结构的网络,使得安 全能够重新找到一个着力点。这个SDN另外一点就是它能够使得网络资源和存储资源和计算资源一样,可以被用户去分割去使用。另 外一个技术就是NFV,就是网络功能的虚拟化。这个原来在运营商方面讲的比较多一点,它实际是说原来在网络的功能和安全功能, 比如路由交换,以前是用硬件实现。在这种情况下是不是需要用软件实现?对于大型运营商来说,他认为这是必须的,计算资源对他 来说是取之不尽,他的数据中心里面有很多。

目前的情况在中小型的数据中心里面,可以利用硬件。因为硬件的技术比较成熟,产品比较成熟,所以可以满足一些需求。但是 NFA的趋势也是不可逆的,因为NFA的产品,到了某个时刻肯定会成熟,成熟以后会被接受,会被中小型的云所接受。目前在NFA的框 架下,如果实现安全大概可以分为两种。一种就是把安全设备打包成一个VM,现在很多厂商都有这样的产品。另外就是在内部做安全 ,这种可能针对于,相对来说比较有资源的厂商,比如VMware,他在里面做安全。这两种方案都有它的好处,基于VM的防火墙比较简 单,因为原代码跟硬件都是一样的,可以同时服务南北向、东西向流量每个租户不是互相影响。但是有明显的缺陷,首先是单个VM, 受限于你数据中心里面跑的最快的服务器,他没有办法保证对于突发的响应。比如让他做防火墙,他流量非常小的时候是这样,流量 非常大的时候你没有办法增加资源去做。

对于内部的做法也有局限性,因为它相当于一个操作系统内核,如果它崩溃了,整个机器上所有的VM都崩溃了。所以一般在上面 提供安全,相对来说比较安全,做一些简单的设备控制这样的功能。现在NFA的发展方向,有一个很重要的方向就是从单虚拟机向多 虚拟机发展,分布式的发展。这个比较好理解,原来一个路由实现的,现在是多个功能实现。有一个好处,首先性能可以弹性扩展, 你的资源不用可以分给其他的租户去用,有各种各样的好处。通过将多个VM集成以后提供给很多租户,达到资源更好利用。这里面讲 到一个例子,虚拟路由器。这个应该讲一开始虚拟路由器是一个VM形式提供的,包括我们的Openstack里面有一个路由器,这个版本 出来以后它的虚拟路由器,现在成为一个分布式的。这个在其他的系统厂商,包括VMware,实际上在最近一两年之内实现了分布式的 路由器的功能。

它的分布式带来一个好处,它解决了NFV想要达到这个目的,而且能够在云的弹性环境下,可以实现这个功能。这里给了一个例 子,它和分布式有什么区别。上面可以想象就是Openstack,他们之间需要通讯。三层通讯从到最左边,这个版本里面每个都有一个 小的分布式,左边网络设备的节点在,这种情况下带宽都不会受影响。所以我们做网络安全的方面,也是类似一个思路,我们把我们 的网络安全做成一个分布式的系统,这里做一个对比,我们也经常看到有一种架构,这种产品一般有三种卡。第一种卡就是控制卡, 包括配置包括外部管理一般有两块,可以做备份。另外一种卡就是线卡,负责包的进和出,另外一种卡就是安全服务卡。如果某些流 量需要做,那么这个流量就会送到这个卡上面做。在这种架构上,一般的硬件可以达到这种性能,安全处理的性能可以根据插卡不同 达到不同效果,我可以通过卡的形式增加安全处理的能力。

我们公司也有这样的系统,我们考虑云安全的时候,我们想为什么不把这套系统整体放在云上面,不是把某一个,把整个机器变 成一个VM,而且把机器每一块板卡当成VM去做,这就是我们现在跟合作伙伴推的弹性的基础架构。还有一个好处,我们的虚拟的线卡 ,可以随着服务器的增加而增加。当你需要更多安全功能,可以通过增加安全服务的VM增加安全处理能力。我讲讲这个系统的特点, 第一点是NFV,不需要任何的安全系统是通过一套VM的形式提供给用户。它天然适应云化数据中心的架构,用户可以根据你的需要调 整安全卡和线卡的比例。也支持多租户的场景,它的管理系统和机框管理系统一样,管理起来是一个设备,数据中心有很多和VM,像 一个大的管理设备,中间很多插卡。虚拟机的迁移,这个设备里面自然会支持。刚才提到有非常好的弹性,可以根据自己的需求增加 你对网络处理或者安全处理的性能。

另外一个,传统来说这种方案都有一个问题,就是引流的问题,我们这个系统里面因为我们有一些线卡会接近保护的VM,所以这 个VM需要安全处理,会就近送到安全处理的地方,使得你的上网能够保证。我们现在跟一些合作伙伴,包括一些云的管理系统的合作 伙伴去做集成,如果大家有兴趣可以在会后找我。