华为安全首席架构师甘永存
华为安全首席架构师甘永存先生,他给大家带来的题目是《让安全贴近负载》。
大家好,我是来自华为的甘永存,今天我讲的偏技术一点。让安全贴近负载是什么意思呢?传统的负载在数据中心的负载都是比较稳定、静态的,通常不会变。但是随着公有云和混合云,这个负载会变化非常快,而且是弹性的。传统的安全架构可能跟不上这种负载的变化,我们怎么应对呢?所以,大概就是这么一个意思。
这是传统数据中心的架构图,有不同分区的,中间是核心交换机、汇聚、接入,最后可能会挂一些防火墙等等,大概这么一个架构。这个架构本质上来说就是两层,一层是防火墙、IPS、DDos,内部是按网段分离的。这个大家比较熟了,我就不再讲了。
说一个趋势,第一个是2020年的时候云计算的支出将超过自建IT基础设施,90%的企业会采用混合云。所以,我们发现未来整个基础设施云化是一个非常明确的趋势,这也是大家比较清楚的,我只是说一个数字而已。
另外一个问题,数据中心东西向流量占比超过三分之二。传统数据中心的架构是为了适应南北向,三层,核心、汇聚和接入。现在比较典型的数据中心架构都是二层的,这样适合于满足大容量、无阻塞、延时可控的业务。东西向流量占比超过三分之二,对整个数据中心服务质量其实是有要求的。但是传统的安全方案会对这种服务质量有影响,一会我们会看一下。
我们找了一个比较典型的数据中心,看下一些情况的介绍。这个数据中心大概有1200个防火墙,有PA、Jumiper、华为等等,用户策略大概20W,主要是进出数据中心的。网元策略主要是30W,这个策略是经过20—30年积累的过程。现在据说一般人不会动原有的策略,因为他不知道这个业务是什么样子,所以大部分是敢加不敢删。
这种复杂情况他们自己也开发过一个防火墙策略管理系统,但是这个系统没法适应网络变化,原来做的时候能够统一管理。例如实现跨厂商的统一管理是能做到的,但是唯一的问题是比如我某个业务下线了,它根本适应不过来,因为业务和安全是剥离的。我的策略按照这个去配,如果业务下线,业务和策略不绑定,所以这个是跟不上的,只能解决统一管理的问题,但是解决不了网络变化,这个几乎已经是被废弃的状态。这里一共有接近50万,超过70%的策略是服务器之间的互访。当前主要的问题是安全策略管理和应用管理是分离的,我部署了哪些服务器和应用,和安全策略剥离开了,这样一个问题就是刚才说的,根本适应不了不同网络的变化,业务变化已经适应不了。业务的变更、迁移、扩容、下线都跟不上。用户提交策略是要审批,每天要批300个单子,哪组服务器到哪组服务器,审批权限,所以这还是有很大的问题。
它的诉求,第一,全网防火墙统一纳管和可视化。另外一个是对接现有的工单系统,实现策略的自动编排下发。希望实现以应用为中心的策略管理,大部分的策略全是用户访问应用,应用内部的分组互发,比如说我这个业务分三层,web层、APP业务逻辑和数据库,每层大概有哪些服务器,我定义好之后,这个策略自动翻译转发到下面的防火墙或者其他设备去执行。比如说运维人员不用管底层的策略管理,我会把应用和策略绑到一起,最后综合就是聚焦以应用为中心的安全策略管理,同时实现安全策略自动下发和编排,并且跟踪到安全策略全生命周期,这就是一个比较基础的需求。
我们再看看传统的网络控制方案图。这是传统的三层架构,核心、汇聚、接入,每一区有不同的分组,例如web服务器放一个区,APP服务器放一个区,所有的业务流量是通过防火墙做隔离的。这种架构的问题,其实没有任何一个地方定义应用,可能在IT工程师的本子上或者资料里会写,我这个应用分几层,每层大概的服务器有哪些,这个其实不在整个系统中维护。这样的话,应用变了,安全策略变不了,所以这是一个传统的访问控制方案的不足。
另外是负载和安全的分离,本质上来说,我们常用的web服务器和APP服务器,通常会在防火墙来做,安全策略控制是在这儿体现的。但是负载是在这儿,所以这就是一个分离的问题。解决方案是什么呢?安全要跟随负载一块走,负载在哪,安全就在哪。未来安全策略会随着负载的变化而变化。