科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道杭州华三李彦宾——应“虚”而安,新一代安全探索

杭州华三李彦宾——应“虚”而安,新一代安全探索

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

华三想做一些实在的产品和落地的解决方案,以及相对应的技术。此外还要从客户需求的角度去思考,探索新时代的安全技术。面对现在各行业互联网化的趋势,很多业务应用需要开放。云计算也有其自身安全和安全云这两个关注点

来源:ZDNet安全频道 2014年5月8日

关键字: 华三 网络安全技术 云安全 第十五届中国信息安全大会

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 05月08日 综合消息:在第十五届中国信息安全论坛的下午半场活动中来自杭州华三的李彦宾做了以《应“虚”而安—新一代安全探索》为题的演讲。现场文字整理如下:

 杭州华三:李彦宾——应“虚”而安,新一代安全探索

我记得2012年的时候,我参加这个大会,当时提了一些概念,一些云计算的概念。昨天,我们社长还跟我们讲,你们的主题定了没有。其实我一直比较纠结,主题到底定啥。

作为华三,我们想做一些实实在在落地的产品和落地的解决方案,以及相对应的一些我们思考的一些技术,和在座的专家、学者做一些分享,包括行业的专家做一些分享。我一直思考这个题目怎么表现这个能力,换了几次,第一个叫应虚而安,因为虚拟化现在应该是业界比较流行的一个词,基本上像IT界的,如果搞技术,肯定要知道什么是虚拟化,现在新兴的一些IT厂商。第一个虚。

另外一个,还要从需要的需去考虑。因为我们近一段也接触很多客户,包括2012年以后都接触很多客户,大家都在想一个变革,未来IT往哪走,因为现在移动互联,大数据等等的,应该往哪走,所以我想主题应该叫应虚而安,探索一下新时代的安全到底有哪些技术。

先看一看现在IT的趋势,非常明显的一个趋势,各行业互联网化的趋势,不可否认,因为上午的时候,沈昌祥院士一直在提我们要做一个可信的系统。这面临一个最大的挑战,我们现在很多业务应用需要开放的。

为什么这样说?互联网企业,国内代表BET,所有的业务都是基于互联网产生的,大家在座都在发微信,用微信平台就是一个非常典型的互联网化的例子,而且是一个非常开放的平台,无时无刻都对外开放着业务。这是互联网公司。

各个行业我们现在也看到这样的趋势,最近最火的互联网金融。现在传统金融行业面临着一个挑战,他们经常研究的一个领域就是互联网金融对他们可能带来的冲击,也是因为互联网化这样一个趋势。为什么要做互联网化,互联网企业要赚钱、生存,要赚利润。传统的行业,无论是金融也好,还是政府也好,它首先要做一些事情,它的业务也要创新。

很多人认为,政府现在按照以前搞一笔预算,做一个项目,然后花一点钱。现在不是这个样子,确确实实IT的技术要成为他们创新的,或者是服务领域对他们业务影响力非常大的一个方面。

举一个例子,今年4月份的时候,去上海,上海市公安厅有一个任务,现在需要建一个系统,希望了解一下每天从什么地方来到上海的,从哪个地方来的,乘坐什么交通工具来的,曾经在上海哪个地方逗留过,它需要这个系统,叫做以警情调动警力。这个问题出来了,以前搞一个人口普查等等的,就简单了。现在需要用IT技术来做一个符合它要求的,这个系统怎么上,按照传统的评估,一评估现在这个时间点不好评估。就把各个厂家拉到一起,要求厂家给它一个很好的方案,能不能很快进行业务创新,能不能很快满足厅长以及上级对他们的业务需求。

我仅仅举了一个例子,金融也面临着创新,能不能推出一个很好的业务,增加业务的黏性度,让大众的存款到它的银行里面去,也面临着一个业务竞争。

所以,各行业互联网趋势已经从传统互联网开始向工业互联网化引进了,所有的IT也进入一个崭新阶段了,不是当初搞几台服务器,搞几个软件就可以了,确实需要新的业务创新,有一种全新的业务架构满足现在的信息行业的要求。

这是第一个互联网的趋势。

第二块,如何满足这种新的要求,或者快速的要求,我们必须思考这个问题。我们提出一个概念叫新IT的概念,我们先把未来IT架构分成几层,首先是底层,然后中间层,上层。

底层是一个标准化的东西,中层是一个抽象化的,上层是一个个性化的。个性化的东西就是每个行业所需要的东西,最上层的,我的业务诉求是什么,比如刚才讲的,对于政府系统,对于公安系统来讲,有公安的子系统,就有个性化的需求。中间层是抽象出来的,要做这个有多少个存储,多少个资源,多少个数据库,多少台的防火墙或者业务处理能力,包括出口带宽等等。这是抽象化的东西。然后是标准化的东西,无论是华三的,还是未来其他产品友商的,都通过这种标准化,把这种东西都能够一体或者标准化,大家在上层抽象的时候能够很好地抽象出来,这是它的价格。

做这个价格的目的就是要做一个全新架构,这个架构要做自适应、可定义。新的IT需要快速上线快速部署的时候,我的IT系统需要快速满足我的业务系统的时候,需要有一个全新架构,这个架构是自适应,现在的服务器能够扩展,不像以前生产一块硬盘都需要打一个报告去申请去,现在不需要。需要用一个服务器,打报告申请,现在不需要,服务器马上就建成了,然后中间件等等的其他都OK了。

可定义是为上层服务的,一个业务系统当中需要防火墙、IPS、防病毒软件部署的时候,上层能够把它定义出来,就是这样一个概念。

满足这种要求,我们知道现在有比较时髦的,或者前些年如果云计算很多人还觉得在云中飘着没有落地,现在云计算确确实实落地了,云计算就是符合这个特征了,云计算的最大目的简单讲就是把信息资源能够像水和电一样,随时使用随时调用。未来的IT架构也是这样的,能够自适应,能够可定义,通过云计算的平台满足上层业务的要求。

通过这两个来看,业务趋势,互联网化要开放。第二,我们有一种全新架构,安全在这个下面如何去走。开放很明显,安全最怕什么,如果能做成一个封闭系统最好。像中网有内网和外网,内网就是物理上全部隔离的,除非你搞无线什么的,线对外全是独立的,除了人为的泄密之外,就没有什么问题了。

可是互联网不一样,各行各业都在互联网化,包括政府、金融的等等,这些都是关系国计民生的行业,无论是国资委下属的,还是工信部下属的,所有这些行业,大家都在思考这个问题。

但是有一个点,都是对外开放的,这个开放架构我们怎么满足这个要求。而且你的安全也要随着刚才的新IT一样的,能不能做到自适应和自定义。这个就讲到刚才主题的虚,虚拟化是云计算的核心技术,如果讲云计算,虚拟化是最典型的名词。安全也是一样的,安全能不能做到虚拟化,能不能像水和电一样很好地使用。在新IT架构下我们要思考这个问题。

在云计算下面再往下走,看看有哪些安全。上周去了一个地方,湖北地税,国家在搞IT互联网下一步的试点,搞的一个平台就是云计算平台,做网上报税业务等等一系列业务。这个过程中,客户提出一点,这个新的系统安不安全,包括中国信息安全中心的测评师,包括主任都到那边去了,都面临一个问题,在新形势下,应该做什么样的测评,所以云计算自身的安全非常重要。上一套云系统,能不能首先满足要求,或者满足新IT架构,但是安不安全。

举一个简单例子,以一个物理服务器里边跑了多个虚拟机,都是对外服务的,他们之间怎么隔离,隔不隔离。数据在云计算当中存储了,然后数据会不会泄露等等一系列的问题。云计算自身安全问题已经成为非常重要的一点,很多国内厂商,包括百度云和阿里云在联合国家做相关标准了,怎么说云是可信的,都在搞这种认证服务规范的东西,所以云计算自身安全非常重要。

第二个,安全云,云计算是一个非常好的平台,能不能利用云计算做安全产品,尤其是以安全云杀毒厂商的例子,这个科技确实已经发生变化了。

反过来讲,云计算里边最大的是虚拟化,虚拟化最大的模糊的,沈院士上午说了一个边界安全,边界安全非常重要。在虚拟化以后,边界模糊了。一个虚机是可以迁移的,在任何地方只要有一个终端,通过虚拟桌面都可以登陆上去,你的应用系统上面去。所以边界很难找,找不到边界,你的安全就不好部署了。这是非常重要的一点,也是目前困扰着,也是华三目前关注的一个重点,我觉得未来安全技术要关注的一个方向。

正是这样一个,我们首先提出了新一代的安全技术框架。这个框架是这样的,跟刚才的新IT架构是比较类似的,未来的硬件资源,包括X86服务器也好,包括各厂家生产的硬件设备也好,都是标准化的东西,无论是华三还是谁,都是一个平台性的东西,这个平台性的东西,可以认为是跑安全业务的资源,比如跑防火墙业务,是跑防火墙安全业务的资源。更强调中间的虚拟化层,要把安全抽象出来。因为只有做抽象,安全才能做到动态化,事发以后才能做到安全调度。这样就把防火墙、IPS,包括移动交付的,包括VP的等等做一个资源,可以随时进行扩充,随时为用户使用。第三个是上面的管理层,管理层可以理解为需要有一个平台把这些东西很好地编排起来。上层有一个用户需要安全业务的时候,需要什么样的安全业务,就通过上层的业务调度最终通过虚拟化层的业务,最终执行这个业务就OK了,这样可以形成动态化。

最上层是业务的应用层,顾名思义,就是人,什么样的应用系统。报税系统就是报税的人和报税系统。这两个业务需要什么样的业务,全部抽象出来,这样对我们即使未来你的业务系统越来越复杂,你的业务越来越多,但是不影响,会做到非常清晰的一个架构。对于上层,你永远关注的就是什么样的人,什么样的业务,需要什么样的安全防护就可以了。

这里先探讨第一个技术,第一代安全技术,安全的虚拟化和资源池化。为什么要强调安全的虚拟化,最简单的道理,在云中心,如果计算已经虚拟化了,计算通过VM最外层虚拟化了,存储也虚拟化了,网络也虚拟化了,安全如果不虚拟化,会出现的问题就是,如果你的策略没有迁移过去,安全没有过去,你就完全暴露了,就不安全了。所以,安全也要支持虚拟化,另外一个要池化,作为一种资源,也可以随时进行扩展。

举一个例子,当你的一个虚拟机刚开始的时候是两个业务系统,现在需要扩展的时候,很明显安全也是需要扩展。未来,安全也是需要随着人做安全的,安全的业务链,做什么样的安全过滤就可以了。

另外一个就是虚拟化防护,这是目前很多客户非常关注的一点,这里面可以当成一个物理服务器,跑了多个虚拟机,有可能是不同的业务,之间怎么隔离控制,边界咋防护。按照以前分解划分之后,一个虚拟服务器建一个虚拟端口就固定死了。现在都在虚拟服务器里面内部交换,怎么安全防护。未来我们认为,在虚拟化层有一个安全的防护网关,不是现在这种防护了,这个网关可以执行防火墙、IPS,包括防病毒这些功能,这是一个新的技术。

还有一个是面向业务的,刚才讲的是应需,这个需是需求。因为最终我的业务是跟安全的防火墙、IPS这些功能,都是与我的业务,或者最终的上层服务的。这里举了一个例子,比如未来的安全策略,如果搞策略的人看到这个就很清楚了,这个就是下一代的防火墙,当然华三也认同这个观点,未来安全的控制不是基于IP的,肯定是基于应用的。比如网上报税应用系统,要给予应用控制,LOCATION的控制,包括终端的用户名,普通的PC,或者WIN8的,或者WINXP的等等的一个终端,用防火墙的业务进行一系列的业务,上面是一个POLICY中心,可以做很多的安全业务。未来你需要做的就是这些安全业务,这又是新一代的安全业务。

你要做到自动化,需要哪些技术实现。这些都是串起来的,就是要支持SDN的架构,安全怎么能够做到自适应,可定义,刚才这个要下发策略的时候怎么下发,总得有一个标准,不能说华三有华三的标准,思科有思科的标准,这个标准未来就是SDN,通过标准的SDN接口,用户名、应用、终端类型等等一系列的东西,下发给安全设备,这个设备无论是华三的安全网关,还是谁的,无论是一个X86服务器,还是一个物理服务器,只要下发下去就可以执行这样的策略,这样可以做到随时可定义。你需要随时白名单、黑名单可以动态下发。我跟吉大的张总交流,未来要认证,一旦用户认证上线以后,需要什么认证策略,都在这边定死了,通过SDN业务快速部署。然后这个人下线了,就可以进行还原。SDN非常重要,是未来安全设备的一个支持点。

有了这些东西以后,我们有一个基于全面虚拟化的资源编排。底下的硬件资源,你不用管了,按照业务需求设计就可以了。比如我某一个银行需要为某一个系统做安全部署,就把这些拿出来就可以了,需要多少个服务器、多少内存,需不需要加防火墙的防护,需不需要加入侵防护过滤,需不需要数据生成,所有都可以进行编排,底下就进行自适应了。主要就是把这些很好的业务系统进行匹配就可以了。

另外一个就是统一的控制器,这个控制器是基于SDN标准化架构的,华三有这个接口,只要上层有足够的开发能力,我都可以把这个接口给你。底下的设备以前要配置,很麻烦,现在都不需要了。这样,最大限度地随着IT的越来越复杂,最大限度地减少我们维护的压力。

未来的SOC,大家都在想,智能管理,安全管理中心到底应该是啥样子的。未来的安全管理中心应该是这样的,首先云平台管理要有,对于服务器的,对虚拟机的管理,包括各种内部资源管理等等,都在安全管理中心。

还有一些网络管理,还有无线接入的管理。

整个平台,无论是终端,还是管道,还是管道的网络,还是通过后台的云中心、计算中心、数据中心,还是移动互联网,可以从四个方面做到安全管控。

对我们来讲可以做到非常好的一个安全控制。

最后,肯定我们想看看最终的全景图怎么样的,这个就是一个安全的综合解决方案图,前面有不同的用户,无论是PC还是移动互联网,有一个认证,里面有一个STK,未来通过这样的技术,不光是密码,还有视网膜等等技术,通过数据中心进行分流,下面有不同的业务,然后这种安全是资源池化的,动态进行调整和支配。包括虚拟机内部的进行隔离控制的,每个平台都是小型的VDC一样的,可以满足这个要求。最右边是一个管理界面,可以做到非常好的适配,适配就是面向最终的业务,当然这个平台有华三自己的SOC,未来也可以通过SDN标准的接口,实现自己运营的SOC。

我演讲比较快,总结一下,云计算目前是大家最关注的热点,在云计算过程当中,云计算是为了符合新的IT架构的要求,新IT架构是为了满足未来新互联网化的要求,相对应的,必须从云自身安全的考虑,终端安全的考虑,虚拟化的考虑,以及未来SOC的架构去考虑,有一个快速可交付的自适应的虚拟化平台。

我的演讲到此结束!

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章