華為企業(yè)網(wǎng)絡(luò)營銷運(yùn)作部 張東

　　數(shù)據(jù)中心安全管理員的心聲“我們的數(shù)據(jù)中心自身業(yè)務(wù)上千，一個(gè)業(yè)務(wù)分很多模塊，相互交互一下，這要設(shè)置多少東西向的訪問控制策略，多得嚇人嘍。”

　　——數(shù)據(jù)中心安全平臺管理員小凡

　　國內(nèi)某大型互聯(lián)網(wǎng)企業(yè)A已成功運(yùn)營其自建云數(shù)據(jù)中心，除了承擔(dān)企業(yè)內(nèi)部的若干業(yè)務(wù)以外，也會面向外部提供服務(wù)器的托管服務(wù)。隨著A公司的不斷發(fā)展，經(jīng)常會有新業(yè)務(wù)上線，每次為新業(yè)務(wù)部署了服務(wù)器、虛擬機(jī)后，就需要對網(wǎng)絡(luò)的設(shè)置以及安全策略進(jìn)行調(diào)整。而這個(gè)安全策略的調(diào)整過程也是讓數(shù)據(jù)中心安全管理員小凡最頭疼的事情。為了滿足數(shù)據(jù)中心南北向的合法訪問，需要在匯聚與邊界針對新業(yè)務(wù)設(shè)置訪問控制，更麻煩的是數(shù)據(jù)中心內(nèi)部東西向的安全策略，不但要關(guān)注不同租戶之間的隔離，還要考慮同一租戶不同業(yè)務(wù)之間，甚至同一業(yè)務(wù)不同模塊之間的策略。像A公司運(yùn)營的大型數(shù)據(jù)中心，業(yè)務(wù)超過千種，單臺交換機(jī)上東西向的訪問控制策略平均達(dá)3000條，本地?cái)?shù)據(jù)中心從核心、匯聚到接入所涉及到的交換機(jī)等網(wǎng)絡(luò)設(shè)備不下百臺。30萬條策略的管理維護(hù)工作量巨大，要在2～3小時(shí)這樣短的時(shí)間內(nèi)更新策略，配置出錯(cuò)的風(fēng)險(xiǎn)極高。尤其是當(dāng)下數(shù)據(jù)中心業(yè)務(wù)與網(wǎng)絡(luò)變化普遍，每次都手工配置刷新若干設(shè)備的安全策略將十分復(fù)雜。而且A公司還部署了檢測平臺進(jìn)行安全威脅檢測，當(dāng)出現(xiàn)威脅告警時(shí)，小凡需要及時(shí)將可疑流量引入相應(yīng)安全設(shè)備進(jìn)行處理，如攻擊防護(hù)、入侵檢測、Web防護(hù)等等。然而新業(yè)務(wù)上線之初，安全威脅誤報(bào)往往較多。通常為了盡可能降低網(wǎng)絡(luò)延時(shí)，數(shù)據(jù)中心安全設(shè)備都是旁路部署的，因此小凡每次都要針對告警手工配置交換機(jī)或者路由器才能將可疑流量引出，這樣會造成少則幾天多則一個(gè)月的策略調(diào)優(yōu)過程。冗長的調(diào)優(yōu)過程導(dǎo)致安全管理成本無法匹配業(yè)務(wù)的快速發(fā)展要求，而且還要冒著調(diào)整失誤引起業(yè)務(wù)中斷、客戶投訴的嚴(yán)重風(fēng)險(xiǎn)。如何擺脫當(dāng)前令人苦惱的工作局面，是小凡面對的問題。

　　SDN：簡化云數(shù)據(jù)中心安全管理數(shù)據(jù)中心頻繁接受來自外部的訪問，業(yè)務(wù)可靠性至關(guān)重要。對數(shù)據(jù)中心運(yùn)營者來說，為用戶提供快速、可靠的訪問體驗(yàn)，是其部署、管理數(shù)據(jù)中心網(wǎng)絡(luò)的第一要?jiǎng)?wù)。隨著云計(jì)算與虛擬化技術(shù)的成熟和盛行，數(shù)據(jù)中心網(wǎng)絡(luò)不斷向更佳用戶體驗(yàn)、超大容量、動態(tài)、自動化和集中管理的方向發(fā)展。SDN的誕生恰好滿足了上述數(shù)據(jù)中心發(fā)展的核心訴求。特別是在云數(shù)據(jù)中心安全方面，通過SDN能夠極大地改善安全策略配置和管理的復(fù)雜度，降低企業(yè)IT的運(yùn)維成本。實(shí)際上，在2007年SDN尚處于學(xué)術(shù)研究階段時(shí)，斯坦福大學(xué)的學(xué)生啟動了一個(gè)關(guān)于網(wǎng)絡(luò)安全與管理的項(xiàng)目——Ethane，通過一個(gè)集中式的控制器，讓網(wǎng)絡(luò)管理員可以方便地定義基于網(wǎng)絡(luò)流的安全控制策略，并將這些安全策略應(yīng)用到各種網(wǎng)絡(luò)設(shè)備中，從而實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)通信的安全控制。SDN天生帶有簡便安全策略管理的基因。

　　華為云數(shù)據(jù)中心安全解決方案正在向SDN演進(jìn)。在高帶寬時(shí)代，數(shù)據(jù)中心運(yùn)營商一直擔(dān)心安全設(shè)備的性能會影響數(shù)據(jù)中心業(yè)務(wù)、成為瓶頸，所以通常安全設(shè)備采用旁路部署。華為的安全設(shè)備具備全業(yè)務(wù)資源池化的能力，即將防火墻、IPS、Anti-DDoS及SWG等功能集中，形成安全防護(hù)池。安全資源池通過網(wǎng)絡(luò)安全設(shè)備的虛擬化能力，突破性能瓶頸的限制，以達(dá)到與數(shù)據(jù)中心防護(hù)需求最佳匹配的效果。當(dāng)云數(shù)據(jù)中心檢測平臺發(fā)現(xiàn)特定威脅流量后，管理員只需設(shè)置相關(guān)策略，由SDN控制器調(diào)度，即可將策略統(tǒng)一下發(fā)到整個(gè)數(shù)據(jù)中心內(nèi)部相關(guān)的交換機(jī)上，將可疑流量全部牽引至安全資源池進(jìn)行過濾或者防護(hù)。采用的安全策略有所差異，所觸發(fā)的安全機(jī)制進(jìn)而不同，以實(shí)現(xiàn)資源的動態(tài)分配。特別是像A公司這樣的云數(shù)據(jù)中心，也提供租賃與托管服務(wù)，對于政府、金融等行業(yè)的租戶來說，必須要通過防火墻進(jìn)行服務(wù)器的隔離，以便滿足合規(guī)性要求。那么在數(shù)據(jù)中心中便可以通過安全資源池中的防火墻來滿足政府、金融行業(yè)租戶的需求，僅僅是將其服務(wù)器的訪問流量全部引流經(jīng)過防火墻的保護(hù)，對其他租戶的業(yè)務(wù)流量仍然可以保證較高的轉(zhuǎn)發(fā)效率，不會產(chǎn)生絲毫的影響。

　　以下結(jié)合實(shí)例，對安全資源自動調(diào)度的整個(gè)過程進(jìn)行更加清晰的解釋。當(dāng)數(shù)據(jù)中心某租戶提出需要對自己的Web業(yè)務(wù)進(jìn)行防護(hù)，數(shù)據(jù)中心管理員接收到該需求后：

　　首先，根據(jù)要求在數(shù)據(jù)中心控制器上設(shè)置安全策略；

　　接著，數(shù)據(jù)中心控制器將用戶/用戶組信息轉(zhuǎn)化為相應(yīng)的服務(wù)器IP地址映射。由于控制器已經(jīng)掌握整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)的組網(wǎng)情況，所以能夠輕而易舉地找到IP地址所連接的接入交換機(jī)；然后，控制器下發(fā)引流策略，更新接入交換機(jī)上的轉(zhuǎn)發(fā)信息，使得需要處理的流量能夠被轉(zhuǎn)發(fā)至安全資源池內(nèi)的Web安全網(wǎng)關(guān)。同時(shí)，控制器通知防火墻對該IP地址的Web流量做過濾操作；

　　最后，防火墻接收到用戶的所有流量，按照控制指令，進(jìn)行協(xié)議識別后對Web數(shù)據(jù)流執(zhí)行過濾和防病毒檢查，而其它流量進(jìn)行正常轉(zhuǎn)發(fā)處理。

　　在華為云數(shù)據(jù)中心安全解決方案中，SDN控制器如同整個(gè)方案的大腦，統(tǒng)管全局。無論數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)如何變化，無論涉及到改變的交換機(jī)、路由器、安全設(shè)備數(shù)量有多少，管理員只需根據(jù)業(yè)務(wù)、租戶、安全策略直接在控制器進(jìn)行任務(wù)編排，由控制器將任務(wù)編排轉(zhuǎn)化為IP地址、訪問控制、轉(zhuǎn)發(fā)路由、安全防護(hù)的配置策略，再自動分發(fā)到相應(yīng)的網(wǎng)絡(luò)設(shè)備。華為云數(shù)據(jù)中心安全解決方案改變了數(shù)據(jù)中心安全設(shè)備分層次部署的傳統(tǒng)模式，組建安全資源池，集中部署，降低了企業(yè)采購成本。安全策略設(shè)置根據(jù)租戶需求靈活、簡單，高度客戶化，徹底屏蔽IP與端口等專用術(shù)語。安全資源調(diào)度過程統(tǒng)一管理，自動下發(fā)，適應(yīng)業(yè)務(wù)與網(wǎng)絡(luò)快速變更。實(shí)際操作中通過管理員與控制一對一的操作即可完成，最大限度地減少工作量和運(yùn)維成本，縮短了策略調(diào)優(yōu)的周期，也避免了在紛繁復(fù)雜的大量配置中發(fā)生的誤操作，保證了策略配置的一致性。

　　小凡是云數(shù)據(jù)中心管理員的典型代表，在華為基于SDN的云數(shù)據(jù)中心安全方案的幫助下，工作質(zhì)量得到了改善，工作效率大幅提升。小凡不再為業(yè)務(wù)的上、下線而發(fā)愁，企業(yè)也將在ICT行業(yè)日新月異的變化中不斷前行。