華為企業(yè)網(wǎng)絡營銷運作部 張東

　　數(shù)據(jù)中心安全管理員的心聲“我們的數(shù)據(jù)中心自身業(yè)務上千，一個業(yè)務分很多模塊，相互交互一下，這要設置多少東西向的訪問控制策略，多得嚇人嘍。”

　　——數(shù)據(jù)中心安全平臺管理員小凡

　　國內(nèi)某大型互聯(lián)網(wǎng)企業(yè)A已成功運營其自建云數(shù)據(jù)中心，除了承擔企業(yè)內(nèi)部的若干業(yè)務以外，也會面向外部提供服務器的托管服務。隨著A公司的不斷發(fā)展，經(jīng)常會有新業(yè)務上線，每次為新業(yè)務部署了服務器、虛擬機后，就需要對網(wǎng)絡的設置以及安全策略進行調(diào)整。而這個安全策略的調(diào)整過程也是讓數(shù)據(jù)中心安全管理員小凡最頭疼的事情。為了滿足數(shù)據(jù)中心南北向的合法訪問，需要在匯聚與邊界針對新業(yè)務設置訪問控制，更麻煩的是數(shù)據(jù)中心內(nèi)部東西向的安全策略，不但要關注不同租戶之間的隔離，還要考慮同一租戶不同業(yè)務之間，甚至同一業(yè)務不同模塊之間的策略。像A公司運營的大型數(shù)據(jù)中心，業(yè)務超過千種，單臺交換機上東西向的訪問控制策略平均達3000條，本地數(shù)據(jù)中心從核心、匯聚到接入所涉及到的交換機等網(wǎng)絡設備不下百臺。30萬條策略的管理維護工作量巨大，要在2～3小時這樣短的時間內(nèi)更新策略，配置出錯的風險極高。尤其是當下數(shù)據(jù)中心業(yè)務與網(wǎng)絡變化普遍，每次都手工配置刷新若干設備的安全策略將十分復雜。而且A公司還部署了檢測平臺進行安全威脅檢測，當出現(xiàn)威脅告警時，小凡需要及時將可疑流量引入相應安全設備進行處理，如攻擊防護、入侵檢測、Web防護等等。然而新業(yè)務上線之初，安全威脅誤報往往較多。通常為了盡可能降低網(wǎng)絡延時，數(shù)據(jù)中心安全設備都是旁路部署的，因此小凡每次都要針對告警手工配置交換機或者路由器才能將可疑流量引出，這樣會造成少則幾天多則一個月的策略調(diào)優(yōu)過程。冗長的調(diào)優(yōu)過程導致安全管理成本無法匹配業(yè)務的快速發(fā)展要求，而且還要冒著調(diào)整失誤引起業(yè)務中斷、客戶投訴的嚴重風險。如何擺脫當前令人苦惱的工作局面，是小凡面對的問題。

　　SDN：簡化云數(shù)據(jù)中心安全管理數(shù)據(jù)中心頻繁接受來自外部的訪問，業(yè)務可靠性至關重要。對數(shù)據(jù)中心運營者來說，為用戶提供快速、可靠的訪問體驗，是其部署、管理數(shù)據(jù)中心網(wǎng)絡的第一要務。隨著云計算與虛擬化技術的成熟和盛行，數(shù)據(jù)中心網(wǎng)絡不斷向更佳用戶體驗、超大容量、動態(tài)、自動化和集中管理的方向發(fā)展。SDN的誕生恰好滿足了上述數(shù)據(jù)中心發(fā)展的核心訴求。特別是在云數(shù)據(jù)中心安全方面，通過SDN能夠極大地改善安全策略配置和管理的復雜度，降低企業(yè)IT的運維成本。實際上，在2007年SDN尚處于學術研究階段時，斯坦福大學的學生啟動了一個關于網(wǎng)絡安全與管理的項目——Ethane，通過一個集中式的控制器，讓網(wǎng)絡管理員可以方便地定義基于網(wǎng)絡流的安全控制策略，并將這些安全策略應用到各種網(wǎng)絡設備中，從而實現(xiàn)對整個網(wǎng)絡通信的安全控制。SDN天生帶有簡便安全策略管理的基因。

　　華為云數(shù)據(jù)中心安全解決方案正在向SDN演進。在高帶寬時代，數(shù)據(jù)中心運營商一直擔心安全設備的性能會影響數(shù)據(jù)中心業(yè)務、成為瓶頸，所以通常安全設備采用旁路部署。華為的安全設備具備全業(yè)務資源池化的能力，即將防火墻、IPS、Anti-DDoS及SWG等功能集中，形成安全防護池。安全資源池通過網(wǎng)絡安全設備的虛擬化能力，突破性能瓶頸的限制，以達到與數(shù)據(jù)中心防護需求最佳匹配的效果。當云數(shù)據(jù)中心檢測平臺發(fā)現(xiàn)特定威脅流量后，管理員只需設置相關策略，由SDN控制器調(diào)度，即可將策略統(tǒng)一下發(fā)到整個數(shù)據(jù)中心內(nèi)部相關的交換機上，將可疑流量全部牽引至安全資源池進行過濾或者防護。采用的安全策略有所差異，所觸發(fā)的安全機制進而不同，以實現(xiàn)資源的動態(tài)分配。特別是像A公司這樣的云數(shù)據(jù)中心，也提供租賃與托管服務，對于政府、金融等行業(yè)的租戶來說，必須要通過防火墻進行服務器的隔離，以便滿足合規(guī)性要求。那么在數(shù)據(jù)中心中便可以通過安全資源池中的防火墻來滿足政府、金融行業(yè)租戶的需求，僅僅是將其服務器的訪問流量全部引流經(jīng)過防火墻的保護，對其他租戶的業(yè)務流量仍然可以保證較高的轉(zhuǎn)發(fā)效率，不會產(chǎn)生絲毫的影響。

　　以下結合實例，對安全資源自動調(diào)度的整個過程進行更加清晰的解釋。當數(shù)據(jù)中心某租戶提出需要對自己的Web業(yè)務進行防護，數(shù)據(jù)中心管理員接收到該需求后：

　　首先，根據(jù)要求在數(shù)據(jù)中心控制器上設置安全策略；

　　接著，數(shù)據(jù)中心控制器將用戶/用戶組信息轉(zhuǎn)化為相應的服務器IP地址映射。由于控制器已經(jīng)掌握整個數(shù)據(jù)中心網(wǎng)絡的組網(wǎng)情況，所以能夠輕而易舉地找到IP地址所連接的接入交換機；然后，控制器下發(fā)引流策略，更新接入交換機上的轉(zhuǎn)發(fā)信息，使得需要處理的流量能夠被轉(zhuǎn)發(fā)至安全資源池內(nèi)的Web安全網(wǎng)關。同時，控制器通知防火墻對該IP地址的Web流量做過濾操作；

　　最后，防火墻接收到用戶的所有流量，按照控制指令，進行協(xié)議識別后對Web數(shù)據(jù)流執(zhí)行過濾和防病毒檢查，而其它流量進行正常轉(zhuǎn)發(fā)處理。

　　在華為云數(shù)據(jù)中心安全解決方案中，SDN控制器如同整個方案的大腦，統(tǒng)管全局。無論數(shù)據(jù)中心網(wǎng)絡和業(yè)務如何變化，無論涉及到改變的交換機、路由器、安全設備數(shù)量有多少，管理員只需根據(jù)業(yè)務、租戶、安全策略直接在控制器進行任務編排，由控制器將任務編排轉(zhuǎn)化為IP地址、訪問控制、轉(zhuǎn)發(fā)路由、安全防護的配置策略，再自動分發(fā)到相應的網(wǎng)絡設備。華為云數(shù)據(jù)中心安全解決方案改變了數(shù)據(jù)中心安全設備分層次部署的傳統(tǒng)模式，組建安全資源池，集中部署，降低了企業(yè)采購成本。安全策略設置根據(jù)租戶需求靈活、簡單，高度客戶化，徹底屏蔽IP與端口等專用術語。安全資源調(diào)度過程統(tǒng)一管理，自動下發(fā)，適應業(yè)務與網(wǎng)絡快速變更。實際操作中通過管理員與控制一對一的操作即可完成，最大限度地減少工作量和運維成本，縮短了策略調(diào)優(yōu)的周期，也避免了在紛繁復雜的大量配置中發(fā)生的誤操作，保證了策略配置的一致性。

　　小凡是云數(shù)據(jù)中心管理員的典型代表，在華為基于SDN的云數(shù)據(jù)中心安全方案的幫助下，工作質(zhì)量得到了改善，工作效率大幅提升。小凡不再為業(yè)務的上、下線而發(fā)愁，企業(yè)也將在ICT行業(yè)日新月異的變化中不斷前行。