孙松儿:感谢各位领导,各位来宾,包括各位安全界的同仁,今天借助信息安全大会的机会,我想给大家汇报一下H3C对于信息安全的融合安全的一些不一样的理解,同时,也希望和大家分享一下H3C iSPN智能渗透网络的设计理念。今天我演讲的主题主要分三个部分。第一部分我们先看一下当前这个新业务时代主要面临的一些安全挑战,基于这些挑战我们看一下H3C相对补一样的安全首选。最后快速看一下H3C产品的最先实践。
应该说在现阶段安全主要有两个方面的事情是比较让大家关注的。第一,不管是私有云还是公有云的建设,这种云计算的建设已经是目前IT建设最重要的驱动力,在这些数据中心建设的过程中有几个方面的问题是需要考虑的,因为和传统的分布式的数据中心不同,这种高度集中的云计算的数据中心流量的模型肯定是有一些变化,在这种流量模型变化的情况下我们如何考虑它的建设。同时在高度集中的数据中心的过程中,网络安全,包括原来传统的安全防护力最赖以生存的安全防护的边界的概念逐渐模糊了。在这种情况下,如何来应对这种安全边界模糊化的挑战,当然,在这种高度集中的数据中心的建设过程中,应该说性能一直是一个比较热门的话题,它和原有的传统的数据中心的不一样是在这种高度集中的流量情况下,传统的百造、千造甚至万造的设备如何在云计算部署,这是一个重要的问题。
另外,现阶段随着IT业务,包括互联网应用的高速发展,我们也发现一些问题,主要体现在两个方面。第一,在这种高度集中的对外提供服务的数据中心过程中,现有的Web业务得到了很大的发展,在这个过程中Web安全我们如何来保证。和产品的不一样是在这种高度集中的数据中心中,任何一个服务器的瘫痪,任何一个Web应用程序的威胁影响都是极大的。当然,既然考虑下一步代,考虑新一代互联网的建设,我们说和传统的IP的建设,包括我们现在看到的正在建设的有线无线一体化的融合,在这种情况下,安全应该怎么来做。应该说在业务融合以后的流量模型相对来说和传统的相比有了很大的不一样,主要体现在几个方面,刚才给大家提了一下,高度集中的数据中心,它的流量模型已经改变了传统的分布式的模型,大规模的应用都需要通过数据中心来对外提供服务,在这种情况下,流量是从分散走向一个高度的集中,同时,在业务类型这一块,我们说除了传统的一些数据中心的业务以外,包括现有的语音、视频为代表的多媒体的业务,包括现阶段的Web2.0的流行,各种CS应用,包括博客、微博等等,应用的类型逐渐多样。在这种应用类型逐渐多样化的情况下,如何基于每种应用设定相对应的安全防护的策略,这是我们应该考虑的问题。因此,在现阶段理论模型,在安全防护的时候,需要一个层次化差异化的安全防护体系。
另外,我们看一下安全边界的模糊,其实这个图看得是比较清楚的,左边这个图是用传统的网络结构图,最主要的特点是我们看到了包括存储,包括计算,包括网络的资源由原来分层次的部署导致现在的不一化,资源池的现象比较流行。从这个图上我们也可以看到在存储计算包括网络的资源高度集中,高度整合的时候,安全的边界已经不像原来想象得那么简单了。下面存储、计算资源都是高度整合,网络资源也需要这些高度整合,这种情况下,新的安全模型需要在做安全防护的时候,一定要考虑融合于网络,并且进行深度的虚拟化,没有网络做支撑,现有的安全的部署的方式,安全部署的经验没有办法部署到类似的营运过程中去。
当然,从现阶段应用安全的威胁也是在逐步的增长。不管是从微软发布的一些系统漏洞的数据还是工信部统计的数据我们都可以看到基于Web的系统安全威胁现在成长的趋势是非常快的。在这种新一代的业务机会情况下,如何来防护这种应用上的安全威胁是需要考虑的一个话题。所以,我们说在安全的Web2.0甚至3.0需要应用上深度的检测。另外,我们看一下IT的行业要求,应该说在现有的IT的发展过程中,业务一方面是逐步的丰富了,从传统的业务到流媒体的业务,到新兴的业务形态,针对业务的识别分类流控甚至审计的要求逐步提高,一方面对于业务的要求正在迅速的复杂化,另外一方面我们也看到硬件技术的进步,从早期的X86,包括现在的多核等等,也是在一个变化的过程中。应该说在现有的万兆网络,万兆计算,万兆存储都已经是现在正在流行的趋势下,安全怎么办,千兆的安全肯定是难以适应要求。因此,在现有的环境下,万兆的环境下,我们需要面对安全的高性能,怎么来做安全的高性能。性能应用迅速增加,事后安全操作行为的审计可控,IT行业的安全可控也是一个最重要的话题。
回过头来我们再看一下现在比较热的IPV6和无线,包括我们看到的教育,我们看到的运营商都在大力的推进IPV6的建设,IPV6的安全防护应该怎么做这是一个很重要的问题。现有的运营商评估安全产品的时候,IPV6的安全作为最重要的必选部分需要进行评判。同时,从另外一个方面来看,现有的无线的建设正在如火如荼的进行,而且在现有的环境下,除了计算机,各种可以上网浏览的终端设备越来越多,这种情况下我们除了考虑无线接入的畅通,速度高的保证,我们还需要考虑无线终端的安全,无线承载的数据的检测和防护。因此以W1为主的安全是现阶段要考虑的问题。如果不考虑,意味着你建设有线无线一体化情况下安全是一个短板。很可能自己搭建一个网络被别人轻易的攻破。所以,四六融合,这种情况下安全防护应该怎么做,这是业内同仁应该考虑的问题。
基于刚才提到的安全的挑战,我们看一下3C相对来说不一样的解决方案,解决方案的核心就是SPN,SPN的智能安全生成网络最重要的核心就是面向安全的网络设计,应该说它更关注网络安全层次化的部署,强调网络和安全的融合,因为现阶段的安全已经变成了一个基础的设施,如何实现这种融合。当然,对安全威胁统一的管理以及各部件之间的统一防护如何做到,这是它的一个最重要的设计目标。基于这个设计目标,我们分解成了八个部分进行逐一的阐述。
第一部分我们首先看一下层次化的保护模式包括差异化的安全策略,上面的图体现了在做现有网络安全防护的时候需要考虑的问题,我们说终端的安全需要考虑,互联网出口的安全需要考虑,内容安全的隔离和应用系统的访问控制需要考虑,当然,各种大流量的防护我们需要考虑。包括一些Web的漏洞,病毒防护、入侵防护这个依然是需要考虑的对象。当然,在数据中心里离不开应用的优化,应用的优化也是考虑的重点。既然有这么多需要考虑的对象,我们如何来实现将这些考虑的目标分层次化的进行部署,从另外一个角度我们看网络的建设从二到七层的网络建设,需要各部件之间的协同。具体来说,首先它有基础的交换结构,交换机应该承担一些基础的,包括窗口的隔离,包括认证以及一些绑定等等,这些基础的工作交换机本身就能够做到。换句话说,隔离之后,你相互客户端之间威胁相互传播的路径就已经被切断。这是第一步。
现在很多的国家MPH的环境用得是很多的,也是很好的将各个业务相隔离的手段,对网络来说也应该具备一定的承载。第三阶段,包括路由,包括防火墙,以及访问控制,网络异常行为的分析,包括检测。从5—7的角度我们看一下识别。也就是说对于一个网络来说,对于一个安全的网络来说,它在部署的时候,需要考虑到层次化的安全角度定义,网络的安全不是说只由安全设备说了算,传统的设备也需要承担自己的职责,只有这样,这种网络才是一个立体的安全防护。
从另外的角度我们看一下,现有的网络,刚才我们提到对性能的要求,现有的网络在性能这一块还是有很多的不足,尤其是安全。对H3C来说需要突破的就是这种智能的系统,随着基础网络带宽的逐步扩充,包括IT应用的多样性,大家对贷款系数的逐步增多,安全产品走向高端已经是一个很明显的必然的结果。在安全产品走向高端的过程中,除了需要一些先进的硬件架构的设计,不管是多核加逻辑,甚至多核加内容搜索等等,除了先进的硬件架构之外,存储的产品能力也是必不可少的保证。换句话说一个超万兆的安全设备它在考虑的时候除了性能、功能之外,它的可靠性,它的低功耗等等一些绿色环保的设计都是需要考虑的话题。
所以,从这个角度来说,成熟的产品能力是必不可少的。大家也可以看到H3C的放火墙应用在一些高端的场合。同时利用一些比较高性能的插卡可以实现分布式的,安全的压力分布式的部署。
第三,我们看一下融合。因为大家刚才也提到了,安全的边界正在消失,大家在部署安全防护的时候,安全的边界很重要,基于边界实现各种各样的防护,不同的安全威胁有不同的防护对象,在新一代或者下一代的网络当中,安全的边界已经模糊,这个时候怎么办?这个时候只有一个办法,安全融合于网络。同时网络安全都要实现深度的虚拟化。在这个过程中,其实也有一些比较实实在在的突破,包括我们看到的网络产品,刚才提到的它本身是网络的一部分,也是安全防护的一个责任主体,必不可免的要承担一些功能。另外,安全产品本身需要和网络的技术做一些功能性的融合。一个更简单的例子,在一个MPS的环境里怎么部署安全,这个时候需要你的防火墙,需要你其他的安全网关支持好。同时我们也看到很多的从乡镇、县一级接入到省市一级,从VPI的转化,防火墙VP的功能也是非常重要的。除了这些之外,一个安全的设备,它的基础的,各种的路由交换这些功能也是必不可少的,需要有一个直接的继承。
当然,除了功能的融合以外,安全边界的时候,大家也看到网络的安全系数相对比较简单,它的层次,角色定位比较低,如果我需要一个深入的专业的安全设备的融合,这个时候可以通过一些专业的安全插卡的方式和网络无缝,将插卡插入交换机,插入路由器之后,可以随心所欲的配置各种规则,基于各种规则实现安全内容的检测。在这个基础之上,结合现有的网络的虚拟化已经做得比较好了,包括存储,包括服务,包括计算资源。网络的虚拟化现在也已经进行得如火如荼,安全需要深度的虚拟化。只有这样,你才能够把高度集中环境下的各个业务单元劈开,给它实施不一样的差异化的安全策略。
另外,在网络建设的过程中,还需要考虑一个人的因素。换句话说,传统的安全建设,我们在配各种安全策略的时候,更多的时候我们是以设备为单位进行一个安全策略的配置。我们需要做到基于角色,基于业务我们进行差异化的安全策略的配置。它最核心的目标我们希望当用户从接了网络开始,它接入的安全论证,它对于业务流量,对于应用系统访问的控制,包括对一级业务应用安全的防护,以及如果它进行一定的出口的话,它带宽的安全,如果是管理员,我要有一些事后的审计,基于他的这些行为应该依赖统一的用户管理平台,把一一角色的行为进行一个所谓的安全管理。这样对于一个网络来说,如果你是本地的员工,如果你是合作方的员工,如果你是参观的客户,首先你们接入网络的时候会有差异化的安全策略,在进行安全检测的时候,本地员工可能直接通,不需要过防火墙,合作方可能需要过IPS,可能需要过防病毒等等。这种差异化的安全策略是非常重要的,这也是后续安全防护的一个很重要的概念,我们需要实现基于角色的安全的策略和安全的监管。
从另外一个层次我们可以看一下,当前在云计算,私有云、公有云正在快速发展的过程中,安全作为一种服务正在成为这些服务商的新的业务点,包括国外最明显的例子,运营商也在试图做一些基于流量的防护,这也是一个安全接服务的最直接的体现。在这种情况下,建设一个集中的安全业务中心,它是一个必然的趋势。在这个集中的安全业务中心里,你的服务的规模,你的服务的种类可以随着用户的需求动态的扩展。另外,每个客户的需求是不一样的,接合不同的客户,在集中的业务中心里需要做到深度的虚拟化,每个用户都有自己的管理页面,有自己的安全策略的部署模型,只有这样,这种差异化的安全及服务才能变成现实。在这个过程中,除了设备的功能,除了设备的性能,这些东西以外,除了业务种类的丰富以外,虚拟化,包括差异化的策略,包括一些统一的资源的管理应该是建设的重点。
另外,我们再看一下IPV6和无线,应该说IPV6现在的建设已经是势不可当,包括教育,包括运营商都已经在大力的推进,在这种情况下IPV6的安全怎么办?包括在教育,包括在运营商,这是个很现实的问题,包括防火墙,包括入侵检测,包括应用检测都需要考虑IPV6的安全支持。另外一个方面,无线接入的时候我们刚才提到客户端的安全接入是不是接入到非法的网络,是不是有非法的客户端接入,是不是有假冒的接入我的网络。在整个的无线流量的传输过程中无线流量的监控包括承载的半径公斤是不是存在,无线的入侵点的防护,这些都是无线的安全建设需要考虑的重点。只有把IPV6,把无线的安全做了充分的考虑,才能应对即将到来的四六的大融合,包括有线无线一体化快速的推进。
传统的安全建设我们更多的看到都是相对被动的响应,尤其是包括现在很多的用户在部署了安全系统之后,得到的仅仅是一个我现在知道网上有哪些安全威胁,这些安全威胁的结果有可能是系统,做得好系统自动给你呈现出的结果,做得差可能自己还需要做一些分析。做到这一步之后,实际上是远远不够的,因为人不可能永远盯在计算机前面,人的反应永远是滞后的。所以,这种情况下我们需要转变思路,我们需要一种积极主动的防御策略。不管是防火墙,不管是IPS,不管是防病毒还是正在建设的安全业务中心里各种病毒的预警,各种入侵检测的报告,都应该成为我们网络安全攻击的一个判断。基于这些网络安全攻击的结果我们可以通过你知识库的定义,可以对这些安全性做一个优先的划分,对我们认为的高优先级的安全事件,我们应该允许它实现一个主动的自动的响应。在这个情况下我们看一下,当一个用户,当防火墙,当其他的安全的探征告诉我有一个的时候,我会去看是不是匹配,通过你的安全平台,结合你网络的平台,实现对这个用户攻击路线的展示,对这个用户攻击接入的交换机接口,把这个用户提上线都是你可以考虑的。从另外一个角度,当我发现一种新型的安全威胁的时候,通过我的安全管理中心的平台,我还有一件事是可以做的,就是基于这种新型安全的策略批量的推送到防火墙,推送到我的IPS,推送到网络的控制单元上去。所以,从这个角度看,在现阶段,光部署一些探测系统,了解安全,了解网络的安全状况是不够的,更多的时候我们需要积极主动的让网络自身来响应这种安全的威胁。
从另外一个方面我们刚才谈的,结合刚才说的这么多点,有一个最重要的地方我们说的就是统一的集中的安全管理运行,因为对一个网络来说,如果你要想深入的了解现阶段的网络威胁,我们说你需要一个安全事件的分析系统,你需要一个病毒漏洞的监控系统,包括你需要一些异常流量的监控系统,同时,对于这些安全设备,你还需要一些统一的安全集中配合管理的策略器,包括文件管理,这些都是相对独立的一些安全的工具,这些工具怎么把它有机的整合起来,我不想一个管理员上去之后登录无数个系统,每个系统的结果都是相互割裂的。所以,这种集中的安全管理平台对一个企业的安全防护水平的体验,它的提升是有非常大的帮助的。基于这些安全的资源平台,不管是防火墙,不管是IPS,各种各样的防护系统,我们应该有一些基础的管理中心,包括合规的安全审计中心,这套集中管理平台它的目标就是希望给一些高端的用户,当他们设计和规划的时候,提供一个技术的支撑。我们如果你想做风险评估,做安全预警的话,这些原始的探征对你来说是非常重要的。这个时候设备上的集中的管理平台就是它技术的最大支撑。
这是我们看到的针对新型的安全威胁,包括一些安全的挑战,或者一些现阶段需要考虑的安全问题,我们的一些相对不一样的解决思路和办法。接下来我们看一下H3C的SPN解决方案,从这个解决方案大家可以看得比较清楚,对一个企业来说,它的数据中心,内网管理,外延区域等等,区域得划分做得比较详细。基于这个我们需要考虑什么呢?第一,远程的安全接入的解决方案,你有合作方,你有用户,你有分支机构,这个时候你需要考虑移动用户的接入,需要考虑备份。同时任何一个企业都有一个宽带上网行为管理,针对这个管理我们有一个接入的带宽管理,接入的安全审计。另外,我们说在外部的合作方和你内部的系统之间,是一个相互的边界的地方。这种边界的地方,这种互联网的边界,都需要一些相应的部署,更多的我们看到的在以后,在高速的超规模的数据中心的建设中,需要看到的是数据中心的保护和优化,这里面除了我们这种应用的优化,安全的加固,流量的清洗,另外包括安全的虚拟化,包括数据中心个人,包括数据中心用户的安全的接入,这都是需要考虑的问题。
另外一个方面,任何一个企业,如果相对比较小的化,你的内网也是不安全的,涉及到内网终端的安全关系,内网各个安全区域的隔离,各个部门之间的隔离,区域的隔离,当然,在内网我们说病毒防护这套系统也是非常重要的。结合这些端到端的解决方案,它一定有一个强大的基于全网统一的安全管理平台做支撑,也就是说当你部署这么多的解决方案的时候,虽然它是各个独立的解决方案,但是它是通过统一的管理平台将他们有机的结合在一起,利用这种管理平台能够给你提供一些智能化的分析报告。
另外,我们说这套解决方案也得到了非常广泛的市场应用,包括我们说的政府、教育、金融、编辑人员,大企业,以及运营商,我们都有很多很多的非常成功的经验,包括在国内的一些大型的数据中心的建设过程中,都积累了非常好的一些最佳的实践。我们也希望后续和广大的安全业的同仁一道,把中国信息化的建设水平提高到一个新的高度。我的讲话完了,谢谢大家。
(责任编辑:陈曲)