|
2014年8月14日至15日,第七届移动互联网国际研讨会在北京国际会议中心隆重举行,本次大会以“4G移动互联网时代的创新与变革”为主题,围绕4G网络技术及未来发展、虚拟运营商、移动互联网应用、信息安全、物联网、融合通信等产业热点展开。以下为飞塔中国首席技术顾问谭杰在“云计算及大数据应用”分论坛发表演讲。
谭杰.gif
以下为演讲速记:各位来宾大家下午好。刚才咱们主持人也提到了,要普及云计算,用户很关心的一个问题就是安全问题。今天在这里我给大家介绍一下飞塔在云计算方面的解决方案和心得。Fortinet是中国留学生在美国创业的一个骄傲了,成立的时间虽然不长,但是Fortinet已经是全球第三大安全供应商,以及亚太区最大的专业安全厂商。我们在很当领域在安全业界都是名列前茅的。包括传统的防火墙,以及新兴的多功能的跨越网络到应用层的安全网关,就是UTM。在这个领域Fortinet公司一直以来都是排在全球的第一位。
Fortinet提供了一个非常完整的安全解决方案,这里有一个全景图,我们可以看一下,无论在企业的总部,还是在分支机构,还是移动办公的网络,以及重点云计算,数据中心还有安全管理方面,还有云端安全服务方面提供了非常全面,非常完整的解决方案。
包括有安全网关,应用安全,接入层的安全,还有广域网的VPN的接入安全,比如说web应用防火墙,邮件安全,数据库安全等等,以及网络应用交互的应用解决方案,服务器应用加速等。最后在管理上我们有各种各样的,比如说安全管理SIM,就是事件信息分析,以及我们的一些认证等等,这是我们解决方案的全景图。咱们建设云计算的时候,肯定面临多种多样的问题,相信选择Fortinet的话,能在方方面面给我们提供比较好的选择。Fortinet在行业认可度非常高,获得了各种各样网络和安全认证的数量也是所有安全供应商当中是最多的。
下面我介绍一下Fortinet在云计算方面的理念和心得。最近一段时间有这么几个发展趋势。刚才一张全景图介绍的解决方案数量也非常多,今天重点说这几方面的话题。第一对网络的性能和基础构架上的变化。我们知道云,数据业务集中之后,对性能的要求,对带宽的要求有了非常巨大的变化。SDN的技术也在云平台当中应用的越来越广泛,因此我们核心网络需要一个新的结构,有一个更高的性能。
在网络的基础协议,比如说IPV6方面的发展,边界上有一些新技术的发生。所以云计算中心边界防火墙也有新的要求。第三云架构和传统的分布式架构有一个很大的不同,数据集中了,价值成倍的增长,因此面临的威胁也是前所未有的。因此我们云计算平台,在选择安全解决方案和供应商的时候,面临的威胁不同,面临的专业程度不同。APT高级持续性威胁,我们知道很多云计算的供应商,包括谷歌这样的都曾经遭受过APT的攻击,所以我们需要在云平粜做高级威胁防御,不能满足仅仅是防火墙这样的简单的元素。
当我们这个体系越来越庞大,越来越复杂的话,如何对它实施有效的管理,也是非常重要的,所以我们要讲管理方面的话题。
Fortinet在此基础上,我们提出高级威胁防御框架主要是这五个方面组成。第一如何缩小受攻击面,我们把篱笆扎的更紧一些,门更牢一下。这里面主要是访问控制方面的东西,防火墙可以做安全区域的划分,墙认证,每一个动作,每一次访问,都只能让拥有权限的人来进行,所以这是认证方面的。漏洞的管理,如何对整个云平台,无论是主机,应用,网络,设备,协议作为有效的漏洞评估和修复,这样的话,攻击面就缩小了。接下来检测并阻止威胁。这里面有已知的威胁,比如说有木马,攻击入侵,各种不良的内容等等,都可以以相应的安全技术,比如说要防御病毒的话我们有防病毒的技术等,这是已知威胁。还有一种未知威胁。尤其是APT当中甬道的攻击,黑客研究出这样的漏洞,这样的攻击方式之后,不急于发布,而是攻击他最希望攻击的目标,之前基于特征的安全技术对此比较乏力。所以我们需要像沙河,还有用户信誉评估也采用了大数据分析的手段,来评估计算网络当中所有的用户,所有的站点,所有的元素安全信誉值,及时的发现其中的一些安全隐患。第四个应急响应,对已知未知的威胁发现之后有相应的手段。最后是评估审计和改进。针对我们之前所有的这些数据,我们做一个综合的分析,来掌握安全的态势。对安全事件可能产生的一些威胁做预警,给我们下一步的安全建设和加固提供科学依据。这样形成闭环以后,能给我们云计算平台安全水平有一个大幅的提高。
具体我们看一下有哪些东西是值得我们关注的。第一云平台上我们会面临前所未有的性能压力,我们租户越来越多,我们提供越来越多的业务,所以对网络的带宽,包转发的能力,以及对延迟,是不是大量增大,影响到业务,DDOS攻击,都会产生性能的压力。无论多么高端的防火墙放在这里面,可能用了一段时间以后,会发现系统资源的占用会比较的明显。
对一个云计算数据中心,对于边界或者核心防火墙提出了跟传统架构上不一样更高的要求。第一个对接口的要求,实际接口不是高端的代表,我们需要40G,甚至100G的接口,在我们数据中心有效简化了管理,也减少了线缆的数量,对云平台是非常重要的。第二个高性能。无论对防火墙的吞吐能力和绘画要求都提出了前所未有的要求。跨地域的同步带来的安全保密的问题,需要VPN的应用是非常多的。所以我们对边界的防火墙,VPN加解密能力也提出了很高的要求。
作为一个云平台的话,资源非常的宝贵,无论是空间还是能耗,都会加到总体的TCO当中,所以我们选择安全产品和解决方案的时候,对它的体积和能耗散热都提出了更高的要求。
对于一个防火墙来说,除了传统需要的安全特性之外,对于云新的应用层的威胁,需要有相关的防御手段,所以功能性要求方面也大大提高了。
最后如何适应云架构,多租户虚拟化的环境,如何通过API跟第三方管理系统做集成,这都是云计算对严重提出的高要求。
我们对于高性能的数据中心防火墙,有一系列的解决方案。到最高我们可以做1T以上的防火墙吞吐能力。3U机框可以做到160G的处理能力,能力和性价比在业界是非常有能力的。接口方面我们有100G接口的设备。
高性能的原理和结构是怎么带来的?这是Fortinet公司比较独特的一点,用ASIC芯片做快速的数据转发。一般的放行强用CPU加软件实现。流量大了,上面的业务和应用多了,很容易形成一个瓶颈。Fortinet的解决方案,我们用ASIC芯片分担CPU的压力。这个是网络处理器,防火墙的状态检测,VPN要用到的协商,加密解密都由这块芯片处理。这三者结合分担性能压力,使整机性能达到比较高的水平。
现在做云的时候,很重要的一点,SDN用的越来越多,大家希望软件定义网络,定义数据中心,越来越多的用软件实现。我们知道软件用的多的话有一个缺点,带来的CPU占有率越来越高。最终的途径,我们仍然需要把成熟的技术使用专用的硬件实现。我们说控制平面跟数据转发平面的分离。上层的策略定义,分发,表象的处理通过软件处理,防火墙最核心的东西,还是要用硬件来实现,它的性价比,它的竞争力才会是最强的。Fortinet的解决方案就是这样的,在上层进行绘画创建的时候,会过CPU,实际数据传发的时候,会通过ASIC芯片进行转发。这样的结构它的性能大幅度提升了,体积,功耗,包括总体的成本会大大的降低。在网络当中体现出来的延迟,吞吐,包转发能力都可以达到最高的水平。
在虚拟化云计算的环境中,如何适应云的结构。现在做网络虚拟化,安全虚拟化,有很多种形式。我们Fortinet在虚拟化方面有两种,一种是硬件的虚拟化,一种是硬件的虚拟化。所有的管理,策略,日至报表等等都是独立的,可以很好的切合我们在这种边界上多租户环境的应用场景。另外一种是软件虚拟化,通过防火墙和其他的安全设备跑在虚拟机里,可以更好的有效应用每一个物理服务器的计算资源,从而获得个性化管理性能拓展弹性的优势。
跟SDN的结合,OPENSTACK的API的结合,通过SDN将流量引导到防火墙和其他的设备,然后再转到业务和虚拟机上,实现更好的扩展性和自动部署的特性,这部分我们也做了很多的研究和产品化的工作。这是刚才说的第一点,在性能和架构上,对于性能和云计算平台的示意。
APT攻击具有非常强的隐蔽性,其中非常关键的就是0day攻击,我们传统的手段是没有办法防御。所以我们需要沙盒,在虚拟化重要中,让可移动的东西进行运行,跟我们知道的木马控制中心联系,生成文件等一系列恶意行为,都可以帮助我们判断它是可疑的,有恶意的软件。
沙盒可以很好的打断APT的链条,它可以发现0day攻击,可以有效的发现黑客供给的目标,我们及时的终止APT的过程。
Fortinet提供的沙盒系统,结合我们的设备,发现灰色和白色的文件,进行行为分析和深层的过滤。这里有这样的例子,这样的恶意软件,试图通过防火墙的时候,因为没有特征,所以没有被发现。
对管理方面的压力,我们知道在一个云平台当中,会用到很多很多的安全产品和技术。以前他们的日志是独立的,查看,管理起来很不方便,每天有上万甚至十万的日志需要我们关注它,所以给管理员造成很沉重的工作压力,同时效果又不好,因为日志多了我们没有耐心和时间去看,有一些很重要的东西就漏过去了。
Foritsiem主动发现网络中的资产,通过主动扫描,发现网络资产,通过统一的收集平台收集各种各样的安全日志。收集过来以后,可以做一些主动的安全防御。比方说前一段时间大家震惊心脏出血的漏洞。我们看到了这样的日志,需不需要关注它。Foritsiem收到这样的文件,会扫描被攻击的目标服务器,是不是还有这样的漏洞。如果补丁打了,没有这个漏洞,我们知道是安全的,这样的IPS的日志我们就可以忽略掉了,这样可以过滤掉大量我们不需要关注的日志,降低我们的管理难度,提高了有效性。还有很多其他关联分析的算法,可以把不同的安全产品产生的日志有效的关联和缩减。最后通过所有的日志综合做一个大数据的分析,对安全态势做一个感知,对可能的危险做一个预警。帮助我们简化管理难度,快速发现安全威胁,对整个的安全态势做一个整体的感知。
Fortinet为云计算平台提供最具广度和深度的安全保护,对超高性能的数据中心防火墙我们有大量虚拟化构架的解决方案。对APT攻击和0day我们有沙盒的手段。
|
