华为企业网络营销运作部 张东

　　数据中心安全管理员的心声“我们的数据中心自身业务上千，一个业务分很多模块，相互交互一下，这要设置多少东西向的访问控制策略，多得吓人喽。”
　　——数据中心安全平台管理员小凡
　　国内某大型互联网企业A已成功运营其自建云数据中心，除了承担企业内部的若干业务以外，也会面向外部提供服务器的托管服务。随着A公司的不断发展，经常会有新业务上线，每次为新业务部署了服务器、虚拟机后，就需要对网络的设置以及安全策略进行调整。而这个安全策略的调整过程也是让数据中心安全管理员小凡最头疼的事情。为了满足数据中心南北向的合法访问，需要在汇聚与边界针对新业务设置访问控制，更麻烦的是数据中心内部东西向的安全策略，不但要关注不同租户之间的隔离，还要考虑同一租户不同业务之间，甚至同一业务不同模块之间的策略。像A公司运营的大型数据中心，业务超过千种，单台交换机上东西向的访问控制策略平均达3000条，本地数据中心从核心、汇聚到接入所涉及到的交换机等网络设备不下百台。30万条策略的管理维护工作量巨大，要在2～3小时这样短的时间内更新策略，配置出错的风险极高。尤其是当下数据中心业务与网络变化普遍，每次都手工配置刷新若干设备的安全策略将十分复杂。而且A公司还部署了检测平台进行安全威胁检测，当出现威胁告警时，小凡需要及时将可疑流量引入相应安全设备进行处理，如攻击防护、入侵检测、Web防护等等。然而新业务上线之初，安全威胁误报往往较多。通常为了尽可能降低网络延时，数据中心安全设备都是旁路部署的，因此小凡每次都要针对告警手工配置交换机或者路由器才能将可疑流量引出，这样会造成少则几天多则一个月的策略调优过程。冗长的调优过程导致安全管理成本无法匹配业务的快速发展要求，而且还要冒着调整失误引起业务中断、客户投诉的严重风险。如何摆脱当前令人苦恼的工作局面，是小凡面对的问题。
　　SDN：简化云数据中心安全管理数据中心频繁接受来自外部的访问，业务可靠性至关重要。对数据中心运营者来说，为用户提供快速、可靠的访问体验，是其部署、管理数据中心网络的第一要务。随着云计算与虚拟化技术的成熟和盛行，数据中心网络不断向更佳用户体验、超大容量、动态、自动化和集中管理的方向发展。SDN的诞生恰好满足了上述数据中心发展的核心诉求。特别是在云数据中心安全方面，通过SDN能够极大地改善安全策略配置和管理的复杂度，降低企业IT的运维成本。实际上，在2007年SDN尚处于学术研究阶段时，斯坦福大学的学生启动了一个关于网络安全与管理的项目——Ethane，通过一个集中式的控制器，让网络管理员可以方便地定义基于网络流的安全控制策略，并将这些安全策略应用到各种网络设备中，从而实现对整个网络通信的安全控制。SDN天生带有简便安全策略管理的基因。
　　华为云数据中心安全解决方案正在向SDN演进。在高带宽时代，数据中心运营商一直担心安全设备的性能会影响数据中心业务、成为瓶颈，所以通常安全设备采用旁路部署。华为的安全设备具备全业务资源池化的能力，即将防火墙、IPS、Anti-DDoS及SWG等功能集中，形成安全防护池。安全资源池通过网络安全设备的虚拟化能力，突破性能瓶颈的限制，以达到与数据中心防护需求最佳匹配的效果。当云数据中心检测平台发现特定威胁流量后，管理员只需设置相关策略，由SDN控制器调度，即可将策略统一下发到整个数据中心内部相关的交换机上，将可疑流量全部牵引至安全资源池进行过滤或者防护。采用的安全策略有所差异，所触发的安全机制进而不同，以实现资源的动态分配。特别是像A公司这样的云数据中心，也提供租赁与托管服务，对于政府、金融等行业的租户来说，必须要通过防火墙进行服务器的隔离，以便满足合规性要求。那么在数据中心中便可以通过安全资源池中的防火墙来满足政府、金融行业租户的需求，仅仅是将其服务器的访问流量全部引流经过防火墙的保护，对其他租户的业务流量仍然可以保证较高的转发效率，不会产生丝毫的影响。
　　以下结合实例，对安全资源自动调度的整个过程进行更加清晰的解释。当数据中心某租户提出需要对自己的Web业务进行防护，数据中心管理员接收到该需求后：
　　首先，根据要求在数据中心控制器上设置安全策略；
　　接着，数据中心控制器将用户/用户组信息转化为相应的服务器IP地址映射。由于控制器已经掌握整个数据中心网络的组网情况，所以能够轻而易举地找到IP地址所连接的接入交换机；然后，控制器下发引流策略，更新接入交换机上的转发信息，使得需要处理的流量能够被转发至安全资源池内的Web安全网关。同时，控制器通知防火墙对该IP地址的Web流量做过滤操作；
　　最后，防火墙接收到用户的所有流量，按照控制指令，进行协议识别后对Web数据流执行过滤和防病毒检查，而其它流量进行正常转发处理。
　　在华为云数据中心安全解决方案中，SDN控制器如同整个方案的大脑，统管全局。无论数据中心网络和业务如何变化，无论涉及到改变的交换机、路由器、安全设备数量有多少，管理员只需根据业务、租户、安全策略直接在控制器进行任务编排，由控制器将任务编排转化为IP地址、访问控制、转发路由、安全防护的配置策略，再自动分发到相应的网络设备。华为云数据中心安全解决方案改变了数据中心安全设备分层次部署的传统模式，组建安全资源池，集中部署，降低了企业采购成本。安全策略设置根据租户需求灵活、简单，高度客户化，彻底屏蔽IP与端口等专用术语。安全资源调度过程统一管理，自动下发，适应业务与网络快速变更。实际操作中通过管理员与控制一对一的操作即可完成，最大限度地减少工作量和运维成本，缩短了策略调优的周期，也避免了在纷繁复杂的大量配置中发生的误操作，保证了策略配置的一致性。
　　小凡是云数据中心管理员的典型代表，在华为基于SDN的云数据中心安全方案的帮助下，工作质量得到了改善，工作效率大幅提升。小凡不再为业务的上、下线而发愁，企业也将在ICT行业日新月异的变化中不断前行。