X
请选择要咨询的内容
下一代防火墙NGAF/云守 上网行为管理AC/SG SSL VPN/EMM IPSec VPN/MIG 广域网优化WOC 应用交付AD 桌面云aDesk 企业级云aCloud
开始咨询

新闻动态

News

深信服CEO何朝曦:创新智安全,融合云IT

/ 2017-09-17

本文章根据深信服CEO何朝曦在深信服创新技术论坛上的演讲整理


各位尊敬的客户,各位合作伙伴上午好!今天通过本次论坛和大家一起探讨技术的未来,分享各个行业的解决方案,希望今天能够让大家不虚此行。

下面先和大家交流一下深信服对企业IT发展趋势的看法,尤其在安全和云计算领域。先给大家看两组有趣的数据,第一幅是十年前全球市值最大的十大公司的排名,大部分是能源公司。今年,前十名大部分变成IT公司,十家公司有七家是IT公司。再看一下我们国家的数据,这是国家统计局今年5月份公布的数据,IT行业的平均工资第一次超过了金融,成为薪酬最高的行业。上面这些数据说明了一个趋势,IT对世界的影响在进一步的加大,而且影响还正在加速,甚至可以说IT将会在未来主导世界的发展。




现在各个机构都在探讨行业的数字化转型,核心是IT技术对各个行业的改造过程,从业务效率到商业模式的改造。IT影响世界,那么是什么在影响整个IT产业呢?这四个趋势相当重要:互联网、移动和物联网、云计算、人工智能。互联网实现了人的联网还有数字化变革,改变了大部分业务的形态,加速了IT的创新;移动和物联网实现了永久的在线,加速了渗透;云计算大大降低了IT创新成本,并提升IT创新的能力和速度;人工智能则可能在未来重塑整个IT产业的核心技术能力。这四个趋势是有机结合,相互影响的。但是这四个技术趋势都有一个共同的特点,就是软件驱动。




深信服主要专注在两个领域:企业级安全和企业级云计算。在这四个趋势的影响下,这两个领域会出现哪些变化,下面我和大家分享一下深信服的看法。




企业级安全

安全会在以下几个方面出现变化,应用场景、核心技术、交付形式都会发生变化。首先应该面向互联网的环境提供安全产品和方案,过去很多安全产品是面向内部环境的,而且以隔离用户和网络为主要功能。比如ACL规则,比如主机隔离等等。保障安全的基础是保护用户应用运行的环境是安全和干净的。但是如果只有环境安全这一个保证,一旦这个环境被突破,就会一马平川。事实上在互联网大潮之下,大量的应用和互联网都有联系,现在的安全方案应该假设环境是不安全的。在不够安全的环境里面保障,加密技术、身份认证技术、行为感知危险检测技术就会更需要提升。互联网环境应用和传统的应用不同,互联网的应用包括的各种移动应用都是基于外部协议的。即使是API接口也一样,不像传统应用一样,用不同的协议承载不同的应用。因此安全的层级要从网络层传输层往上走,向应用层转移。要能够识别内容和数据,比如要具备外部安全保护,要具备内容安全检查这样一些能力。这个是很多传统的安全产品所不具备的。


可以看到现在有非常多的应用都在云里面运行,云计算里面的设备难以部署,要采用软件和云服务的方式提供安全方案,承载应用的除了主机以外还多了镜像和容器。因此安全策略要能够跟随镜像和容器移动。在云环境当中为了确保虚拟主机还有容器之间的隔离,原来的网络隔离要演进为东西向流量的微隔离。在云环境当中由于部署应用的位置经常变化,因此边界变的非常的模糊,需要通过引流等方式重建安全的边界,通过软件交付的方式弹性的交付。





这个图是IAAS软件的模型,最底层是云平台,之上是云管和运维平台,再上是网络和主机安全,其上承载着用户的业务和数据。每一个层级都面临不一样的安全风险,而且各个安全风险的责任承担方还不一样。比如这个图里面蓝色的就是云计算平台方承担,紫色的就是用户自己要解决的安全问题。云安全联盟CSSA列出了201612大云安全威胁,前三个非分别是数据泄露、凭证被盗、API被黑,这个和传统的物理环境所遇到的最主要的安全问题还是不一样的。因此不仅有安全的挑战还有用户需求的挑战。最主要的还是传统安全产品的简单镜像,可以预见云计算对安全产业的影响是产品和解决方案的重构。安全需要适应的还有重要场景,就是移动和物联网。移动带来了巨大的变革,因此各个商业拥护的业务都在往移动上转,但是以深信服的客户数据统计来看,只有不到5%的用户实施了移动安全保护方案,整个市场比例更低。除了移动终端的安全挑战,物联网设备对安全的挑战更大,去年美国几乎有一半的瘫痪,就是有数十万摄像头被黑客入侵造成的。网络内部有大量的联网设备,包括各种网络设备,摄像头,打印机,生产设备,一旦这些设备被控制,会引发严重的后果。


Gartner预计到2020年联网的物联网设备超过200亿,这么多设备如何有效的保护?在四大趋势之下,安全的核心技术也在发生变化。过去边界是很清晰,我们用安全域划分安全,里面的是安全的,外面的都是不安全的。但是互联网化以后很多系统都开放了,好的坏的混到一起,用户必须把这些看清楚才能够做安全保护。在物理世界可见性也一样重要,我们看城市公共安全建设监控就是最大的一块。无论是物理世界还是网络世界,可见性是安全的基础,即使在相对安全的内部网络也一样需要。

因此各个安全产品都会把用户应用行为终端和可视技术作为基础,并且在展现可见性方面越做越好。过去我们的安全技术是以防御为主的,防御占了整个安全投资的70%多,今天防御当然还很重要,但这并不再是安全保护的大部分,因为有太多的攻击手段可以绕过传统的防御公司,各种欺诈,还有漏洞的攻击,当防御失效以后,对攻击的持续检测和对安全事件的快速响应就变的非常的重要。我们发现很多成功的入侵刚开始都并不是直接能够触及到最直接的业务和资产,所以如果能够提前检测,并且快速的做出反映就能够大幅的降低损失。安全技术的重点正在从防御技术向持续检测和快速响应转移,包括原来的防御性产品,比如防火墙,都在加入更多的检测技术,对攻击进行事前事后的检测,原来的流量拦截功能联动,实现更强的防御效果。


从前不久出现的“永恒之蓝”事件可以看出技术演进的重要性,这一次中国用户受到攻击了就是因为国内大部分的终端安全产品防御失效。它们大部分是基于特征码,黑白名单的防御技术。所以面对这种传播特别快、变种特别多的勒索病毒,厂商还来不及更新病毒库用户就“中招”了。如果能够基于勒索病毒的行为发展,杀毒软件很快就能发现问题。勒索软件有同时访问大量软件和弹窗的行为。这次攻击用了一个月以前暴出微软的漏洞,我们发现使用深信服云眼做持续监测的300多个客户,无一中招。很重要的原因是他们不断的收到来自系统发来的安全形式,逼迫他们在病毒爆发以前就打上了补丁。

在很多应急处置当中很多安全公司的工作量很大,加班加点花了很多时间,一台一台机器打补丁,一台一台地配制策略,但是如果有快速响应的能力能够一键打好所有的补丁,一键完成所有的安全策略,处置的工作量也会小很多。由此可见面对新的安全威胁,安全技术应该更多的转向持续检测和响应能力的提升。


今年初我们去参加RSA大会,一看遍地的安全产品都用了大数据、人工智能的技术,利用人工智能+大数据提高安全产品的检测能力,这个是大势所趋,深信服在两年以前已经开始这方面的投资了。但是数据并不是越大越好,数据的有效性很重要。如果产品用了很多跟用户业务无关的外部数据做分析,对用户也没有多大的价值。过去为什么很多产品都不成功,原因就是采集的数据是无效的,或者误判的数据。除了数据的有效性以外,要想做到安全的AI对数据的建模的过程也非常重要,会直接影响误判率和检出率,人工智能技术不仅能够加强检测能力,而且在未来还能代替人工做出决策,大幅度的提高安全响应的自动化水平。目前人工智能技术用于安全产业客观的说还在很早期的阶段,将来会有很大的进步。

为了应对新的环境,安全的交付也要变化。大家看到安全技术发生这么多变化,安全人才大量的短缺。我们怎么应对这个挑战?方法就是要把安全的交付变得更加简单,减少对用户的要求,简单易用的产品不容易出错还会提高安全响应的速率。





我举个例子,做传统的等保方案要一大堆的产品,能不能就交付一个平台或者很少的产品就能够实现呢?过去的安全产品要请专业的工程师配置,能不能像互联网产品一样,普通人点点鼠标就可以用呢?安全产品的日志就更复杂了,需要安全分析员解读再加工,能不能直接拿出非专业人士也能看懂的报告呢?要实现安全方案的交付背后一定需要更加先进和复杂的技术。

除了传统的安全硬件形态以外,由于云环境出现了,很多安全交付形式要变成虚拟化的形式。还有直接运行在虚拟环境当中的各种安全软件。这个时候需要考量的就是这些NFV的性能会不会影响业务,这些安全软件能不能很好的适配各种云平台。大家看到基础设施变成服务了,软件也变成服务了。安全是不是能够变成服务呢?


我们相信安全级服务一定会在未来大行其道,用户不再购买资产,而是为安全服务的效果付费。不再自己维护产品。这里所说的安全级服务和过去的人工安全服务是有很大的不同的。人工安全服务虽然省事,但是效果因人而异,成本较高。而且仍然使用大量传统的安全产品,对配置的要求很高。所以达不到弹性服务,快速响应的要求。


未来的安全级服务一定是大量的自动化的服务加少量的人工,并且通过云的方式来交付,用户快速开通服务,减少配置变更,未来的安全级服务一定也是安全云服务。很长一段时间用户使用安全交付的方式会以多种方式并存,有硬件和软件NFV还有安全级服务,是混合安全的状态。

最后总结一下观点,未来的安全一定要匹配云计算、移动和物联网这些新的产品,这是需求发生了变化。采用持续检测,人工智能这些新的技术,用软件或者服务这些新的交付方式,才能够适应新环境的变化。



企业级云计算

云计算目前主要有四种业态,最早出现的是公有云、后来在客户自主可控的需求下又出现了自建的私有云和行业云,有客户因为业务需要将私有云和公有云混合使用,就出现了混合云,后来公有云为安全性要求高的客户专门划出片物理资源来,就是托管云。在早期公有云厂商希望用户把业务都搬到公有云,因为这样成本较低。这时私有云厂商提出可以帮助客户建私有云,这样安全性好,成本也不一定高。





现在来看,用户很可能都会用。云计算提供的是一种业务的基础需求,就像每个人衣食住行的基础需求那样。每个人吃饭有时候会去饭店吃、有时候会在家自己做、有时候会在家叫外卖;坐车时有时候会打车,有时候会开自己的车,有时候会租车;住宿上既会有自己的房子,也会住酒店。这些情况和用户究竟使用公有云、还是私有云的情况非常类似,用户都有需求。

因此我们认为多种云的形态都会长期并存,并且融合、长期发展,共同替代传统的基础设施市场。用户根据自己各种业务的特点和场景,来选择使用哪种类似的云计算。比如面向消费者的业务,像电商平台,很多用户会选择使用公有云,一些安全要求更高的组织,比如政府的内部业务系统,都会使用私有云。同一个用户为了考虑备份也为了避免被单一供应商锁定,会使用多种云。当用户有不同的需求会使用多个平台管理多个云上的业务。


下面主要介绍一下深信服对私有云发展的看法。云计算的未来不仅仅是由技术驱动的,更是由需求驱动的。用户使用云计算的目标最终都是为了业务的成功,云计算带来基础设施投资的节省,从而有更多的资金投入到业务应用当中去。还有就是速度,用户通过云计算平台实现业务的快速迭代和改进,传统行业为什么比不过互联网公司呢?最主要就是业务迭代和改进的速度太慢了,在未来所有行业的迭代速度和改进速度都将大幅的提高。速度慢的快会被淘汰掉。云计算还能够带来创新,云计算平台提供的能力可以强化IT部门的业务创新能力。比如大数据的分析能力等等。





但是目前在企业级市场云计算还没有很好的实现刚刚说的这些业务目标。比如说投资,这是一个云计算平台和相关系统招标的案例,可以看到服务器、存储、网络设备、云管平台这些基础的东西占投资的60%,应用系统的投入40%都不到。还有很多项目建设,在基础设施的投入占比更高,但是真正为业务带来价值的是什么?不是服务器,不是存储、也不是云平台,而是实现业务的应用系统。但是眼下建设云当中投入的大头却是包含基础软件在内的基础设施。

再看运维的时间投入,整个运维团队在硬件运维、备份装系统,打补丁数据库的运维上面花了很多时间,在应用系统本身的运维只占整个运维工作的一小部分。


我们认为云计算要做到简化一切在非业务上的投入,除了基础设施的投入以外,还有与业务无关的各种系统软件上的投入,包括运维的成本,这个才能使得用户有更多的时间和资金投入到业务创新上去。这是示意图,随着未来云计算的发展,用户在基础设施上的综合投入要从过去的占大头逐步降低到比较低的比例。





即使是建设云计算中心,传统的做法也是比较低效的,传统的云计算中心仍然沿用了传统的IT基础设施的模型,计算、网络、存储有明确的分层,还有其他冗余的硬件设备。为了实现这个云计算中心可靠,可能还要做一个灾备中心,这又是一套硬件。这种硬件堆积的云计算中心加上基础软件,总体的成本比较高,硬件的维护也不小,如果云管平台采用一些较为复杂的开源软件,光这一块的维护投入也会很大。





如果要减少云计算中心在基础设施上面的投资,就要架构尽量简单。目前做到极简的方式就是用超融合作为基础设施,计算、网络、存储都是软件定义的。硬件用标准化的服务器和简单的交换机就可以了,这样的基础设施能够大幅降低建设成本。我们认为未来私有云的基础架构将逐步转向超融合。

再考虑到运维,私有云和公有云存在区别,公有云的运维很多是拥有开发能力的开发人员在后台运维,而私有云的后台运维直接交给用户。因此只有将维护做的非常简单才能够解放用户的时间到业务创新上,包括传统的业务上云要非常简单。用户的业务不可能到了云计算时代都变成云原生应用,还有很多使用关键数据库,比较重要的传统应用架构,云计算平台要能够很容易的支持这些应用,比如Oracle数据库,SAP等等。业务发生故障,排障往往消耗运维大量时间,排障的能力决定业务服务水平。因此新的云计算中心应该大大增加业务的可见性,业务的全过程,从网络到存储,甚至到基础中间件的过程都清晰可见,这样能够大大提高排障的速度。为保证关键业务的稳定性,云计算中心需要考虑异地灾备的方案。但传统的灾备方案,不仅建设成本高,而且复杂度也高,维护成本也高。新的云计算中心应该通过混合云或者其他新的弹性计算的技术,实现按需灾备,大大简化灾备的难度。



目前使用通用的云计算中心部署一个应用还是比较复杂的。要考量资源要用多少、还要配置基础软件、调优数据库这些都严重的拖慢了应用的迭代进步。云计算中心应该为应用准备好一切,而不用关心基础设施的配置,包括软件平台,数据库的配置等等,不用为创建和调试花时间。云计算中心应该是一个一切皆服务的平台。公有云正在走向这个阶段,私有云也会是这样,云计算中心要能够支持业务的自动化发布,实现业务快速迭代的需要。


人工智能的趋势对云计算的未来也产生了重大的影响,一个是为了让所有的应用都能够很容易的使用AI,云计算中心开始加入AI的计算能力,比如用专门的GPU,还加入AI的服务能力,比如将AI的基础框架作为PaaS功能开放出来。更高级一点的做到了AI功能的API调用,比如亚马逊和谷歌的云计算。另一个是将AI计算应用于云计算平台的调度和维护,我们看到使用预制模板为应用分配资源的方式浪费了大量的资源,而又未必能满足应用动态负载的需要,从实验室的数据来看,通过人工智能的调度方法能节省25%的资源投入,却还能提升20%的性能。通过AI代替人工来运维云计算平台,实现全面自动化运维,智能排障,也能大幅节省云计算的成本,并提升业务的质量。


最后谈一下云计算的安全。关于在云计算环境中的安全技术前面已经谈过,我们认为其中大部分安全技术将会融合到新的云计算平台。用户的业务未来一定离不开安全,因此安全一定会成为第四大基础设施。未来任何业务系统建设都需要4大基本要素,技术、存储、网络和安全。基于此,未来的云计算平台应该内置安全能力,使得用户在云当中创建的任何业务都能自动获得保护。

小结一下我们对云计算的一些看法,各种形态的云用户都会有需求;云计算的发展目标恰恰是减少用户在基础架构上花费的成本和时间;云计算要为应用服务;未来的云计算会越来越智能,安全也会成为云最基础的一部分。



©2000-2017    深信服科技股份有限公司    版权所有     粤ICP备08126214号-5

粤公网安备 44030502002384号

深信服科技
深信服科技