【IT168 现场报道】2015年10月22-24日，第七届中国系统架构师大会在北京新云南皇冠假日酒店盛大召开。从2009年到现在，我们伴随着中国系统架构师大会走过了七个春秋，从最早的500人规模逐年升级到现在的2500人规模，这些年我们目睹了整个IT架构的变迁，也见证了中国IT圈内一波又一波的架构师成长之路。

▲大会直播专题：http://oa.it168.com/topic/2015/10-20/SACC2015/

　　本届大会以“互联网+重塑IT架构”为主题，吸引了来自全国各地的架构师、工程师、开发经理、DBA、运维总监、CTO共襄盛举。在为期三天的时间里，大会将通过举办专场研讨、技术培训、圆桌讨论、微博互动、有奖调查等环节，并安排两大主场、16个分会场，我们希望为来自全国各地的专业人士搭建一个充分交流的互动平台。

　　中国系统架构师大会的第三天下午，我们迎来了主题为“下一代IT安全”的分会场。大数据/云计算是近年互联网发展的绝对主题，而面对云计算技术下的安全问题，上海有云CTO江均勇分享了他的演讲《基于云计算的安全解决方案》，为我们带来基于云计算的安全解决方案解析以及软件定义安全的探索。

▲上海有云CTO江均勇

　　云计算的发展趋势及运用

　　全球云计算市场规模维持着快速的增长趋势，预计今年将超过1800亿美金。中国的云计算市场规模也迅速发展，预计2016年国内云计算市场规模将突破741亿，但相对欧美国家仍较落后，在Gartner象限中中国没有一家云计算公司上榜。

　　云计算的应用很广泛，在移动互联网、电子商务、物联网领域都会借助云计算处理海量数据，包括数据挖掘、存储、备份，帮助企业进行数据整合，虚拟化管理以及应用平台整合。云计算的应用价值和潜力以初步显现，运用云计算可以提高生产效率，降低成本、节省能源;改变IT现状的应用模式，带动传统产业的升级改造转型，调整产业经济结构，促进商业、产业、事业模式发生变化。

　　NFV发展及对网络安全的诉求

　　2012年10月，13个电信运营商在ETSI下组建了NFV标准组织，并发布白皮书。运营商对行业和技术的垄断引导了通信技术与数据中心技术的发展方向，NFV技术集合了云计算与虚拟化、SDN技术以及开放创新思路，是对传统设备厂商“封闭式”系统的挑战。此外，运营商倡导降低Capax和Opex为核心思想，以通用计算、存储和网络资源的基础设施，采用虚拟化技术，实现网络业务功能“软件化”的灵活部署以及方案的可复制性，推动NFV的迅猛发展和应用。

　　安全功能是网络功能的一部分，NFV势必推动传统安全产品向SFV方向发展，否则无法满足NFV的需求。传统的网络安全模型的安全功能是基于特定软硬件一体化实现，硬件节点和安全功能一一绑定，安全产品向NFV演进之后，所有安全功能都以虚拟化或软件形势运行于通用硬件上，多个安全应用共享同一个物理硬件。

　　传统网络安全面对云计算的难题

　　传统数据中心的网络架构主要包含核心层、汇聚层和接入层三层架构。网络业务应用和网络安全通常以物理设备的形态接入三层架构之间，包括网络防火墙、IPS、DMZ、WAF、Cache、LB等安全与增值业务设备。为解决可靠性问题，不同网络设备和增值业务、网络安全设备通常以负荷分担或主备的方式部署，往往由不同的运维人员管理，共同维护整个数据中心的网络业务运营支撑。网络安全体系架构通常包含网络防火墙、DMZ、IPS(IDS)、WAF(针对WEB)等完善架构，通常DB还包含DB审计和防护。

　　江均勇表示，传统的网络安全产品有很多弊端，主要包括单系统处理能力有限、单系统存储能力有限、强依赖于硬件设备可靠性。除了产品本身的弊端，每台设备都需要独立配置管理，但每个厂家都有自己的配置风格，协调起来有困难。

　　在云计算环境下传统安全产品应该怎么办?云计算的网络安全有特殊的诉求：传统的软硬件一体化安全防护产品主要负责南北向流量的安全检测和防护，数据中心的流量从传统的主要为南北向转化为主要为东西向流量，东西向流量的互通缺少安全的检测和防御措施。在云计算环境中，特殊安全产品硬件的管理将带来极大的运维负担，云计算自身的弹性伸缩、故障智能迁移等优异特性在特殊硬件安全产品模式下将丧失殆尽。

　　软件定义安全的统一架构模型

　　江均勇认为，安全功能虚拟化并不等于云安全，而云安全也不等于软件定义安全。“软件定义”需要可编程能力，需要满足资源与功能的解耦，能够对大规模实现集中的管理，能够实现安全管理和控制的统一化、平台化，只把安全功能虚拟化并不能做到“软件定义安全”所能达到的作用。

　　江均勇认为基于云计算的网络安全解决方案就是实现软件定义安全，上海有云对这一理念进行了探索实验，以下是有云CloudASG软件定义安全的实现模式：

　　有云CloudASG软件定义安全的实现模式在CDN行业以及IDC领域成功实现了行业应用CDN为互联网提供网络加速服务，其特点是流量大、对性能要求高、随时可能存储突发流量，同时，CDN服务器分布于全国各地机房，运维管理复杂。有云CloudASG解决方案在每个CDN机房划出资源部署CloudASG，CloudASG与CDN结合部署于CDN节点和源站服务器之间，跨地域的CloudASG进行集中的配置管理，从而简化对安全的运维管理。

　　云计算和大数据下一代网络安全架构

　　江均勇认为：“传统网络安全旨对已知安全风险进行防护，却对未知攻击手段束手无策。传统网络安全防护中，防护总是滞后于攻击，城墙建得再高、再牢固，还是有高手穿越，总是发现被入侵以后，才进一步加强针对性防御。”

　　为此，上海有云建设了云计算&大数据统一安全架构模型，此架构模型在传统安全防护架构基础上，融入大数据与云计算的平台架构，对安全行为和数据进行动态建模和挖掘，快速发掘未知安全威胁，进行实时预警和防护，让APT无从隐藏。