第二届中国SD-WAN峰会于11月16日在北京盛大开幕,英特尔平台方案架构师刘明璋,上元信安高级产品经理高燕为大家分享了主题为《SDWAN +安全赋能企业网络创新》的演讲。
今天的演讲主要分2个部分,第一部分是刘明璋先生会从英特尔的角度介绍SD-WAN的未来趋势,第二部分是高燕女士分享了英特尔和上元在SD-WAN上的实践。
刘明璋先生说在企业网络热门技术方向,除了SD-WAN,还有边缘计算。在过去的十多年中,由于虚拟化、存储、AI技术的推动,服务器越来越强大,计算模式一直在以数据中心主导的集中化方向进行。越来越多的企业将业务端放到公有云上,到一个集中的地方处理,这是由技术和商业模式驱动的,也是由一些需求来带动的。同时随着技术的发展以前用在服务器上虚拟化的技术、分布式存储技术、AI分析能力,今天在企业设备平台或智能设备里面也开始具备,所以更为有效的计算模式出现了,推动集中化走向了集中化和分布式相结合方式,满足更为广泛的用户体验需求。
在新的模式中,云、网络、还有边缘和智能设备中都有虚拟化能力可以更好的支持多业务,存储、AI分析的能力又可以更好的加速新业务创新,这是一个非常大的趋势。刘明璋先生认为这种趋势会影响未来网络的演进。 SD-WAN和边缘计算、 uCPE到底是什么关系?边缘计算很多时候跟垂直行业、应用场景相关。表面上看每一个行业,比如零售,工业互联网、交通、医疗,需求都不一样。但是我们如果仔细分析就能发现行业里面的共同需求。比如这些行业都有大数据的需求,大数据不仅仅是意味着AI和数据分析,还意味着数据传输,以及数据传输带来的成本。这些垂直行业的企业用户永远都需要端到端的安全,这些用户一直在优化应用体验,用户需要更快的响应速度更低低延时去开发更新的应用。这些需求其实完美地匹配今天的承载SD-WAN和安全应用的uCPE平台方案特性,可以说,“uCPE+SD-WAN+安全“就是一个边缘计算平台需要的基本能力。也为SD-WAN的演进提供新的方向。
随着AI和大数据的兴起,新应用新创新层出不穷,如果每一个新的需求给用户一个新的设备,并不是解决用户问题的根本方法。设备越来越多,用户的拥有成本(TCO)会越来越高。一个有效降低TCO的方法是提供一个支持多种企业应用的智能边缘设备,这样可以降低用户拥有成本,和智能手机融合了电话,PDA,照相机,和游戏机功能一样。在云网融合的市场机遇里,基于英特尔架构设计的方案优势体现在何处?刘明璋先生认为:SD-WAN以及边缘计算需要提供的是一个端到端的解决方案。只有英特尔架构在编排器、控制器、云,边缘(PoP),包括企业侧,可以提供一个统一的计算架构,统一的开发平台,统一的应用部署平台供方案提供商选择,资源的重用可以有效降低降低方案的开发成本。第二是英特尔平台架构提供从入门级到高端平台一致的运行环境,可以让方案具备强水平扩展能力,用户可以按照性能的需求快速灵活的选择合适的硬件平台部署,同时保持软件的最小维护代价。英特尔为uCPE提供了很多的开发工具、多样化的硬件方案加速,开发者不仅可以快速开发高性能网络转发功能,也可以让方案具备AI分析能力,比如AI可以实现更为通用应用识别和网络威胁引擎,即使是加密的流量。英特尔在推动SD-WAN,边缘计算和业务创新同时,英特尔也和合作伙伴在SD-WAN实践之路上不断投入和努力。千里之行始于足下。
下面是上元信安高燕女士演讲的内容
上元信安公司成立于2015年,公司的研发团队在网络安全领域有多年的耕耘和技术积累。目前该公司已经发展出了三条产品线,一个是比较偏传统的边界安全产品线,主要包括防火墙、入侵防御系统、VPN安全网关等。其次是云安全产品线,包括能够解决云内东西向流量隔离和防护的护云产品,以及云安全资源池等。最后一个重要的产品是上元的SD-WAN解决方案-矩阵,下面要重点介绍。
上元SD-WAN两大应用场景
上元的SD-WAN解决方案的应用场景可以划分为两大类,一类是面向企业级的用户,这些用户一般是具有多分支机构的企业。对于这种场景,上元可以提供整体解决方案,帮助企业去自建SD-WAN网络。在这个场景中,上元主要解决了三个问题。一个是企业总部和分支,以及分支和分支之间跨广域网安全互联的问题,上元的方案可以替代专线,或者作为专线的一个备份的方案。第二个是如何安全地接入云,对于这一类企业来说,它的应用部署可能会是以混合云居多,一部分业务放在公有云上,一部分业务放在私有云上。无论是企业的总部,或者是分支,都需要能够便捷、安全、高质量访问云上的数据。第三个是简化运维,大量的CPE接到网络中,如何进行集中化的管理、升级,如何能够实时地监控到设备、链路、VPN隧道的健康状态,这也是非常重要的。
还有一部分用户他们想用SD-WAN,但又不想自己去建。在这种情况下,就是上元矩阵产品的第二类应用场景,面向运营商或者ISP的。在这个场景中,上元信安提供产品和解决方案,然后协助运营商组建SD-WAN网络,由运营商来运营,以一种服务的方式提供给用户。在第二种场景里面,上元主要解决几个问题,一个是SD-WAN的解决方案,需要和运营商的骨干网络组网有一个非常好的融合,以及保证它的高可靠性。第二,上元还支持多租户,能够实现多个租户之间逻辑网络的隔离,以及用户数据和权限的隔离。第三方案要具有开放性和兼容性,比如控制器,它可以提供北向接口,可以和运营商的用户服务的系统去进行整合,实现多系统的统一的运营。之前有很多嘉宾提到了连接和通信,但高燕女士认为SD-WAN网络应该还有一个最基本的属性,即安全。随着大家意识的进化,很多企业都意识到不应该像原来那样,先组建网络,然后再谈安全的建设,这两者能不能同时进行?上元在公司创立之初就一直关注在网络安全和云安全领域,所以在这一方面上元有先天的优势。在上元信安的SD-WAN解决方案当中,实际上已经融合了很多的安全要素。
上元的SD-WAN的解决方案总体分为三个部分。首先是端侧,在这一侧上元所使用的CPE运行的是上元自主研发的安全操作系统,它本身就具有了下一代防火墙的安全能力,能够防护从网络层到应用层的网络攻击和漏洞,所以能够给用户的网络提供一个比较好的防护。同时,基于上元DPI和DFI的技术,能够识别网络流量里面三千多种应用以及他们的行为,基于应用识别可以对用户上网行为进行约束管理,或者是进行访问控制。同时,基于应用的识别,以及对链路的SLA的监测,可以实现混合链路下的智能的选路。上元的设备也具备SSL VPN、IPSec VPN的安全连接,能够对传输的数据进行加密。如此繁多的功能都跑在一个盒子上,性能怎么样?在这一方面,英特尔CPU提供了一个很强的计算能力,包括QAT的特性,能够很好地提升IPSec VPN的传输效率。在边这一侧,也就是运营商的POP点会部署上元的云网关,用户侧的流量汇聚到这里,运营商可以提供安全增值服务。例如运营商可以在他们的云里面去部署上元的云安全资源池,对引过来的流量进行清洗和过滤。同时,也可以在POP点上实现和公有云隧道的打通,实现安全的一跳入云。最后是云这一侧,也就是上元SD-WAN的矩阵器和编排器,上元控制器和CPE设备,以及云网关都实现了双向证书认证,所以信令控制和数据传输都是加密的。
上元SD-WAN使用场景新探索
用户最关心的是业务和数据,比如业务什么时候上线,业务符不符合等级保护的要求,数据是不是安全等等。这为SD-WAN的场景开辟了另一条思路,除了连接之外,能不能把计算、存储、安全、合规一体化的交付给到用户,让用户把他的重心放在他的业务上。
现在很多网络经过长时间的建设、扩容,往往呈现了一种比较僵化的状态。如果要新上线一个业务系统,会牵一发而动全身,要考虑的东西很多,而且业务上线周期也很长。上元想提供一个一体化的整体交付方案,右边有两层云架构,下面是边缘云,上面是中心云,还有上元的矩阵SD-WAN控制器,在边缘云和中心云里部署边缘计算网关,这个网关可以提供高计算能力、高带宽、低延时的云计算能力。同时,它也可以管理边缘云里面容器的集群。一般部署边缘云位置都是比较靠近用户接入的位置,在这端上,它不仅能够承担起数据转发和通信的能力,而且用户的业务也可以跑在上面。还有上元防火墙、防病毒等虚拟网元,它就是集成了计算、安全、存储、合规的一体化的方案。在中心云和边缘云之间上元通过SD-WAN组合起来,形成了一个有弹性而且安全的网络。
上图是上元信安的智慧校园的应用案例,该学校是当地的重点实验中学,除了有本部校区之外还有几个分校区,这个学校信息系统有上百个,但是信息孤岛很明显。而且应用承载平台没有一个统一的规划,所以它的信息系统的可拓展性和可用性都比较差。上元信安在该校的本部数据中心,部署了中心云计算网关,然后在各分校区部署边缘云计算网关。在中心云计算网关上,它提供下沉式的应用商店,然后可以实现一些特色的教学应用,能够统一地上线更新和分发。同时在中心节点上又可以实时地监控到学校里面的设备和安全。边缘云提供了统一开放式的应用平台,该应用平台可以覆盖到老师和学生,处理日常的工作。在中心云和边缘云之间用SD-WAN网络实现业务互通,并保障业务质量和安全性。现在学校如果要新上线一个业务系统或者新上线一个计算节点,整个的实施周期在10分钟内。整体的业务上线快,推广也快,而且还能够实现本地的数据不出校园,比如校园的视频监控数据可以在本地的处理,处理之后只需把分析结果上报给中心。同时,在云网关里面也部署了上元信安一些安全组件,包括防火墙、入侵防御等,保护边缘云和中心云的安全。
