【51CTO.com原創(chuàng)稿件】在AI、云計(jì)算、大數(shù)據(jù)等IT技術(shù)長足發(fā)展，混搭應(yīng)用的當(dāng)下，組織的網(wǎng)絡(luò)邊界越來越模糊化，對于新型威脅，基于網(wǎng)絡(luò)或設(shè)備邊界傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)應(yīng)接不暇。尤其是云計(jì)算的普及，成為各種終端隨意穿透內(nèi)部網(wǎng)絡(luò)的橋梁，網(wǎng)絡(luò)邊界也變得更加脆弱。當(dāng)我們隨心所欲的使用設(shè)備向云端讀取數(shù)據(jù)的同時(shí)，數(shù)據(jù)泄露和攻擊也增添了更多維度。

今天， 由51CTO 主辦的第十七期以“Tech Neo”為主題的技術(shù)沙龍活動(dòng)如期舉行，此次沙龍邀請了來自九州云首席架構(gòu)師龔永生 、玉符科技CTO王偉和ZStack解決方案架構(gòu)師黃木。

[[211200]]

三位老師依次分享了CORD：端局機(jī)房技術(shù)的改造探索、以及在私有云、混合云的大趨勢下，身份管理面臨的挑戰(zhàn)與對策、平臺(tái)建設(shè)網(wǎng)絡(luò)邊界管理實(shí)踐，希望網(wǎng)絡(luò)安全相關(guān)的從業(yè)人員能夠從中得到些許收獲。

CORD：端局機(jī)房技術(shù)改造探索

首位演講的是中國區(qū)第一位OpenStack Core Developer，OpenStack網(wǎng)絡(luò)專家龔永生老師，江湖人稱“OpenStack大師兄”。他的分享主題是CORD：端局機(jī)房技術(shù)改造探索。

龔永生•九州云首席架構(gòu)師

整個(gè)分享圍傳統(tǒng)局端機(jī)房如何用企業(yè)數(shù)據(jù)中心技術(shù)，如NFV，SDN和云計(jì)算等提高創(chuàng)新能力，滿足日益變化的市場需求，以及一些OpenCORD開源項(xiàng)目的相關(guān)技術(shù)。分享主要涉及什么是CORD、CORD的應(yīng)用領(lǐng)域、R-CORD深度解析以及如何參與實(shí)踐。

CORD項(xiàng)目就是將CentralOffice重構(gòu)為DC，基于通用硬件、開源軟件和SDN/NFV實(shí)現(xiàn)電信端局的轉(zhuǎn)型，并利用云計(jì)算的適應(yīng)性和通用硬件的低成本及規(guī)模性構(gòu)建更加靈活和經(jīng)濟(jì)的新一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施。如下圖，是CORD項(xiàng)目的基本架構(gòu)

通過Cloud、SDN、NFV技術(shù)，把CORD 轉(zhuǎn)換成數(shù)據(jù)中心的標(biāo)準(zhǔn)架構(gòu)，提升商務(wù)平臺(tái)的能力。在CORD架構(gòu)部分，龔老師還分享了私有appliance 的SDN & VNF化、Architecture of XOS、傳統(tǒng)ROADM、ROADM與交換機(jī)白盒化等方面內(nèi)容。

要實(shí)現(xiàn)CORD， 端局的改造標(biāo)準(zhǔn)過程如下：

1. 機(jī)房改造。主要包括土木工程，弱電改造，電源和冷卻系統(tǒng)等
2. 傳統(tǒng)設(shè)備的分拆。傳統(tǒng)設(shè)備封閉，控制面和數(shù)據(jù)面融合在一起，沒有好的北向接口，和其它的周邊系統(tǒng)的對接不友好。進(jìn)行拆分，使得控制面和數(shù)據(jù)面分離，數(shù)據(jù)面盡量簡化，控制面可以被VNF化，接口標(biāo)準(zhǔn)化，適合編排。
3. 實(shí)現(xiàn)XOS服務(wù)以及定義服務(wù)鏈。

CORD項(xiàng)目，根據(jù)場景分為：面向家庭客戶的R-CORD、面向移動(dòng)客戶的M-CORD、面向企業(yè)客戶的E-CORD。龔老師，深入剖析了這三個(gè)子項(xiàng)目的技術(shù)實(shí)踐。

混合云趨勢下，身份管理面臨的挑戰(zhàn)與對策

第二位演講的是對身份認(rèn)證授權(quán)和RTC協(xié)議等領(lǐng)域具有深厚的技術(shù)積累和對未來市場發(fā)展的極具洞察力的王偉老師，他的分享的主題是混合云趨勢下，身份管理面臨的挑戰(zhàn)與對策。此次分享主要涉及身份認(rèn)證現(xiàn)狀、什么是IDaaS和服務(wù)體系三部分。

[[211201]]

 王偉•玉符科技CTO

目前，企業(yè)的多數(shù)應(yīng)用負(fù)載已經(jīng)上云，如DevOps、災(zāi)備、協(xié)同等，還有一些正在上云，如孤立的工作負(fù)載、信息密集型應(yīng)用、高度定制化的應(yīng)用等，但也有一些應(yīng)用未上云，如帶有敏感數(shù)據(jù)的應(yīng)用、與監(jiān)管相關(guān)的應(yīng)用等。

這樣一來，在應(yīng)用、目錄、網(wǎng)絡(luò)和設(shè)備等方面就會(huì)出現(xiàn)差異化。再加上企業(yè)在混合云方面的應(yīng)用，就會(huì)帶來一系列的問題，如糟糕的用戶體驗(yàn)、企業(yè)管理方面的負(fù)擔(dān)以及安全方面的隱患。

身份管理的重要性不言而喻，但是并沒有太多企業(yè)意識到這個(gè)問題，更不知道該如何解決。玉符科技提供企業(yè)級身份認(rèn)證云服務(wù)IDaaS，實(shí)現(xiàn)身份統(tǒng)一云管理，更安全連接每個(gè)用戶、應(yīng)用、設(shè)備及文件。

在接下來的分享中，王老師提到IDaas包含單點(diǎn)登錄、移動(dòng)管理、多因素認(rèn)證、生命周期管理、安全審計(jì)、企業(yè)通用目錄等功能。

企業(yè)通用目錄，它可以解決用戶賬號和組織結(jié)構(gòu)定義、集成、存儲(chǔ)問題；無縫集成企業(yè)現(xiàn)有的各種企業(yè)目錄及賬號管理系統(tǒng)；單一管理入口進(jìn)行賬號管理，對用戶的身份，分組和設(shè)備進(jìn)行管理；存儲(chǔ)復(fù)雜的用戶及組織結(jié)構(gòu)，為用戶創(chuàng)建定制的用戶屬性，包括用戶的生物特征等第一代用戶目錄無法支持的屬性。

那么使用身份管理服務(wù)會(huì)給企業(yè)帶來什么呢？ 它可以幫助企業(yè)服務(wù)提供商專注于核心業(yè)務(wù)，在用戶側(cè)可以提升日常使用操作體驗(yàn)和身份認(rèn)證安全性。在管理側(cè)可連接企業(yè)身份信息孤島，降低運(yùn)營管理成本。

私有云、混合云平臺(tái)建設(shè)網(wǎng)絡(luò)邊界管理實(shí)踐

壓軸出場的是長期從事IT基礎(chǔ)設(shè)施相關(guān)工作，曾為數(shù)家大型集團(tuán)公司設(shè)計(jì)并完成私有云等IT基礎(chǔ)設(shè)施建設(shè)的黃木老師，他的分享主題是私有云、混合云平臺(tái)建設(shè)網(wǎng)絡(luò)邊界管理實(shí)踐。

黃木·ZStack解決方案架構(gòu)師

主要內(nèi)容涉及對云平臺(tái)建設(shè)過程中的網(wǎng)絡(luò)邊界進(jìn)行分類整理，并從中提取建設(shè)過程中針對具體設(shè)計(jì)及落地方案，為后續(xù)私有云及混合云建設(shè)提供參考。

在私有云和混合云建設(shè)中，傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的邊界仍然存在，對網(wǎng)絡(luò)中各種網(wǎng)元的基本功能的需求仍然存在，同時(shí)在虛擬化環(huán)境下，對很多網(wǎng)元提出了新的要求，根據(jù)使用場景中，也有了相應(yīng)的解決方案。

首先在內(nèi)網(wǎng)邊界上，網(wǎng)絡(luò)邊界主要體現(xiàn)在不同部門之間的網(wǎng)絡(luò)互通以及相應(yīng)可能存在的網(wǎng)絡(luò)訪問策略，在云計(jì)算環(huán)境下，通?？梢允褂胿Router或者network namespace的方式進(jìn)行三層轉(zhuǎn)發(fā)，同時(shí)也可以采用集中式或者分布式的網(wǎng)絡(luò)模型以解決相應(yīng)的問題；而在訪問策略上，通常則使用安全組以實(shí)現(xiàn)Group Based Firewall來實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)中Zone  Based Firewall的功能。

在內(nèi)網(wǎng)和外網(wǎng)通信上，則要考慮出口路由器、防火墻的內(nèi)容，在云計(jì)算環(huán)境下則要考慮虛擬網(wǎng)絡(luò)設(shè)備的性能問題以及安全的統(tǒng)一管理和展示的內(nèi)容，在某個(gè)案例中，則通過將網(wǎng)關(guān)落到硬件設(shè)備上，將NAT等網(wǎng)絡(luò)服務(wù)落到虛擬網(wǎng)絡(luò)設(shè)備上，同時(shí)滿足性能以及公網(wǎng)IP管理的功能；同時(shí)很多安全廠商也提供了云平臺(tái)安全上的解決方案。

最后在混合云場景下，出現(xiàn)了和傳統(tǒng)網(wǎng)絡(luò)中site-to-site的場景，而在解決方案上也和傳統(tǒng)方式一樣需要通過VPN或者專線的方式。在混合云時(shí)代，VPN的選擇絕大多數(shù)使用了IPSec，同時(shí)VPN的配置得到了大大的簡化，同時(shí)在專線選擇上，除了運(yùn)營商線路之外還有公有云的眾多合作伙伴的鏈路，以解決混合云建設(shè)過程中網(wǎng)絡(luò)的成本開銷以及及時(shí)性等方面的內(nèi)容。

[[211203]]

活動(dòng)接近尾聲，現(xiàn)場這些從事網(wǎng)絡(luò)安全相關(guān)工作的技術(shù)人還在和諸位老師就網(wǎng)絡(luò)服務(wù)編排、L3轉(zhuǎn)發(fā)、賬號管理等問題進(jìn)行著激烈的探討。

隨時(shí)間推移，云計(jì)算、大數(shù)據(jù)等IT技術(shù)會(huì)更進(jìn)一步融合，組織的網(wǎng)絡(luò)邊界會(huì)不斷消散，但這并不意味著數(shù)據(jù)能夠無限制的流動(dòng)。想要保障應(yīng)用和數(shù)據(jù)的安全，必須對管理邊界進(jìn)行重建，這也是眾多企業(yè)安全移動(dòng)解決方案提供商正在做的事。希望在未來既能保護(hù)數(shù)據(jù)的自由流動(dòng)，也能為組織提供更多滿足合規(guī)性要求的安全工具。

51CTO Tech Neo技術(shù)沙龍是51CTO在2016年開始定期組織的IT技術(shù)人員線下交流活動(dòng)，目前僅限北京地區(qū)，周期為每月1次，每期關(guān)注一個(gè)話題，范圍涉及大數(shù)據(jù)、云計(jì)算、機(jī)器學(xué)習(xí)、物聯(lián)網(wǎng)等多個(gè)技術(shù)領(lǐng)域。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】