中國移動(dòng)黃璐:數(shù)據(jù)中心技術(shù)發(fā)展及安全問題探討
由中國通信企業(yè)協(xié)會(huì)增值服務(wù)專業(yè)委員會(huì)主辦,C114中國通信網(wǎng)與中國IDC產(chǎn)業(yè)聯(lián)盟網(wǎng)承辦的“2010中國數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全論壇”于7月29日在北京京都信苑飯店隆重召開。結(jié)合行業(yè)所面臨的全新挑戰(zhàn)和機(jī)遇,中國通信企業(yè)協(xié)會(huì)特此舉辦2101數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全論壇。希望能夠匯集產(chǎn)業(yè)鏈的各方群策群力,進(jìn)一步提高數(shù)據(jù)中心信息安全水平,使我國的信息安全提升到一個(gè)新的高度。C114中國通信網(wǎng)對(duì)本次會(huì)議作全程直播。
以下為中國移動(dòng)研究院網(wǎng)絡(luò)研究所項(xiàng)目經(jīng)理黃璐的演講全文,主題為“數(shù)據(jù)中心技術(shù)發(fā)展及安全問題探討”。
黃璐:大家下午好!我是中國移動(dòng)研究院的黃璐,非常感謝主辦方提供這個(gè)平臺(tái)能夠跟大家交流,同時(shí)我也很高興與大家分享一下中國移動(dòng)在數(shù)據(jù)中心的技術(shù)引入與安全方面的思路和規(guī)劃。
我這部分講解包括三個(gè)部分,一是數(shù)據(jù)中心業(yè)務(wù)發(fā)展背景;二是數(shù)據(jù)中心技術(shù)發(fā)展規(guī)劃;三是數(shù)據(jù)中心安全架構(gòu)。
第一,數(shù)據(jù)中心業(yè)務(wù)發(fā)展背景
IDC業(yè)務(wù)的發(fā)展背景來看,中國的網(wǎng)民數(shù)量在迅速增長,截至2009年6月,最新統(tǒng)計(jì)中國網(wǎng)民已經(jīng)達(dá)到4.2億,而且中國網(wǎng)民使用互聯(lián)網(wǎng)的行為也在不斷的豐富,從傳統(tǒng)的獲取信息,網(wǎng)絡(luò)通信到現(xiàn)在的電子商務(wù)等等,所使用的業(yè)務(wù)越來越豐富。從企業(yè)網(wǎng)的需求來看,目前中國的企業(yè)數(shù)量最龐大的是中小企業(yè),但是中小企業(yè)目前信息化程度是比較初步的,具有巨大的發(fā)展?jié)摿Α?/P>
同時(shí)對(duì)于重要的行業(yè)用戶來說,行業(yè)用戶對(duì)于數(shù)據(jù)中心的需求也不斷的進(jìn)入更深的層次。因此,數(shù)據(jù)中心的發(fā)展,面對(duì)企業(yè)用戶也有巨大的需求。
從市場(chǎng)方面來看,目前海外的數(shù)據(jù)中心市場(chǎng)發(fā)展比較健全,以北美為例,北美一年數(shù)據(jù)中心的輸入規(guī)模是100億美元,而且增長的非常迅速。國內(nèi)的數(shù)據(jù)中心規(guī)模目前相對(duì)還比較弱,而且在收入方面與海外也還有一定差距。但是從我們本身的逐年增長來看,市場(chǎng)潛力也是非常巨大的。
從IDC推向市場(chǎng)的業(yè)務(wù)來看,目前還是以基礎(chǔ)業(yè)務(wù)為主。對(duì)于運(yùn)營商來說,在基礎(chǔ)業(yè)務(wù)方面是具有一定優(yōu)勢(shì)的,包括可以提供網(wǎng)絡(luò)帶寬,包括我們可以提供的一些機(jī)房資源、硬件資源,數(shù)據(jù)中心的業(yè)務(wù),從基礎(chǔ)業(yè)務(wù)方面來看,對(duì)運(yùn)營商來說有非常重要的意義。
技術(shù)發(fā)展與應(yīng)用,一方面,云計(jì)算逐漸在數(shù)據(jù)中心應(yīng)用,使得數(shù)據(jù)中心能提供低成本、多業(yè)務(wù)的形式。對(duì)運(yùn)營商來說,通過建設(shè)云計(jì)算數(shù)據(jù)中心,對(duì)內(nèi)可以建設(shè)低成本、高度集中的IT支撐系統(tǒng),對(duì)外可以對(duì)用戶提供低成本、形式多樣的業(yè)務(wù)。其他的,包括企業(yè)和政府信息化的應(yīng)用,包括行業(yè)融合的應(yīng)用,包括移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展,都使得數(shù)據(jù)中心成為對(duì)運(yùn)營商來說具有重大意義的業(yè)務(wù)。
因此,從前面的,包括用戶規(guī)模,包括市場(chǎng)潛力,包括技術(shù)應(yīng)用發(fā)展等各方面,我們都能看到IDC業(yè)務(wù)對(duì)運(yùn)營商來說是一個(gè)具有重要戰(zhàn)略意義的建設(shè)。
第二,數(shù)據(jù)中心技術(shù)規(guī)劃
可以分為三個(gè)方向:一是建設(shè)基于云計(jì)算的數(shù)據(jù)中心,主要帶來成本和技術(shù)優(yōu)勢(shì);二是通過引入新技術(shù),包括CDN,包括P2P,來提高業(yè)務(wù)能力;最后是通過建設(shè)節(jié)能綠色的數(shù)據(jù)中心,降低運(yùn)營成本,同時(shí)也是響應(yīng)節(jié)能減排的理念。
具體看一下中國移動(dòng)在幾個(gè)技術(shù)的具體引入思路。云計(jì)算對(duì)于運(yùn)營商來說是一個(gè)降低成本和業(yè)務(wù)創(chuàng)新的必然選擇。其中的驅(qū)動(dòng)力,包括動(dòng)態(tài)部署的特性,包括低成本,包括業(yè)務(wù)創(chuàng)新和標(biāo)準(zhǔn)化架構(gòu)的本身特征。右邊這個(gè)圖是預(yù)計(jì)的云計(jì)算數(shù)據(jù)中心的系統(tǒng)架構(gòu),其中包括虛擬化的資源,虛擬化資源又包括服務(wù)器資源,包括存儲(chǔ)資源,還有網(wǎng)絡(luò)資源,都以虛擬化的形式來提供資源的整合以及對(duì)外服務(wù)的形式。通過這種虛擬化的資源,我們可以提供的服務(wù)包括彈性計(jì)算,包括存儲(chǔ),包括資源監(jiān)控等等。另外,數(shù)據(jù)中心的架構(gòu)還包括遠(yuǎn)程維護(hù)、運(yùn)維管理等等這些部分。
具體在數(shù)據(jù)中心的建設(shè)里面,我們會(huì)有兩大關(guān)鍵的技術(shù),一個(gè)是服務(wù)器的虛擬化,主要是通過將物理資源的虛擬化,來實(shí)現(xiàn)PCU內(nèi)存、接口等等各方面資源的整合和合理的應(yīng)用。另外一個(gè)是分布式的文件和對(duì)象存儲(chǔ)系統(tǒng),這個(gè)主要是以集成的分布式的方式來提供一個(gè)高效的,可以支撐虛擬化業(yè)務(wù)的系統(tǒng)。
CDN技術(shù)方面,主要的引入目的是為了實(shí)現(xiàn)數(shù)據(jù)中心“一點(diǎn)接入,全網(wǎng)服務(wù)”的目的,CDN主要將資源分布到網(wǎng)絡(luò)距離用戶最近的點(diǎn),一方面可以改善用戶的體驗(yàn),方面可以為我的網(wǎng)絡(luò)多內(nèi)部帶寬提供高效的利用,對(duì)于云運(yùn)營商來說,在數(shù)據(jù)中心里面引用CDN,可以合理的規(guī)劃資源分布。一方面可以相對(duì)于單點(diǎn)服務(wù)和全鏡像的方式來說,可以由一個(gè)更高效的對(duì)于熱點(diǎn)內(nèi)容的分發(fā)。
下面這個(gè)圖是一個(gè)IDC中利用CDN系統(tǒng)來提供Web托管應(yīng)用的示意圖,主要是將CDN部署到各個(gè)數(shù)據(jù)中心,通過統(tǒng)一的調(diào)度平臺(tái),來實(shí)現(xiàn)一個(gè)統(tǒng)一的CDN服務(wù)。
下一步,還會(huì)在IDC中引入P2P的技術(shù)。P2P的技術(shù)主要以中國移動(dòng)提出的分布式業(yè)務(wù)網(wǎng)為平臺(tái),來提供包括各種服務(wù)的API,也包括一些軟件的應(yīng)用服務(wù)。通過P2P服務(wù),它所帶來的優(yōu)勢(shì)一方面包括合理的引導(dǎo)網(wǎng)間流量,因?yàn)楝F(xiàn)在對(duì)中國移動(dòng)來說,互聯(lián)互通的流量成為我們互聯(lián)網(wǎng)發(fā)展的一個(gè)瓶頸。另一方面,也可以結(jié)合云計(jì)算的資源,虛擬化的服務(wù),有效的整合運(yùn)營商的資源,甚至是用戶的資源,因?yàn)橥ㄟ^P2P,一部分內(nèi)容是可以通過用戶的存儲(chǔ)資源提供統(tǒng)一的服務(wù)。因此,通過P2P的引入,可以豐富IDC的業(yè)務(wù)類型,同時(shí)提升IDC的網(wǎng)絡(luò)業(yè)務(wù)能力。
綠色節(jié)能方面,我們的思路,一個(gè)是IDC的硬件資源合理布局,包括對(duì)通風(fēng)的規(guī)劃,包括對(duì)機(jī)房設(shè)計(jì)的規(guī)劃。進(jìn)一步使用節(jié)能的設(shè)備,引入新的節(jié)能技術(shù),比如說高壓控電技術(shù),還有精確制冷技術(shù)等等。最后還有一些其他的節(jié)能途徑,包括定制硬件,可以去掉一些不需要的功能,可以節(jié)省大量的資源。前面就是對(duì)數(shù)據(jù)中心引入一些新技術(shù)的具體內(nèi)容。
最后總結(jié)一下中國移動(dòng)在數(shù)據(jù)中心引入方面的規(guī)劃,在云計(jì)算前期主要是以提供基礎(chǔ)設(shè)施服務(wù)為主,后期會(huì)逐漸引入應(yīng)用平臺(tái)和應(yīng)用軟件的服務(wù)。在節(jié)能方面,前期主要通過一些實(shí)驗(yàn)試點(diǎn),來建設(shè)節(jié)能的數(shù)據(jù)中心,后期會(huì)制定一個(gè)標(biāo)準(zhǔn)規(guī)范的節(jié)能體系,來對(duì)數(shù)據(jù)中心的節(jié)能方面進(jìn)行一個(gè)規(guī)范。最后還有一些其他的新技術(shù),前期會(huì)以CDN的引入為主,后期逐漸最后P2P技術(shù)的成熟,逐步在數(shù)據(jù)中心引入P2P的方式。
第三,數(shù)據(jù)中心安全架構(gòu)
首先數(shù)據(jù)中心安全是一個(gè)層次化的,這是一個(gè)傳統(tǒng)的數(shù)據(jù)中心的層次圖,先基于這個(gè)來說明一下我們?cè)诎踩矫娴目紤]。包括互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層和運(yùn)維管理層。針對(duì)不同的安全問題,不同的層次會(huì)也不同的安全策略。
對(duì)于互聯(lián)網(wǎng)接入層來說,我們認(rèn)為主要的威脅是DDoS攻擊,DDoS攻擊主要的問題是將帶寬耗盡。針對(duì)這個(gè)問題的主要措施也比較成熟的技術(shù),就是流量清洗,會(huì)在數(shù)據(jù)中心出口部署流量清洗。目前我們已經(jīng)在骨干網(wǎng)的互聯(lián)出口,還有省網(wǎng)和骨干網(wǎng)的出口部署了流量清洗系統(tǒng),下一步隨著數(shù)據(jù)中心的建設(shè),在數(shù)據(jù)中心的出口也布局流量清洗系統(tǒng)。
匯聚層方面,一是訪問控制,針對(duì)可信不可信的訪問進(jìn)行有效的隔離了防護(hù),另一方面對(duì)入侵系統(tǒng)進(jìn)行有效的補(bǔ)充,最后對(duì)網(wǎng)絡(luò)設(shè)備,也就是承載層面的設(shè)備進(jìn)行安全加固,包括嚴(yán)格的控制訪問權(quán)限,包括對(duì)網(wǎng)絡(luò)設(shè)備本身的開放服務(wù)進(jìn)行限制。
對(duì)于業(yè)務(wù)接入層的安全,主要是針對(duì)主機(jī)資源。一方面進(jìn)行病毒防護(hù),建立集中的病毒庫、病毒引擎,周期性的來對(duì)主機(jī)進(jìn)行殺毒和清洗;另一方面進(jìn)行周期的安全評(píng)估,根據(jù)安全評(píng)估的結(jié)果,需要不斷的更新防護(hù)手段。最后對(duì)主機(jī)本身進(jìn)行安全加固。
運(yùn)維管理層的安全,分為兩個(gè)層面,一個(gè)層面是對(duì)遠(yuǎn)程接入的形式的安全防護(hù),另一個(gè)層面是針對(duì)本地運(yùn)維人員的安全防護(hù)。對(duì)于遠(yuǎn)程接入方式的運(yùn)維管理方面的防護(hù),方面是通過設(shè)置安全控制網(wǎng)關(guān),嚴(yán)格對(duì)用戶的接入權(quán)限、接入能力、接入帶寬進(jìn)行控制;另一方面,對(duì)遠(yuǎn)程的VPN的方式,包括SSL VPN,針對(duì)不同的需求有不同的形式。
暗物用戶終端管理,包括對(duì)終端安全方面的評(píng)估,包括根據(jù)安全評(píng)估結(jié)果允許他的接入。另外一方面對(duì)用戶的行為以及用戶的終端進(jìn)行周期性的審計(jì),根據(jù)一個(gè)長期的統(tǒng)計(jì)分析,需要對(duì)用戶的使用習(xí)慣做一個(gè)安全方面的分析,從而高安全防護(hù)的能力。
最后是對(duì)應(yīng)前面引入的新技術(shù),在安全方面的考慮。針對(duì)云計(jì)算,主要包括虛擬化的安全防護(hù),針對(duì)存儲(chǔ)的安全防護(hù),還有網(wǎng)絡(luò)方面的安全防護(hù)。針對(duì)CDN,主要是保護(hù)服務(wù)器避免受到DDoS攻擊,提高服務(wù)器的高可靠性。
在P2P方面,目前安全方面,因?yàn)镻2P由于節(jié)點(diǎn)數(shù)量、用戶規(guī)模比較難以控制,在這方面我們也在逐步的進(jìn)行探索。主要是要?jiǎng)澐挚尚拧⒉豢尚殴?jié)點(diǎn),對(duì)不同的節(jié)點(diǎn)加入到P2P的服務(wù)域里面進(jìn)行嚴(yán)格的控制,同時(shí)還會(huì)對(duì)它的行為以及能力進(jìn)行一些評(píng)估。
綠色節(jié)能方面,主要是考慮物理方面的安全,包括高可靠的系統(tǒng),包括一些安全要求。
前面就是在技術(shù)發(fā)展以及安全方面,跟大家分享一下中國移動(dòng)的思路。謝謝大家,我的內(nèi)容就到這里。
本文相關(guān)信息
- [新聞資訊] 中國一季度信貸激增為經(jīng)濟(jì)回暖奠定資金基礎(chǔ)
- [新聞資訊] 中國一拖開展麥?zhǔn)辗?wù)工作
- [新聞資訊] 中國一拖首季產(chǎn)銷異常火爆
- [新聞資訊] 中國一冶與撫挖重工建立合作發(fā)展關(guān)系
- [新聞資訊] 中國一冶與撫挖重工確立長期戰(zhàn)略合作關(guān)系
- [新聞資訊] 中國一重承制世界最大礦用挖掘機(jī)
- [新聞資訊] 中國一重集團(tuán)承制世界最大礦用挖掘機(jī)
- [新聞資訊] 中國一重將在大連建設(shè)世界級(jí)的新能源裝備制造基地
- [新聞資訊] 中國一重已完成產(chǎn)值100億元 全年有望突破120億元
- [新聞資訊] 中國醫(yī)療器械在中東市場(chǎng)大有可為