聚焦AI与安全,洞察本质,化繁为简。
点击上方蓝字,关注本号,持续进步。
华为云的第一个版本2014年开始准备,2015年正式在廊坊上线。当时的版本是基于私有云开发的,以openstack为基础。这个也是华为云的网络1.0版本。
当时安全的人很少,加在一起二三十人吧,这些人要做安全设计,安全工程,开发安全服务,管安全运维运营,完全不够用。按照拿来主义的原则,能用现成的就用现成的,毕竟华为还有个安全产品线,外边还有那么多安全公司。当时用的三方设备主要有三个:防火墙,WAF(用于Console防护),AntiDDos ,后来又加上加密机,主机安全等。
其实那时候不光安全菜,各个地方都菜。研发流水线不行,发个大版本都奔一个星期去了。运维没有自动化,连CMDB都没有,大家弄个Ansible就开干。领导们最多的一句话就是“肩扛手抬”,现在是好了,这段历史也不应该被忘记。
网络1.0版本沿用了私有云的隔离方案,运维管理,基础服务等区域之间采用了防火墙来隔离。NAT服务用的也是防火墙。
云的NAT服务很有意思,它是一个完全独立的服务。用过云的都知道,你在云上的虚拟机里,是看不到公网IP的,这个关联关系就在NAT服务里。虚拟机在租户之间IP地址是可以重复的,比如,都可以用192.168这样的地址,关联关系如何建立?其实云在虚拟机之下的虚拟网络,有一个大二层网络,在这个网络里,每个虚拟机都有一个唯一的IP地址,这个IP地址映射到NAT服务器上,可以建立一对一的映射关系。防火墙恰好有NAT功能,就直接可以用了。
但防火墙只支持双机,不支持集群化部署,到网络2.0的时候,流量就扛不住了,很快被基于服务器的集群化NAT服务取代,这是第一个被取消的网络安全设备。
防火墙应用的第二个场景是管理域隔离。在网络1.0的时候,华为云沿用私有云的隔离方案,在管理面分了几个区,各区域之间用防火墙隔离。
华为云在第一个版本完成后,网络首先完善了模板,有个基础的HLD文件,就是一个巨大复杂的excel(用excel,对新局点部署非常友好)。前边说的大二层网络,在各个区域,其子网段是不一样的。通过HLD,输入子网段,就快速生成一个新局点的HLD,实现自动化的网络配置和部署能力。
以华为的能力,用防火墙还是很强的。在1.0完成后,迅速将防火墙策略进行了基线化处理,形成标准模板。这个模板结合HLD,形成了防火墙的策略自动化,这个动作对于新局点的快速部署非常有效,当时正是大规模建设期,如果没有这个,不敢想象其难度。这个兄弟是从华为IT过来的,对防火墙策略的这个操作,我还是很佩服的。
网络从1.0很快升级到2.0,防火墙应对还不错,到网络3.0的时候,云的规模迅速增长,各种服务产品迅速增长,每个新服务增加的时候,都会要求新的防火墙策略。比如很多软件是基于开源开发的,直接沿用了开源的端口,这些就要打通。但是防火墙策略是基础安全策略,你不是想打通就打通的,这个需要一个决策机制。这个决策机制最后放到了安全TMG。
每次评审防火墙策略的时候,都是我最头疼的时候。即使我和安全SE们对云再了解,面对一个如此大的网络,一条策略下去,会不会有负面影响,也很难评判。理论上我有否决权,但你否决了,业务上不了线,马上会有大佬打上门来。这个事,能做的,就只有尽量缩小策略的影响范围,比如,把一条策略分成多条,细化IP段,基本如此。策略经过TMG评审,如果出问题,我要负责任的。你看,我一个堂堂的安全TMG主任,妥妥地变成了背锅侠。
事情如此,慢慢讨论就多起来,大家开始反思这个防火墙是否合适。云的网络是全自动化的,但偏偏加上这么个手工的防火墙,确实格格不入。但真正带来变化的,还是性能问题。随着业务量的迅速增长,这个防火墙的性能也开始扛不住,在云的高层决策下,2021年启动了一个专项任务,名字就叫“去墙”。用的思路很简单,就是把隔离分布化,用微分段的思路,启用主机层面的防火墙,提升自助式管理,让各个服务自己根据需要去配置自己的防护策略。
至此,防火墙要逐渐全部退出历史舞台。
物理防火墙发生发展有其历史背景,现在也是合规最重要的组成部分。但在超大规模网络里,这个东西确实难以使用。所以,大型网络的设计,不能只要理想的安全,可用性,可发展也非常重要,考虑到这个问题,尽量避开防火墙。
点赞转发,与朋友分享价值信息。
您的支持就是对我最大的鼓励。
