招商金科云网安全监控运维实践

项目背景

在招商局金融业务“4+N”布局指导下，招商局金融集团于2017年独资发起创立招商局金融科技有限公司（以下简称“招商金科”），旨在利用科技建立强大的金融服务平台、推动金融科技的深度应用、实现科技创新和业务创新，促进招商局金融板块融合、促进招商局实体产业和金融产业融合，助力打造招商局金融生态圈。

招商金科通过建设自主的云平台统一管理招商局集团各个与金融业务相关子公司的IT支撑服务工作。国家“十三五”规划的出台使得金融行业大举上云；随着集团“4+N”业务布局的推进，创立伊始招商金科的IT规模在集团原有基础上迅速壮大，与之相应的网络和安全运营的压力接踵而至，迫切需要实现云网流量和安全的可视化。

云网络的安全运维

在企业上云的过程中，数据中心的云化使得虚拟网元的类型和数量呈指数级上升，相应的虚拟网元的状态监控和配置管理成为了新的挑战。招商金科的生产系统采用了自研的OpenStack云平台，借助云服务的敏捷和灵活性大大提升了业务创新的能力。

在大规模的企业和组织中，经常出现多种传统网络工具并存的情形，不同的工具通过互相协同可以提供整体的网络诊断能力。但与传统网络相比，虚拟网络的规模和层级大幅增加，虚拟网络中的监控盲区因此变得更大；由于对虚拟网络缺乏有效的监控手段，造成了业务监控路径不完整、流量分析难深入、多种工具难协同的局面。

1. 分散的应用和业务数据。云计算是天然的分布式系统，业务的弹性伸缩让集中式的管理网络成为挑战，数据的采集、存储和使用缺乏统一的解决方案，数据缺失和割裂进一步影响了安全运维的效率和业务的连续性。
2. 海量网元、服务的状态。云服务的敏捷和弹性使得虚拟网络的规模能够动态扩张，虚拟网元和网络服务的状态缺乏必要的监控，当业务出现故障时，难以对虚拟网络问题快速定位。
3. 服务依赖和调用关系复杂。企业上云之后不断引入容器、微服务等云原生技术，业务系统中的服务依赖和调用关系不断被以更细的粒度分割，云数据中心的运维复杂度已经超出了人力上限。

IT基础设施规模的迅速壮大，使得招商金科云网络安全运维的运营压力与日俱增。为了满足行业监管和业务安全的要求，招商金科积极探索满足云环境的解决方案，通过采用先进的网络流量监控、管理产品，精准采集和分析云网络流量，实现云网性能全面可视化，自动化地解决云网安全运维的难题。

基于流量的安全运维方案

在云时代，由于虚拟网络的规模巨大、层级繁多，容器、虚机、主机、接入、核心、网络服务等访问和依赖关系复杂，在云中如何实时识别类型繁多的虚拟网元及其配置信息、进而在虚拟网络动态变化的场景下梳理出业务流量的访问路径，成为业务上云后遇到故障时的诊断难题。

业务大规模上云之后，现有系统中海量的策略已经远远超出了人工处理能力的上限，任何失误都将产生重大的安全生产风险；对于不断上线的大量新业务，网络管理人员倾向于将相关的配置权限转交给业务部门，而业务部门渴望系统可以自动化地为业务生成安全策略。这也是满足企业上云安全稳定运行保障的核心能力。

针对招商金科的IT运营状况和未来的发展规划，云杉网络提出DeepFlow®可持续演进的云网监控运维共建方案。在项目建设初期，重点实现某数据中心全网流量的可视化；针对云数据中心网络的出口流量以及生产网中骨干链路流量进行分析，分析内容包括IP、协议、端口号等五元组流量数据，并提供与业务相关联的业务画像、业务性能分析数据，以判断出入公网是否存在异常流量。

在项目建设的中期，通过对接招商金科 OpenStack云平台，实现多租户的项目/VPC流量可视化与回溯分析；针对云网数据中心内网东西向的流量分析包括IP、协议、端口号等五元组流量数据，并提供与业务（基于项目/VPC）相关联的业务画像、业务性能分析数据，精细化到判断虚拟机之间是否存在异常流量。回溯分析则为虚拟网络中可能存在的问题提供调查取证的原始依据。

在项目建设的第三个阶段，以满足业务安全合规为前提，通过与业务访问链系统对接联动，自动同步业务安全访问关系的规则库；采用机器学习的手段，从流量采集、监控、诊断、定位四个维度，实现整体业务网络的安全闭环。最终实现当出现异常访问流量时及时告警并将该信息流量脱敏后分发至后端安全分析工具。

客户价值

招商金科基础设施团队在云网快速建设过程中，借助DeepFlow®成功构建了全网流量数据的采集能力，并实现数据中心全网流量的可视化。在日常巡检工作中，DeepFlow®虚拟网络业务画像和性能分析功能提高了招商金科运营团队的排障效率；通过与业务系统联动，实现云网流量的采集、监控、诊断、定位的闭环，帮助运营部门提升了云网安全水平。