据统计,2017 年中国专线市场规模超过 75 亿美元,年增长率达 10%。金融行业出于安全性的要求,对专线服务的需求也在逐步提高。这意味着金融专线不仅需要优秀的传输性能,还需要具有更高的稳定性、安全性。前段时间,平安云推出了金联网,针对金融同业互联问题提出了自己的解决方案。InfoQ 采访了平安云网络技术专家李爽久,了解了金融行业专线的痛点及金联网的一些细节。
InfoQ:您目前负责哪方面工作?
李爽久:目前我在平安云负责网络产品的规划和架构设计,以及网络解决方案的对外输出工作。我们的团队除了提供业界标准化的云网络产品,也会根据用户的需求和行业特点,设计具有行业特色的解决方案,并推动实现产品化。
InfoQ:目前行业内金融专线的现状是什么样的?
李爽久:目前金融企业在网络建设上都规划有专线接入区,用于接入合作伙伴,包括监管机构和其他企业。由于金融行业对安全性的要求,一般都是点对点的专线接入,也就是说一家企业,每拉一条专线,都只能和指定的企业之间互通。
这样就造成了企业需要建设大量的专线,大一点的企业,比如平安,目前有上千条专线,规模小一点的金融企业,十多条、几十条、上百条不等。这样不仅要付出较大的经济成本,而且在开通效率上,也受限于运营商,以平安为例,目前一条专线的开通,运营商承诺的时间是 20 个工作日,这个效率也很低。
InfoQ:金融同行业互联在技术和合规上有哪些重点,为什么云厂商的 SD-WAN 无法满足?
李爽久:这里主要探讨企业之间的互联,因为监管机构的互联,每个监管机构都会有自己的规范,要求会更加严格。金融企业互联,一般都是通过合作伙伴接入,在合作伙伴区部署前置系统,企业之间的互联,实际是实现前置系统的互联,业务的访问都是要通过前置机跳转。而且这里的前置系统 IP,也是经过 NAT 转换后提供给对方的,并不会将真实的 IP 暴露出来。同时,在专线接入区也会要求部署防火墙,安全策略采用最小开放原则,仅开通业务通信所需的 IP 和端口。
应该说金融同行业互联的业务需求,和现有云厂商的 SD-WAN 模型是完全不一样的,现有云厂商的 SD-WAN 方案,更多的是解决两类问题,一类是混合云的构建,算是对专线接入方案的一种补充,可以实现业务的快速开通和就近进入,有些厂商也同步推出了智能硬件设备提供给用户使用。但本质来讲,还是一种纵向的互联方案,是连接用户本地 IDC 与 VPC,这种场景下,是很少考虑安全策略的。
还有一类,是广域网的流量调度和优化,这里其实和互联就没有太多关系了。而金融同业互联,是一种横向的互联,是要实现企业之间的互联互通,那么我们就要提供对应的安全措施,包括企业之间的授权、IP 地址的隐藏、安全策略的控制等。推出金融同业互联方案,是要建立在对金融行业网络深刻理解的基础上的,当然我们未来在产品化的过程中,也会用到 SDN 的技术,但肯定和现有云厂商的 SD-WAN 方案是完全不一样的。
InfoQ:平安云金联网有哪些能力和特性,是如何满足金融行业要求的?
李爽久:平安云金联网的设计原则,是让用户以较少的投资,满足多个场景的需求。
通过一条专线接入平安云,同时实现企业本地 IDC 与 VPC 互通,金融企业之间的互通,以及金融企业与平安集团的互通。我们在做混合云产品设计的时候,发现很多在平安云上的用户,他的专线接入需求并不是到自己本地 IDC 的,而是要到自己的合作伙伴。还有前面提到过的,平安目前有上千条合作伙伴专线,我们就想如果是平安的合作伙伴要上云,能不能复用已有的这条线路。于是我们就将所有需求结合起来,设计出可同时满足多个场景的金联网解决方案。
当然我们也考虑到了金融用户的使用习惯,安全合规等,所以我们在金联网的边界部署了安全设备。我们建议用户如果要实现行业互通,可以将对应的前置系统迁移到平安云 VPC,通过金联网边界的安全设备,满足用户对前置系统 IP 地址隐藏,安全控制等需求。
当前阶段解决方案正在进行产品化,用户在使用时需要向平安云提出申请,我们的解决方案专家会为用户提供系统迁移和互通方案,在产品化完成之后,用户就可以在平安云门户自助完成开通了。
InfoQ:平安云金联网在安全上做了哪些工作?
李爽久:平安云金联网,是基于平安的骨干网进行建设的,我们在骨干网上规划专有的虚拟网络,确保金融企业之间互通的通道是独立的。同时在网络设备上,我们也确保用于金联网场景的网络设备,与平安云其他业务是独立的。另外其实前面也提到了,我们会在金联网的边界部署安全设备,进行 IP 隐藏和安全策略控制,帮助企业之间实现逻辑上的点对点通信。
InfoQ:平安云金联网在运维保障上做了哪些工作,主要使用了哪些技术?
李爽久:金联网基于平安云为用户提供服务,所以我们也是充分利用了平安云在运维保障上的优势。为了解决服务、问题事件无差别处理,平安云花了很大精力投入到智能运维开发中,比如平安云网络智能自愈系统,是针对故障场景和专家诊断经验,结合业务网络拓扑追踪、智能告警归纳、智能流量可视化平台、流量动态阈值等各种因子按照人工智能算法研发而成。
一线的运维人员,通过智能问题自愈系统快速完成问题处理、故障处理,同时也提升了服务能力。我们更多地是依靠管理系统和工具,而非人力。当然,金联网在架构设计之初,也就充分考虑了各个层面的冗余性和切换效率,确保故障发生时,能够快速地进行 HA 切换。
InfoQ:金联网在未来有哪些规划?
李爽久:在解决方案推出后,我们下一步的首要目标是尽快完成产品化,提升用户体验。和业界的混合云产品一样,未来金联网也会是平安云的一个非常重要、有特色的产品,我们是业界第一个提出这个概念的。
金联网可以想象的空间很大,比如现在平安的合作伙伴,未来不仅可以和平安集团互通,还能够通过这条专线,使用金联网与平安云的其他用户互通,那么我们就可以形成一个大的金融生态圈,一个以网络为纽带的生态圈,这个是平安云得天独厚的资源。
最后,未来如果银行核心系统上平安云,我们也会探索为我们的用户提供接入监管机构的方案。
评论 1 条评论