據統計,2017年中國專線市場規模超過75億美元,年增長率達10%。金融行業出於安全性的要求,對專線服務的需求也在逐步提高。這意味着金融專線不僅需要優秀的傳輸性能,還需要具有更高的穩定性、安全性。前段時間,平安雲推出了金聯網,針對金融同業互聯問題提出了自己的解決方案。InfoQ採訪了平安雲網絡技術專家李爽久,瞭解了金融行業專線的痛點及金聯網的一些細節。
InfoQ:您目前負責哪方面工作?
李爽久:目前我在平安雲負責網絡產品的規劃和架構設計,以及網絡解決方案的對外輸出工作。我們的團隊除了提供業界標準化的雲網絡產品,也會根據用戶的需求和行業特點,設計具有行業特色的解決方案,並推動實現產品化。
InfoQ:目前行業內金融專線的現狀是什麼樣的?
李爽久:目前金融企業在網絡建設上都規劃有專線接入區,用於接入合作伙伴,包括監管機構和其他企業。由於金融行業對安全性的要求,一般都是點對點的專線接入,也就是說一家企業,每拉一條專線,都只能和指定的企業之間互通。
這樣就造成了企業需要建設大量的專線,大一點的企業,比如平安,目前有上千條專線,規模小一點的金融企業,十多條、幾十條、上百條不等。這樣不僅要付出較大的經濟成本,而且在開通效率上,也受限於運營商,以平安爲例,目前一條專線的開通,運營商承諾的時間是20個工作日,這個效率也很低。
InfoQ:金融同行業互聯在技術和合規上有哪些重點,爲什麼雲廠商的SD-WAN無法滿足?
李爽久:這裏主要探討企業之間的互聯,因爲監管機構的互聯,每個監管機構都會有自己的規範,要求會更加嚴格。金融企業互聯,一般都是通過合作伙伴接入,在合作伙伴區部署前置系統,企業之間的互聯,實際是實現前置系統的互聯,業務的訪問都是要通過前置機跳轉。而且這裏的前置系統IP,也是經過NAT轉換後提供給對方的,並不會將真實的IP暴露出來。同時,在專線接入區也會要求部署防火牆,安全策略採用最小開放原則,僅開通業務通信所需的IP和端口。
應該說金融同行業互聯的業務需求,和現有云廠商的SD-WAN模型是完全不一樣的,現有云廠商的SD-WAN方案,更多的是解決兩類問題,一類是混合雲的構建,算是對專線接入方案的一種補充,可以實現業務的快速開通和就近進入,有些廠商也同步推出了智能硬件設備提供給用戶使用。但本質來講,還是一種縱向的互聯方案,是連接用戶本地IDC與VPC,這種場景下,是很少考慮安全策略的。
還有一類,是廣域網的流量調度和優化,這裏其實和互聯就沒有太多關係了。而金融同業互聯,是一種橫向的互聯,是要實現企業之間的互聯互通,那麼我們就要提供對應的安全措施,包括企業之間的授權、IP地址的隱藏、安全策略的控制等。推出金融同業互聯方案,是要建立在對金融行業網絡深刻理解的基礎上的,當然我們未來在產品化的過程中,也會用到SDN的技術,但肯定和現有云廠商的SD-WAN方案是完全不一樣的。
InfoQ:平安雲金聯網有哪些能力和特性,是如何滿足金融行業要求的?
李爽久:平安雲金聯網的設計原則,是讓用戶以較少的投資,滿足多個場景的需求。
通過一條專線接入平安雲,同時實現企業本地IDC與VPC互通,金融企業之間的互通,以及金融企業與平安集團的互通。我們在做混合雲產品設計的時候,發現很多在平安雲上的用戶,他的專線接入需求並不是到自己本地IDC的,而是要到自己的合作伙伴。還有前面提到過的,平安目前有上千條合作伙伴專線,我們就想如果是平安的合作伙伴要上雲,能不能複用已有的這條線路。於是我們就將所有需求結合起來,設計出可同時滿足多個場景的金聯網解決方案。
當然我們也考慮到了金融用戶的使用習慣,安全合規等,所以我們在金聯網的邊界部署了安全設備。我們建議用戶如果要實現行業互通,可以將對應的前置系統遷移到平安雲VPC,通過金聯網邊界的安全設備,滿足用戶對前置系統IP地址隱藏,安全控制等需求。
當前階段解決方案正在進行產品化,用戶在使用時需要向平安雲提出申請,我們的解決方案專家會爲用戶提供系統遷移和互通方案,在產品化完成之後,用戶就可以在平安雲門戶自助完成開通了。
InfoQ:平安雲金聯網在安全上做了哪些工作?
李爽久:平安雲金聯網,是基於平安的骨幹網進行建設的,我們在骨幹網上規劃專有的虛擬網絡,確保金融企業之間互通的通道是獨立的。同時在網絡設備上,我們也確保用於金聯網場景的網絡設備,與平安雲其他業務是獨立的。另外其實前面也提到了,我們會在金聯網的邊界部署安全設備,進行IP隱藏和安全策略控制,幫助企業之間實現邏輯上的點對點通信。
InfoQ:平安雲金聯網在運維保障上做了哪些工作,主要使用了哪些技術?
李爽久:金聯網基於平安云爲用戶提供服務,所以我們也是充分利用了平安雲在運維保障上的優勢。爲了解決服務、問題事件無差別處理,平安雲花了很大精力投入到智能運維開發中,比如平安雲網絡智能自愈系統,是針對故障場景和專家診斷經驗,結合業務網絡拓撲追蹤、智能告警歸納、智能流量可視化平臺、流量動態閾值等各種因子按照人工智能算法研發而成。
一線的運維人員,通過智能問題自愈系統快速完成問題處理、故障處理,同時也提升了服務能力。我們更多地是依靠管理系統和工具,而非人力。當然,金聯網在架構設計之初,也就充分考慮了各個層面的冗餘性和切換效率,確保故障發生時,能夠快速地進行HA切換。
InfoQ:金聯網在未來有哪些規劃?
李爽久:在解決方案推出後,我們下一步的首要目標是儘快完成產品化,提升用戶體驗。和業界的混合雲產品一樣,未來金聯網也會是平安雲的一個非常重要、有特色的產品,我們是業界第一個提出這個概念的。
金聯網可以想象的空間很大,比如現在平安的合作伙伴,未來不僅可以和平安集團互通,還能夠通過這條專線,使用金聯網與平安雲的其他用戶互通,那麼我們就可以形成一個大的金融生態圈,一個以網絡爲紐帶的生態圈,這個是平安雲得天獨厚的資源。
最後,未來如果銀行核心系統上平安雲,我們也會探索爲我們的用戶提供接入監管機構的方案。