- 快捷搜索
- 全站搜索
近年,我们注意到工业互联网,产业互联网等名词的兴起,产业互联网,其实是一种业务集成整合的生态新业务模式。以前的生态合作,比较讲究业务整合,而新生的产业互联网,是通过信息化技术的手段,加强业务整合,形成更加紧密的紧耦合生态圈。以工业互联网为例,一些大型制造企业将自有工业软件通过云平台,接驳消费者互联网,同时授权开放给外部业务合作伙伴使用,这样就可以利用合作伙伴的资源进行定制化生产,达到零库存高效生产的效果,同时可控制整个生态链。
在金融领域的实际业务中,已经有大型金融企业开始启动这样的业务形态,为了便于说明,我们临时使用“金融互联网”这个名词。金融科技(FinTech)与金融互联网看似是两个不同话题,而在实践中却紧密结合,推动着金融服务的持续发展。金融科技就是技术工具,支持金融互联网新生态业务模式。金融互联网,本质与工业互联网相同,目前做的最好的当属平安集团。图1是平安集团的金融生态建设,可以看到,通过信息化技术,平安集团整合了不同行业并进行金融赋能,很好地发挥金融属性,方便终端个人用户,支持各行业发展同时壮大自身业务与影响力。
图1,平安集团金融互联网生态,摘自平安保险集团姜桂林
毕马威中国(KPMG)在最新9月份 “2020金融科技企业领袖观点洞察报告”总结道:通过对150家金融企业CEO或创始人调查,大数据、人工智能、机器学习、云计算、知识图谱,仍然是最受金融领域关注的技术(如图2)。很明显,在这种高科技生态联盟的运作方式中,数据的安全保护与高效传输,是应当引起金融企业最高级别的重视。安全、高效的数据链,必不可少!全球著名IT领域研究与分析机构,Gartner(高德纳)提到的SASE技术,值得金融企业的CIO/CTO关注。
图2,大数据、人工智能、机器学习、云计算、知识图谱,为金融企业核心技术,摘自毕马威中国
SASE技术的价值
SASE全称Secure Access Service Edge (安全边缘接入服务),是集网络性能与安全为一体的融合型技术,以身份认证、数据保护、传输保护为安全核心,集成SD-WAN(软件定义广域网)技术为性能核心,无缝适配云环境(包括容器),以软件虚拟化形态提供微服务,适应绝大多数物理或虚拟接入端,以求在绝大多数业务场景下达成安全保护与传输性能的双重能力。SASE比较强调云原生虚拟形态,可以部署在云端、容器中的虚拟防火墙、或虚拟网关等,被认为是SASE的组成部分。金融科技业务场景复杂,其安全身份认证,其含义不应只局限于人员的身份,还应包括IT资产的身份(或称为数字资产)。IT资产的身份认证,至少需要确认三件事:登录时间、登录身份、数字资产本身信息的完整性(未被篡改过)。区块链亦可作为SASE技术的组成部分,利用区块链不可篡改但可追源的特性,起到保护IT资产安全的作用。该技术使用密码学常用的默克尔树与哈希值算法,与时间轴形成比对函数,来确保每一个IT资产的唯一合法性。这与我们熟知的安全技术不同(如防火墙、态势感知、token认证等),但可以配套使用。图3所示,区块链在SASE中应用原理。
图3,区块链SASE技术原理
安全认证过程要保证快速实时性,且持续性。而区块链被认为是低效率的分布式数据存储,持续认证过程还比较容易理解,但相互认证的过程比较久,如何确保快速实时认证?原来,为了确保持续且实时性认证,与网币型公链不同,区块链SASE采用用户私有分布式部署区块链,所有区块不存储任何业务数据。重要的事情说三遍,区块链SASE不存储任何业务数据,不存储任何业务数据,不存储任何业务数据,只存储授权IT资产的唯一数字ID与唯一哈希值对应的区块链签名。近乎于空区块,如此,访问每个区块的速度就会非常快。图4举例说明,不同IT资产对应的唯一哈希值。
2M word文件 336字节的Log日志 虚机镜像
图4,不同IT资产对应的哈希值
SD-WAN 技术,对于传输性能与网络安全的价值
SD-WAN,全称软件定义广域网,旨在以业务与应用为核心,利用成熟软件模块与传统网络资源精致融合的网络解决方案。通过软件较大限度开发网络硬件资源,提高平台使用效率,优化性能,降低成本,提升客户体验。SD-WAN,是网络领域上一种拥有对业务与应用层优化能力的网络方案。未来,随着软件能力的提升,SD-WAN 将起到网络中台,承上启下的功能。在工业互联网、物联网、5G/6G时代,能够发挥巨大作用。业务与应用感知,同时动态调度任何一种网络资源,发挥优化功能,适配多种硬件或虚拟终端,达到降本增效的目标,是SD-WAN技术区别于传统网络的独特优势。如今,SD-WAN技术已经成熟,并与区块链安全,虚拟高端防火墙,数据保护等安全功能,融合成为数字网络方案,如图5所示。
图5,数字网络全功能架构图
金融应用场景
广发银行升级企业网,要求首先确保企业内部信息数据的安全性,其次能够降本增效。银行并进一步要求,首先只有内外授权用户才可以接触这些信息,所有访问都必须记录在案,某些低级别授权用户只可阅览,不可修改。非授权用户,零机会接触敏感资料。
使用数字网络技术,做好安全部署,为受保护的数字资产,包括软件、数据、存储、服务器等,以及所有授权接触这些资料的接入端(电脑、手机、Pad、虚机等),做好数字资产认证安全。如图3所示,受保护的数字资产接入SD-WAN网络时,同时被授权接入私有区块链,俗称上链。私有部署的区块链通过算法为该资产提供唯一区块链身份数字ID,并注册登记在案。同时,在毫秒级的时间内将该资产上链的唯一哈希值记入下一区块根植,并产生该资产的唯一区块链验证签名。此区块链验证签名可以通过独立算法来推算至相对应的区块根值,达到随时验证目的。此后,每一次受保护资产接入SD-WAN网络时,都会同时接受三个唯一安全认证:区块链身份数字ID,区块链验证签名,时间轴函数比对,系统不需要通过去读取与分析日志来确保IT资产安全。在IT资产内,一旦受保护数据产生变化,区块链及其运算系统会及时发现并指出具体变化所在,节省很多时间与资源。而如果有内部人利用授权IT资产,接入网络,做了一些非授权动作,该私有区块链就会留下记录,同时做两个动作:告警,并调度IT资产自动修复功能(如果提前设置好)。
受保护数据通过SD-WAN传输时,SD-WAN会识别出该数据特征,然后根据安全策略,调度事先制定的私有虚拟隧道(VxLan),将受保护数据传输到授权用户端,非授权用户无法知晓SD-WAN的传输路径,也就无法通过网络接触到该业务数据。通过接入端数字资产身份保护与安全传输路径的双重保护,大大提高受保护数据的安全等级,非授权用户非常难以接触受保护IT资产。在这个过程中,虚拟防火墙、数据保护等功能也会被启动,以加强安全能力。图6是数字网络(SD-WAN + 区块链SASE)部署拓扑。
图6,数字网络朴树拓扑
简而言之,数字网络有以下独特优势:
1. 数据安全:集成了区块链SASE与虚拟高阶防火墙、数据加密与保护
2. 业务与应用感知,识别4000多种应用,并作优先级排序,进而调整QoS
3. 可绑定多种链路与信号,包括5G,形成虚拟逻辑带宽池,动态调度
4. 提高网络可靠性与强壮性
5. 降低单位成本,提升整体效能
6. 云原生,适配中外多种主流公有云
7. 多种接入终端,第三方硬件CPE,或云虚机模式(vCPE)
高效的网络性能与安全等级,在数字化场景中密不可分。凌锐蓝信,深刻理解数字化业务,我们的 数字网络产品 ”睿智通iCONNECT” 已经升级至SASE架构,可以为金融企业提供高价值的网络与安全综合服务。