大连银行:数字孪生赋能DevOps,助力业务高质量发展
随着IT发展的深入,DevOps模型逐渐发展成为了一种方法论,很多IT组织以其思想逐步构建了一套管理方法,推动了研发、交付、运营等能力的建设与发展。当然在落地的过程中,也会遇到许多问题,比如自动化运维过程中,在安全策略生成的时候应该考虑诸多因素的相互影响,最终形成一个各方兼容的结果,但如果这些决策都依赖于人工决策,那机器就只能代替简单的手工劳动,无法实现理想的自动化运维。
如果需要机器辅助决策,就需要将当前复杂的网络架构利用数字孪生技术在虚拟世界进行建模仿真,再利用AI技术将各方的述求汇总、协同,从而实现安全策略的自动化运维目标。
运维效率与业务敏捷性的矛盾
阻碍业务高质量发展
金融数字化进展如火如荼,各类业务应用系统的上线与变更非常频繁,而每次业务变动都涉及到相关的安全策略规则发生变化,所以如何在已有的大量策略基础上,进行人工手动新增与变更,成为了运维人员的巨大挑战。
当前我行的网络架构包括两地三中心、十几个网络区域,包括近80台异构防火墙及数千台网管型交换机,运维人员需要了解学习各厂商的配置接口及命令行格式才能将安全策略翻译成为机器的配置语言,然后手工登录到相关的设备上进行操作,一方面处理效率很低,另一方面极易出错。
图1 安全策略智能运维
我们也看到有案例将翻译工作脚本化,采用程序机器人的方式批量操作,以提升处理效率。但由于缺少系统化解决问题的思路,在策略的优化方面存在不少问题,具体表现为冗余策略、僵尸策略、空策略等。如果将有问题的策略通过程序机器人快速下发执行,轻则可引起设备冗余配置导致的性能下降,重则可能因为错误配置导致网络中断等重大事故。
基于数字孪生技术的网络架构仿真
让决策更具生命力
网络架构仿真不仅是画一张网络拓扑图。拓扑图对于人类视觉系统来说确实是一种很直观的展示方式,它可以很清晰地展示物理连接、数据流向等逻辑关系。
如何让计算机可以理解这张拓扑图呢?这就需要将拓扑图中的每个节点的路由表、网络表、主机表、邻居表和安全控制策略等关键信息导入仿真模型中,让计算机模拟路由器、交换机进行算法选路,基于最终形成的带路径信息的拓扑图才称之为网络架构仿真,也是一张“活”的拓扑图。
网络架构仿真模型可以快速计算出任意源目地址在网络中的路径以及途径的网络设备,为策略设置节点提供决策辅助信息。基于这个模型也可以模拟下发安全策略后的仿真结果是否符合预期,以防止因为安全策略错误导致的网络事故。
打通业务流程
运维服务角色转变为质量管理
ITSM系统将所有IT部门工作梳理成为一个个可以执行和落地的流程,基于流程的工作可以让跨部门的合作变得更加顺利和流畅。但对于当前业务开通/变更流程来说,安全运维部门仅是流程的一个节点,并且需要人工处理从需求到执行的全过程,并手动更新流程进展,这增加了新业务上线和业务变更的周期,降低了服务效率。
将安全策略自动化运维平台与ITSM系统打通,使其自动响应ITSM的业务流程,识别变更需求,将需求转变为可以执行的安全策略,在仿真模型中得到验证,并自动下发。在新的工作流程中运维人员仅起到资源审核、策略优化确认等管理作用,可以使运维人员从以前繁重的工作任务中释放出来,进而转变角色成为工作质量管理人员。
图2 网络安全策略可视化管理平台整体架构
打通异构平台壁垒
让策略执行更高效
防火墙作为安全策略的执行单元,其策略执行的准确性、性能与效率都关系到安全策略执行的效果。所以平台必须将拟定好的安全策略,准确无误地翻译成为防火墙可识别的配置命令。
为了确保安全,金融机构的防火墙会尽量选择不同品牌、不同架构的产品。不同厂商和架构的防火墙所对应的CLI接口区别很大,并且即使同一个厂商的不同系列产品或同一产品的不同版本,其接口可能都是不同的,这给配置翻译工作带来了不小的麻烦。
通过构建防火墙厂商、型号、版本信息库的方式,收集、适配了市面上绝大部分产品的配置特征信息,可以做到准确无误地将安全策略转换为防火墙的配置信息,并可自动下发执行。
总结
大连银行安全策略自动化运维平台通过安全策略的集中管理,打通ITSM运维流程,提升了安全管理效率,实现了安全策略的全流程自动化运维;通过运用数字孪生技术生成的网络架构仿真模型,对安全策略的决策和评估发挥关键性作用;通过建立安全产品版本信息库的方式,打通了各类异构安全产品的技术壁垒,可以使安全策略在网络中快速执行。
本项目的实施为以后的数据中心自动化运维提供了一种技术可行性的指导。通过持续业务场景优化,可以逐步将需要人工深度参与的运维工作释放,使用人工智能等技术实现自动化运维,为大连银行的数字化转型提供助力,推动金融数字化高质量发展。