薛永刚：万物互联的安全新业态

2018中国SD-WAN峰会已经圆满落幕，上元云安全CTO 薛永刚为我们带来主题演讲”万物互联的安全新业态”。

薛永刚：非常感谢主持人，很高兴今天能在这里跟各位朋友们分享万物互联下的安全新业态这个话题，刚才上午在展台这边很多参会的一些朋友们过来问我，你们不是做安全的吗？做安全的公司怎么跑到这儿来？有的人觉得很奇怪。我希望通过今天的分享，更多的让大家探讨我们是怎么样去思考在这种新的万物互联的态势下面的安全怎么去演进，以及为什么我们今天会出现在这个地方，听过这个分享之后大家就会有一个答案了。

虽然标题上讲的上元SD-WAN解决方案，其实今天的分享可能主要的内容都是一些思考，我们自己产品和方案在这里不会过多的介绍，如果大家感兴趣可以到我们4号展台，那里不光有我们专业的人员为大家解决问题，同时可以实际操作一下。

我们知道过去的20年是网络飞速发展的20年，网络的发展也极大地改变了我们的生活，从Web1.0时代的门户，到2.0时代是互联网的兴起，现在大家出门拿着手机都可以了，这种事情好像是已经习以为常了，但是仔细想想也不过是4、5年的时间了。我们现在讨论SD-WAN的时候，是不是也应该思考未来的5年网络，或者说整个业界会是什么样的趋势呢？如果说我们不是面向未来去思考，很可能就在这个过程中会快速的被淘汰，成为历史上的沧海一粟。

每个阶段都诞生了很多很伟大的公司，一些改变人们生活的产品和技术，但是这些技术不一定要符合这个时代，大家都知道现在的支付，微信支付、支付宝，包括Pay大家用的很多了，其实在很久以前，三星在移动支付之前的两年左右就有这个技术，直到现在都是很先进的，叫磁感应技术，这种技术可以在手机上模拟刷信用条磁场的变化，可以不依赖任何的POS机，这个技术当时我认为非常先进，直到现在我也认为它不落后，但是这个技术并没有流行，为什么？它没有迎合当时的大环境，整个移动支付的态势还没有起来的情况下，即使是再先进的技术也没有办法去应用于市场。

同样我们现在也是一样的，SD-WAN这个技术突然间兴起肯定有它背后的原因，有的人说SD-WAN可能会取代MPLS，或者是以往的技术，首先MPLS出来这么久，比如说开通的时间长也好，开通的成本高也好，但是这些问题都是在越来越优化，为什么突然一夜之间大家觉得这个开通的时间也好，成本也好，无法承受了呢？肯定不光是这个原因。我联想到现在虽然移动通信的发展，在2G的时代出现了Web1.0、2.0，3、4G进入了移动互联网时代，现在面向5G的时代有新的应用，目前基本上都是物联网的行业，包括无人机、无人车这些。

这些应用从表面上看我们的电脑，Web1.0、2.0是电脑的连接，到了移动互联网每个人通过手机，人连接了网络，物联网时代不光是我们的手机、电脑，还有我们的手表，还有我们的家电冰箱、电视、扫地机器人，甚至车开始自动驾驶。这些技术离不开云计算、大数据等等这些技术的发展，他们都是通过连接到云端获取这样的能力，因此我们可以看到，各种各样的设备都需要通过一种方式拦截到我们的公有云，或者是私有云，或者是数据中心，我觉得这个需求才是说SD-WAN为什么会出现，因为它不光是要接入，而是大量的终端都要接入，一旦这个数量发生质变之后，人们的需求就会发生改变，所以大家才会说MPLS技术时间周期和成本已经无法承担了，因为我们的需求和应用已经发生变化了。

今天大家可以看到，这么多的设备接到云端，实现它的这些实际应用，必须要接到云端，这是刚需。但是这么多的设备接上去之后势必这个网络会变得非常复杂，非常难以运维，为了解决这个问题大家才想到我是不是可以借用SD-WAN的一些思想，我用软件来管理这个东西，因为人去管理这个东西的话工作量非常大，是不太可能的，用SD-WAN的话，我们就可以把这些无序的连接管理起来，并且通过各种各样的人工智能等等技术做组网各方面的优化。但是我们要想想，它的需求真的只是连接就可以了吗？实际上我认为并不是，因为连接只是打通这个通道，用户真正需要的是业务，这些业务包括很多种，比如说刚才前面两位嘉宾提到的链路质量的优化、广域网的加速，比如说有些语音视频的业务，用户是需要的，不可能我的网络已经SD-WAN了，非常易于运维了，但是我的业务还是传统的东西来做，这是不太可能的。包括安全也是一样的，大家可以想像一下，当你家里的这些电视电器，当你的汽车都接入到物联网的时候，一旦它里面存在一些安全风险，一旦黑客控制了这些东西，你面临的就不仅仅是数据丢失、隐私泄露，而是真真正正的要面临生命的威胁，可能以后的黑客是可以随意去杀人的，这不是危言耸听的事情。因此在物联网时代，安全是不可缺少的。我很欣慰前面两位嘉宾都强调了安全，这个是非常高瞻远瞩的。

虽然说SD-WAN可以提供的业务很多，但是我们是安全厂商，今天重点在这个方面跟大家探讨一下，当然这个是共通的，其他业务也是一样的。

既然我们都说用户需要安全，这个安全怎么交付给用户呢？一个非常典型的方式，或者说我们传统做安全的这些厂商比较倾向于云+端，比如说你这个分支机构、分公司需要安全，我可以放个盒子，把这个盒子连到云端管理平台，从云端进行管理运维，通过这些盒子可以去组网等等，这个当然是OK的。但是一旦放到物联网这个环境下，因为这个终端是成千上万个，当这么多的终端都需要安全服务的时候，如果我们仍然还是用传统的方式云+端一个重量级的盒子去提供这种安全服务的话，必然就面临很多问题。

如果所有的端都放一个盒子里，这个成本将会非常大，一个盒子可能并不是特别贵，几万块钱，但是乘以10万、100万的话这个量级是非常大的。其次有很多终端没有办法部署一个盒子，你可以给你的智能手表配一个盒子，你可以给你的汽车上面装一个盒子吗？这个不现实。不能在盒子上面交付，我们该怎么交付？有的人说在云端交付，现在云计算挺火，把交付点放在云端可不可以？理论上好像可以，但是有个问题，所有的这些流量业务都得到云端去转一圈，比如说两个分支、两个节点之间的互联完全没有必要到上面转一圈，但是这种方案就造成了大量的流量必须要上到云再下来，可能对效率有比较大的影响。云也不行，端也不行，显然必须在云和端之间找一个合适的位置放这些东西，我们认为最合适的位置应该是在这些节点上面，这也是为什么伴随着现在云计算SD-WAN起来之后，大家会频繁的听到另外一个词边缘技术，既然不能在这些终端上面去放我的这些服务，我可不可以在终端接入的点上放呢？比如在POP点上面放呢？它一方面靠近终端可以提供终端所需要的服务，同时也不会说在云端离客户那么远。

这是为什么我们作为一个安全厂商会跑到SD-WAN的会上来，因为这恰恰是SD-WAN的思想，我认为SD-WAN绝对不能理解为SDN的延伸，有的人一说SD-WAN就是一个控制器，这个控制器可能是ODL，通过这些技术构建一个网络，这个东西就是SD-WAN。我认为这个东西我们称之为SD-WAN的基础，连接确实是SD-WAN非常重要的一部分，但是SD-WAN不仅仅是连接，它还需要承载这上面的业务。

刚才我们探讨了两点交付的模式，一种是云+端的模式，另外一种是云+服务，这两种模式在未来的几年内会并存，并不会说某一种会全面的压倒另外一种，或者取代另外一种，正是因为他们面向用户的场景是不太一样的，第一种可能更适合一些中小型的用户，只有几十个一百个终端节点，不需要花很大的资源建一个云端的资源池、服务池做一些事情，我可以买一些盒子，虽然盒子很贵，但是数量不多，可以承受。下面可以适合于大规模的客户，大家自然而然会想到运营商，这是我们观察到另外一个现象，国内现在在SD-WAN这块推进的比较快，恰恰是运营商，需要被SD-WAN革命的一个群体。

对于运营商来说，我在思考为什么运营商对这个事情这么积极？或者说这么有危机感，到底害怕什么东西？这点可以从运营商提出的一个口号来探讨，运营商说云网融合这个口号，可能有的人会理解为比如说中国电信说云网融合，就是我的骨干网要和天翼云合在一起，但是我觉得不是，云网融合是大趋势，大家看到这么多的终端都需要接入云提供业务，如果说是中间的运营商只是提供连接的话，它很快就会被管道化，现在市面上大的云计算的提供厂商，比如说阿里、腾讯，今天他们也来参加这个会议，为什么？云往下看，公有云正在往下看，想接触到终端，云网融合到底是云融合了网，还是网融合了云？这才是对运营商来说生死攸关的，如果解决不好这个问题，就会被融合。

因此我觉得在座的各位，咱们都是做SD-WAN产品和方案的，未来大家要多关注运营商这个行业，因为他们是有最迫切的需求，同时他们大规模的场景才是真正适合我们未来3到5年，甚至更长时间SD-WAN的发展方向。

最后简单说一下上元的产品，整个业态是这么一个发展的趋势，所以我们上元认为我们作为一个安全服务的提供商，我们应该适应这种转变，从传统的卖盒子转变为提供服务，这是上元的SD-WAN架构图，它分了两层，上面这层是控制层，主要在云端提供多住户可视化的功能，以及交付各种各样的业务，业务包括了基本的OL主网和路由SD-WAN，联通性的功能，同时加上各种各样的安全服务，比如防病毒等等这些服务，具体的承载方式是下面这层，可以在客户分支上面的盒子，也可以是云端的资源池，两种方案我们都支持，我们认为未来两种方案都共存。

也欢迎广大的运营商伙伴们能够跟我们在这方面展开合作，我们现在积极的在国内三大运营商在这方面合作，不光是三大运营商，可能是更多的一些二级运营商也需要类似的产品解决方案。

它的构成有三块，宏观的管理平台、终端的盒子以及最重要是未来我们在骨干网上面，也是我们建议大家考虑的模式，就是把咱们的服务能力向上，让SD-WAN真正成为一种新的服务交付的模式，而不是一种具体的产品，或者技术，应该是一种新的模式。

我今天的分享就这么多，大家有什么问题欢迎大家跟我们做进一步的了解，谢谢大家。