总第6期
2016年4月刊
Focus    焦点
Practice    实践
云时代如何构建新一代金融业务平台?
文/史翔宇
分享

由于今天不少银行、保险等金融企业都在进行着云化转型,他们借助互联网覆盖到终端的用户、合作伙伴,所以金融业务系统的体验变得至关重要。因此,如何能让银行业务变得更快、更稳定、更安全,对于金融行业来说变得意义重大.

一、 金融云化的发展和挑战

近年来,互联网金融发展得如火如荼,第三方支付、电商金融、P2P网贷、众筹等如雨后春笋般冒出,而传统金融机构也不甘示弱,纷纷进行组织架构、业务流程的再造,不断将传统金融业务进行云化和互联网创新,这已成为金融行业的中间力量。国内各大金融机构都在积极把握面向互联网的发展趋势,重点提升客户获取、盈利创造、服务提升、成本节约的四项核心能力,为客户提供全面、便捷、创新的金融服务。

金融云化和互联网化在提供更便捷创新金融服务的同时,也给金融机构的科技建设、安全和运维管理提出了更高的要求和更严峻的挑战,主要的挑战如下:

  • 金融行业对于其利润以及成本缩减的压力;
  • 金融企业的客户对业务连续性、服务需求多样性和对用户体验要求的不断提高;
  • 金融行业的新业务上线,从服务的设计、测试、资源整合、安全配套直至推出运营周期缓慢。
  • 行业的管制和法律法规对金融新业务承载环境的要求愈发的复杂;
  • 传统的安全技术手段在无边界网络当中已经失去了防护能力;

所以,金融行业在应对上述严峻挑战时,应遵循如下的建设原则:

1、 快速交付和灵活部署

互联网时代,金融机构进入基于事件和场景驱动的时代,唯快不破、随需而变的特性促使各市场主体必须在最短时间内响应市场需求并快速转换为产品和服务,并随着市场形势变化快速进行调整。

2、 提高金融业的投入产出比

随着金融机构盈利能力逐步下降,成本控制更为精细,资源利用更为合理。按照常规的“烟囱”模式,服务器、存储、网和安全等资源将随着规模增加而不断扩充,金融机构应运用更具竞争力的云计算技术不断降低的机房设施成本,系统建设成本和人员维护成本。

3、 安全控制的进一步加强

尽管新的技术带来了巨大的潜力,金融机构对于云计算、大数据等应用,仍然有着这个行业最为特殊的要求,金融行业除了关注所存放数据的区域性、可用性和可恢复性,更关注的是安全,隐私,保密性,数据完整性,和认证可信的要求。

二、 银行的安全体系构建

通过全面普及,云计算、虚拟化、SDN(软件定义网络)以及大数据等新技术也逐渐成熟,云计算技术在为金融行业带来了高效、灵活、可靠的IT环境同时,基于路径的传统南北向防护措施针对虚拟化环境内部的东西向防护已经捉襟见肘,并且在全面融合SDN技术方面也存在技术缺陷。基于SDN和NFV的云安全防护体系能够满足环境多样化的需求,该体系在客户侧大规模部署建设是公认的技术发展方向,也是金融行业的必经之路。

适当的业务策略是把互联网网上银行业务进行整合,建立单独的互联网金融服务平台,实现网银、手机银行、门户网站、O2O等互联网业务的架构融合,实现互联网渠道业务的灵活管理,随需而动;同时,利用银行两地三中心的成熟业务连续性的成果,通过回收分行业务系统建设的资源投入,进一步节省银行在IT建设方面的成本,实现分行业务在总行数据中心的私有云进行统一调度管理,最终形成如下业务模式的特点:

第一个方面是金融机构在各个渠道都可以提供无缝的、独立的用户体验,包括网上交易、手机应用、实体的分支机构等;

第二个方面是金融机构需要拥有更加稳定强大的IT基础设施,使他们的应用开发变得非常灵敏,能不断适应行业规则,法律法规的要求,和客户隐私保护的隔离需求;

第三个方面是及时响应用户的新需求,加快业务上线步伐,实现计算、存储、网络及安全的快速配套。

1、 整网安全布局

大安全是以整网的高速转发性能为基础,软件定义手段为承载方式,安全资源池化为手段,通过VPC技术实现多租户和多业务的南北向隔离并形成“安全通道”,同时利用安全服务链技术满足“通道”内的资源安全交互,最终实现金融行业在新一代业务架构下的安全交付。如图1所示大安全整体布局:

图1 大安全整体布局

2、 云环境区域防护

不同安全区域(互联网平台、多渠道接入和核心应用)使用的是“安全通道”贯穿。一个安全通道是通过使用一组高端交换平台,创建跨区域访问并提供多种安全服务。安全通道节点包括传统的防火墙功能。也可以进一步扩展,以提供其他的安全服务,包括网络IPS/AV中,web应用防火墙,在线恶意代码扫描,和负载均衡。由安全通道中结合所有这些服务,数据包可以通过在n*10T的背板速率交换下超越40Gbps和100Gbps的带宽。安全服务也可以并行执行(例如,IPS检查和防火墙检查同时进行)。安全通道还通过减少物理交换机端口和网络链路节点的提高用户的投资回报率。

  • 多渠道接入防护

利用VPC的思路,对分行接入进行分租户的划分,有效利用VPN、VRF和Vxlan等技术,构建基于私有云IaaS类型的总分行云化管理环境,通过在物理网络上构建虚拟的overlay网络层,实现金融网络的云化应用,同时为了实现云化环境的安全控制与数据权限隔离,大安全的基础是建立在overlay的网络基础之上,通过新一代防火墙、IPS和负载均衡产品的SOP技术,为每个分行分配独立非共享的安全防护资源。

  • 多业务互访防护

金融系统的不同系统可能分部在不同的Vxlan或网段中,利用SDN控制器通过网络服务虚拟化技术,将承载层物理网络服务资源进行归一化的切片和抽象,建立虚拟网络服务节点。虚拟网络服务节点可以涵盖虚拟防火墙节点、虚拟LB节点、虚拟IPS节点等多种类型。一旦虚拟网络服务节点完成定义,SDN控制器会将这些虚拟资源和承载层网元自动映射,当不同应用的数据跨安全级别流动时,通过服务链技术对访问流量进行东西向的安全检测,最终将清洗后的流量注入到目标地址当中。

  • 安全的按需交付

一旦多业务网络架构设计完毕,其他安全控制手段就可以分平台分区实现。控制包括集中式认证,IPS,网络准入,云安全监控,网络行为审计,漏洞和补丁管理。这些控制手段便于为每个区域进行性能优化和效率的调整。

上述架构的优点如下。

  • 节省成本

有了云技术及大安全的协助,金融机构可以有效地提高运营能力而不需要花费更多的资金、人力成本,也不用添置服务器、网络及安全设备。由于在云环境中,计算、存储和安全都是按需提供的,分行、合作伙伴及不同业务部门只需要为自己使用的资源按需申请即可,不需要按传统方式前期购置大量的软硬件设备。

  • 安全合规

大安全以云网融合为基础,能够实现无边界网络和云计算环境下的安全防护需求,充分满足国家及金融监管部门对于虚拟化和云计算环境下的政策法规要求。

  • 安全即服务

大安全以软件定义安全为核心,结合安全服务链技术,将安全服务化,金融机构可以根据业务的安全策略需求,自定义安全访问路径,将传统的围防式安全变为塔防式安全,以适应云计算环境下的安全边界模糊、多租户安全策略冲突等问题。

三、 结束语

当前云计算模式已得到金融行业普遍认同,成为信息技术领域新的发展方向。随着云计算的大量应用,云环境的安全问题也日益突出。建立自动化、虚拟化、可动态弹性伸缩的云安全防护体系已是大势所趋。随着SDN和NFV技术的不断演进,云安全的防护体系也将日益完善,推动金融行业云计算更加健康、有序地发展。

关闭