郭小伟
怀柔实验室信息化部主任
2021年5月,国家发展改革委、中央网信办、工业和信息化部、国家能源局等四部委联合印发通知,启动全国一体化算力网络国家枢纽节点建设,加快实施“东数西算”工程,算力网络规划建设步入关键时期。2022年底,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》对外发布,引领算力网络持续匹配数据要素变革。算力网络作为提供算力和网络深度融合、一体化服务的新型基础设施,已成为数字中国建设、支撑数字经济持续纵深发展的生产力。
算力网络为各行各业的业务需求融合5G、云计算、人工智能、区块链、大数据等新技术,在云边端等多形态算力节点之间按需分配、灵活调度计算资源、存储资源以及网络资源,其建设模式正在从初级阶段向高级阶段转变,即从算力与网络融合推进走向以数据为核心的多要素深度融合统一。算力网络面临泛在接入、异构调度、存算分离和服务质量保证等新特点下的安全挑战。网络靶场是用于网络空间安全研究、评测和分析的新型网络安全基础设施。推动算力网络与网络靶场深度结合,构建算力网络靶场,将为系统性应对算力网络的安全挑战提供一种全新的途径。
算力网络的发展趋势及安全挑战
在国家“东数西算”战略背景下,算力网络初期的建设目标是促进数据中心资源最大化共享和利用,通过系统化布局促进国家“双碳”战略实现。当前,算力网络应用支撑以初级阶段模式为主,通过整合多级数据中心算力的方式为用户按需提供服务,注重数据中心容量、可靠性、安全性、可控性和节能性,尤其以能源效率为优先,以实现更高经济效益和满足“双碳”战略导向。然而,由于算力资源与需求方之间距离远,数据跨网跨域传输造成的时延导致大量对算力有需求的业务无法使用远程算力,算力网络只能承载时延要求低、存算要求高的业务,如离线分析、数据备份、影视渲染等。
为打破算力供给与需求难以匹配的困境,必须在算力网络建设中更多思考未来如何服务数据要素的问题,如不同应用场景下数据如何流通使用,算力远程化带来的网络时延、抖动、安全问题如何解决等。在客户需求的驱动下,算力网络的建设模式须发生根本性转变,即从初级阶段向高级阶段转变。高级阶段算力节点更丰富,不仅限于数据中心,还包括边缘算力与终端算力的接入,个人与行业用户可以同时输出算力服务,成为算力提供者从而参与算力交易。同时,算力网络资源编排调度更加智能,任务执行更加高效安全。高级阶段的算力网络建设更加注重资源协同、安全与服务质量保证,以实现促进数据要素价值最大化和算力资源效能最大化的目标。需求驱动的建设模式促进算力供给与需求的匹配,有利于充分发挥算力效能,让数据要素产生最大的经济效益,但建设模式的转变也给算力网络安全体系带来新的挑战(见图1)。
图1 算力网络安全挑战
第一,算与网深度融合,网络边界模糊,传统安全机制面临挑战。
在初级阶段的建设模式下,建设重点主要在多级数据中心,关注算力生产网的安全。随着建设模式、建设重点的变化,算力网络的边界从算力生产网扩大到算力配给网,又进一步包含边缘算力和多源终端算力节点,算力与网络深度融合,安全的关注范围也随之扩大。泛在化、多元异构的算力节点使暴露面增多,不同类型的计算资源面临不同的安全风险,使得整个算力网络安全风险急剧增加。传统的面向有边界网络安全守护模式面临挑战,需要构建新的安全机制来实现算力网络全程、长效安全。
第二,数据存算分离,数据守护责任更加复杂。
用户在使用算力网络执行任务时,数据和计算模型要部分或全部“搬家”到算力中心,运算结果又要回传数据拥有方或提供给有需求的第三方。对于复杂任务,算力网络可能协同多方算力资源共同执行,那么数据将在多个计算节点间流转。用户使用公共算力最大的顾虑是数据流转过程中的泄露风险,因为数据流转路径、目标算力节点安全状态均不受自己控制,是一个多方共同守护数据安全的复杂局面,需要更好的方式系统分析、评估和改进数据的全生命周期安全。
第三,服务等级差异化、智能化,跨网效果难验证。
算力网络服务目标针对的是对算力要求高的业务,而这些业务对带宽、时延、抖动性、隔离性的需求各不相同。算力网络可采用网络切片等多种技术来满足服务等级差异化、智能化的需求,但用户可能仍然对服务效果存疑,难以下决心使用公共算力运行其关键业务。例如,工业控制对网络时延、抖动性具有确定性的指标,究竟能否使用公共算力运行这类应用,取决于算力网络提供的面向低时延业务的服务是否达到指标要求。算力网络运营方迫切需要跨网跨域的服务效果验证方法,才能“以验促用”。
构建强大的算力网络靶场平台
算力网络靶场是为了系统化应对算力网络安全挑战而构建的数字底座,需要做到环境可配置、任务可编排、过程可追溯、资源可共享,并支持广泛的应用场景,才能充分发挥其作为安全基础设施的价值,匹配算力网络未来发展。
第一,自底向上构建算力网络靶场。
网络靶场在技术架构和构建模式上分为两类:自顶向下和自底向上。其中,自底向上搭建的网络靶场以强大的平台为核心,具有更强的扩展性和包容性,更加符合算力网络规模大、场景复杂、多任务并发、多资源协同、业务需求多样的情况,因此推荐算力网络靶场采用以平台为核心、自底向上的构建模式。
算力网络靶场是将网络靶场的通用能力与算力网络的业务特点相结合构建而成的,其技术框架包括靶场应用层和靶场平台层两大部分(见图2)。靶场应用层负责应用适配,基于算力网络承载的业务进行靶标配置、应用场景设置,以及对算力网络安全效能、使用效能等进行评估展示。靶场平台层集成网络靶场的通用能力,实现网络快速构建、业务系统仿真、任务流程导调、数据采集分析以及资源综合管理等功能。
图2 算力网络靶场架构
第二,五大关键能力匹配算力网络未来发展。
在构建算力网络靶场时须充分考虑如何实现资源共享和业务协同、仿真模型构建、多任务安全隔离、复杂任务编排导调等问题;由于其公共服务属性,需要考虑如何进行业务评估展示、责任边界划分、问题审计溯源等问题。
突破关键技术难题、形成关键能力,才能构建起一个环境可配置、任务可编排、过程可追溯、资源可共享的强大的算力网络靶场平台,支持开展安全检测、技术验证、审计溯源等网络靶场业务及未来的应用场景创新。
大规模复杂网络仿真能力。对于复杂的运算任务,算力网络可能需要调度多个算力中心的资源,并与数据拥有方的自有计算资源协同,因此,出现异构算力资源跨网跨域统一调度的需求。仿真环境需要模拟算力配给网与算力生产网的主要网元设备,根据业务需求灵活组网。因此,算力网络靶场应能够支持万级节点大规模复杂网络的灵活构建,并按需实现异构环境下的节点仿真和虚实互联。
细粒度任务编排和场景导调能力。不同于私有靶场使用场景相对固定的情况,算力网络靶场因其公共服务属性,它的业务场景是多变的,网络靶场应支持场景的灵活重构,并支持面向人员、环境、任务、过程的灵活编排和导调,使测试、验证等网络靶场业务的方案可定义、过程可调度、流程可优化。
多源异构数据采集能力。完备的数据是一切分析、审计工作的基础。算力网络靶场必须具备对多源异构数据实时全量采集的能力,包括状态数据、流量数据和行为数据,才能做到操作可追踪、结果可回溯,从而能够支持精准的攻防事件检测、威胁鉴定、态势分析,以及对数据流转、算力交易等资源利用行为的审计追溯。
多维量化评估和可视化展示能力。在算力网络的日常运行中,运营管理人员需要及时准确掌握网络的安全动态;在开展安全检测、技术验证等活动时,需要多维度呈现评估结果,因此,算力网络靶场需要具备多维量化评估和可视化展示能力。该功能还可用于向客户全方位展示算力网络安全能力,提升客户将业务迁移到算力网络的信心。
分布式互联与资源管理能力。算力网络是类似互联网的大型复杂网络,存在多算力中心、边缘算力节点、终端算力节点分布式互联,相应地,网络靶场也应具备多级分布式互联与资源管理能力。多算力中心应通过共建共享模式来建设和使用网络靶场,以满足更大规模的资源需求,并实现多算力中心间的安全能力共享。
应用场景广泛,创新空间无限
算力网络靶场应用场景广泛,其关键价值在于:面对网络边界模糊,数据存算分离,服务等级差异化、智能化带来的全新挑战,能够守护算力网络数字安全,为客户提供确定性的服务保证。基于网络靶场平台构建的仿真世界,还可不断赋能应用场景创新。
第一,突破传统模式,以长效验证机制应对挑战。
传统的网络安全验证做法是由网络安全人员在真实生产环境下发起深度测试,为了降低对生产系统造成的影响,测试活动一般是在约定的时间一次性完成。这种模式存在先天局限性,导致传统测试模式难以得出全面、准确、长效的安全验证结果。
算力网络靶场针对传统安全机制的挑战、数据守护责任的复杂、跨网效果的验证等核心问题,可开展全面的测试评估,通过单次测试向持续性测试、传统安全测评模式向众测模式和自动测试模式的转变,发现暴露面安全威胁,识别数据泄露风险,诊断网络服务质量等,为算力网络安全提供长效验证机制。
基于网络靶场的大规模复杂网络逼真构建能力,能够快速在网络靶场内构建算力网络的仿真环境,并有针对性地结合实际系统,灵活调度,进行不影响生产系统的持续性测评活动。
第二,拓宽应用场景,让算力网络靶场发挥最大价值。
网络靶场虽然为安全而生,但事实上,当基于网络靶场平台构建起一个仿真世界,它的功能和价值远不止于应对安全问题。在安全之外,还可以用于各种系统功能、效能的验证。
针对算力网络资源分布不均、使用不均、效率不均等情况,可利用算力网络靶场虚实结合、灵活配置导调任务,按需调用算力节点资源,分析评估算力节点的使用效能,优化算力资源调用机制,为用户提供最优的算力节点的选择,同时让监管机构了解算力资源的整体使用效能。
针对算力交易复杂以及不诚实的交易参与方可能会篡改交易结果、逃避计费等问题,可利用算力网络靶场自动化的流量和业务导入能力以及过程复现能力,实现对算力交易合规性的审计和追溯,以便出现纠纷时能够及时做出公平处理,确保算力交易公平公正。
未来,结合行业应用的独特需求,可以不断拓宽应用场景,让算力网络靶场发挥最大价值。