華為交換機與企業(yè)網(wǎng)關(guān)產(chǎn)品線安全產(chǎn)品管理部 談 晶

重構(gòu)“隨云而動”的智能、彈性安全

華為交換機與企業(yè)網(wǎng)關(guān)產(chǎn)品線安全產(chǎn)品管理部 談 晶

1 最后一塊羈石

云的普及，未來的云會像電一樣在每個行業(yè)里不可或缺。在云化和虛擬化的大時代里，出現(xiàn)了許多新的理念和技術(shù)，讓人眼花繚亂。如“數(shù)據(jù)中心作為服務(wù)”DCaaS，“軟件定義數(shù)據(jù)中心”SDDC，本質(zhì)上都是幫助客戶完成靈活快速的業(yè)務(wù)部署、管理及實現(xiàn)。這在公有云環(huán)境里尤為明顯，一天的業(yè)務(wù)上下線數(shù)量可以達到上萬，如此動態(tài)變化的海量業(yè)務(wù)，必然需要一個更敏捷、高度適應(yīng)和自動化的IT基礎(chǔ)設(shè)施支撐。

當(dāng)前IaaS的實踐實現(xiàn)了計算即服務(wù)，存儲即服務(wù)。用Gartner的觀點來看“軟件可以定義一切”，軟件可以定義計算和存儲，然而網(wǎng)絡(luò)和安全還沒有實現(xiàn)完全虛擬化和自動化。在動態(tài)的云環(huán)境里，業(yè)務(wù)可以分鐘級上線，安全的上線還需要手工配置，花費數(shù)周甚至上月，這就好比“一只快速奔跑的兔子”，和“一只緩慢爬行的蝸?！?，跟不上腳步心好累。

而隨著越來越多的高價值資產(chǎn)聚集到云，云成為黑客覷覦的眾矢之的，威脅不斷演進，以變化、組合式的定制攻擊，長期潛伏，精準(zhǔn)竊取和破壞重要資產(chǎn)，如果你的安全還在依賴靜態(tài)配置的安全軟硬件設(shè)備，僵化的“以靜制動”，這樣的對抗顯然已經(jīng)不適用了。

2 軟件定義安全，打散了再造

如何從傳統(tǒng)的靜態(tài)防御走向動態(tài)，讓安全也變得敏捷、彈性，既能適配動態(tài)業(yè)務(wù)變化，又能從容應(yīng)對復(fù)雜變化的威脅環(huán)境？

我們需要打破傳統(tǒng)安全模式，以一種重構(gòu)的思路對安全進行再造。SDN的出現(xiàn)成為實現(xiàn)網(wǎng)絡(luò)敏捷性、靈活性和可編程性的架構(gòu)選擇，有人把SDN網(wǎng)絡(luò)比作是“有了安卓系統(tǒng)的手機”，可以像安裝APP一樣對網(wǎng)絡(luò)進行靈活調(diào)整，而安全則是運行在這臺手機上最重要的一類APP，“軟件定義安全”應(yīng)運而生，算得上是SDN的一對“孿生兄弟或姐妹”。

軟件定義安全帶來了安全的動態(tài)可編程能力，實現(xiàn)物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實現(xiàn)功能進行了解耦，底層抽象為安全資源池，頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的編排和管理，以完成相應(yīng)的安全功能，實現(xiàn)一種靈活的安全防護。

如何實現(xiàn)軟件定義安全，打散了再造，可以分三步走：

第一步軟件定義資源，建立安全和業(yè)務(wù)的連接，解耦控制和功能層。傳統(tǒng)安全不面向業(yè)務(wù)，一個數(shù)據(jù)中心每天可能有成千上萬的應(yīng)用上線、下線和遷移，而安全依賴手工靜態(tài)配置的方式開通安全服務(wù)、配置策略，給安全管理員帶來巨大挑戰(zhàn)。下一代安全的革新必須破除傳統(tǒng)安全和業(yè)務(wù)的斷裂點，在安全和業(yè)務(wù)間建立一條紐帶，實現(xiàn)“業(yè)務(wù)開通了，安全服務(wù)也開通了，業(yè)務(wù)變化了，安全策略隨著變化”。通過安全資源的控制上移，形成獨立的控制層，與云業(yè)務(wù)平臺對接，并將安全資源“微化”打散，作為高級服務(wù)向云平臺注冊，形成一個個安全APP；由租戶或業(yè)務(wù)部門定義直接定義被保護對象，即安全組，并由控制層同步到安全資源層，使安全團隊可以在業(yè)務(wù)創(chuàng)建和變更時自動同步、應(yīng)用安全策略，并達到策略“隨云而動”的效果，無需人工干預(yù)。

由此，使得業(yè)務(wù)人員或租戶無需感知網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)人員透明感知業(yè)務(wù)屬性，效率將明顯提高。

第二步，軟件定義流量，任意調(diào)度解耦部署方式。租戶直接在云平臺上指定安全策略應(yīng)用的源和目的安全組，并定義引流規(guī)則，引流的顆粒度（協(xié)議、端口），通過網(wǎng)絡(luò)控制器下發(fā)到網(wǎng)絡(luò)設(shè)備，實現(xiàn)流量的自由按需調(diào)度，單跳或多跳引流到指定安全節(jié)點，解耦安全設(shè)備的物理部署位置。

第三步，軟件定義業(yè)務(wù)鏈，按需編排解耦功能實現(xiàn)?；谧鈶粲嗛喌陌踩獳PP提供差異化的安全業(yè)務(wù)鏈服務(wù)，如針對兩類不同安全服務(wù)等級的租戶，可以通過編排對高價值資產(chǎn)租戶定制高防安全服務(wù)包，定義執(zhí)行順序，對普通租戶提供基礎(chǔ)安全服務(wù)包。

3 動如脫兔，安全無處不在

軟件定義安全可滿足企業(yè)不同業(yè)務(wù)以差異化的安全服務(wù)進行匹配，同時，面對動變化的、復(fù)雜威脅環(huán)境，形成動態(tài)安全防線，通過控制器動態(tài)引入、編排高級安全能力，得到一個針對不同威脅環(huán)境定制的安全檢測和響應(yīng)機制。

傳統(tǒng)靜態(tài)部署的安全，就會要求覆蓋任意可能的威脅場景，而安全設(shè)備之間缺乏協(xié)作和聯(lián)動機制，難以對抗復(fù)雜的威脅，尤其近年來持續(xù)爆發(fā)的高級持續(xù)威脅APT事件，黑產(chǎn)的專業(yè)性超出想象，依靠靜態(tài)安全、單一廠商力量往往不可能完成對抗的任務(wù)。只有動態(tài)的、智能的安全，才能應(yīng)對變化的、復(fù)雜的特定威脅。

軟件定義安全可以從全網(wǎng)視角進行調(diào)度，包括網(wǎng)絡(luò)設(shè)備和不同層面的安全防御節(jié)點，分布在設(shè)備、云OS、主機、網(wǎng)絡(luò)和應(yīng)用層面的防御功能，都可以動態(tài)使能，讓安全無處不在；同時結(jié)合大數(shù)據(jù)分析進行智能的檢測節(jié)點引入、分析、防御和響應(yīng)，形成一套全網(wǎng)聯(lián)動、跨域、跨設(shè)備、跨廠商的高度智能、動態(tài)的防御體系。這是一個對安全廠商能力“解耦”和再“集成”的過程，打破傳統(tǒng)安全黑盒子，對每個廠商的開放性提出要求，向上層應(yīng)用開放API，把安全的控制權(quán)交給租戶和業(yè)務(wù)部門自定義。通過軟件定義安全真正對安全進行再造，這也是今年RSA大會的主旨Connect to Protect，促使整個安全界從靜態(tài)防御轉(zhuǎn)向動態(tài)分析響應(yīng)，連接、開放、合作，建立以Intelligence analysis為中心的新型安全防御體系。整個黑產(chǎn)都在組團攻擊你了，你還在抱著僵化的傳統(tǒng)安全單打獨斗嗎？

最后，軟件定義安全不是一個單純的技術(shù)，對安全的管理也是一次變革，這種模式將安全的策略定義進行前移，將安全的控制上移，交給用戶自定義，針對不同業(yè)務(wù)和威脅環(huán)境動態(tài)定制檢測、防御和響應(yīng)機制。增加了業(yè)務(wù)理解和自動防御機制，安全的實現(xiàn)和管理不再是不懂業(yè)務(wù)和威脅變化的“盲管”，提高了管理的可視性、可維護性，以及安全防御的有效性、及時性。這對安全運維人員也提出新的要求，以前完全從網(wǎng)絡(luò)視角進行管理，如今需要從全局視角管理整個IT基礎(chǔ)設(shè)施和業(yè)務(wù)的威脅環(huán)境。

華為安全率先推動網(wǎng)絡(luò)安全架構(gòu)的演進，在軟件定義安全上已進入實踐。華為下一代網(wǎng)絡(luò)安全方案圍繞云數(shù)據(jù)中心、企業(yè)園區(qū)、分支和廣域，以軟件定義安全為核心，深度融入網(wǎng)絡(luò)，提供全場景、無處不在的動態(tài)威脅防御體系。利用網(wǎng)絡(luò)集成的優(yōu)勢，更大發(fā)揮軟件定義安全架構(gòu)的集中控制性和開放性優(yōu)勢，并引入以大數(shù)據(jù)技術(shù)為核心的安全智能分析層，解決現(xiàn)有各安全系統(tǒng)缺乏有效協(xié)同、聯(lián)動以及可擴展性不強的問題。下一代網(wǎng)絡(luò)安全方案已經(jīng)在挪威Evry、招商銀行、騰訊等重要領(lǐng)域成功應(yīng)用。華為秉承開放合作的理念，以滿足客戶需求為核心，將繼續(xù)加大和業(yè)界網(wǎng)絡(luò)、安全廠商間的合作協(xié)同，共同推薦軟件定義安全架構(gòu)的發(fā)展。