華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理 劉立柱

倡導(dǎo)良性競合，共建安全的SDN和NFV

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理 劉立柱

SDN（軟件定義網(wǎng)絡(luò)）和NFV（網(wǎng)絡(luò)功能虛擬化）帶來的既是一場變革，也是不可避免的趨勢。SDN和NFV可以隨時根據(jù)業(yè)務(wù)需求變化，將網(wǎng)絡(luò)結(jié)構(gòu)和功能進(jìn)行快速重新配置，其開放性、敏捷性、可編排和虛擬化等眾多特性，使之成為未來云數(shù)據(jù)中心的首選解決方案。

但是，SDN和NFV給云數(shù)據(jù)中心帶來巨大機(jī)遇的同時，其復(fù)雜的編排和調(diào)度、VM（虛擬機(jī)）之間不經(jīng)過硬件網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)等種種特性，使得安全面臨著巨大的困難，傳統(tǒng)架構(gòu)已經(jīng)無法滿足云數(shù)據(jù)中心的安全需求。在這一背景下，安全產(chǎn)業(yè)的傳統(tǒng)和新興廠商以及Hypervisor等提出了不同層次的安全解決方案。以虛擬化安全為例，安全解決方案包含6個層次：第一層是物理網(wǎng)絡(luò)防火墻，也就是傳統(tǒng)防火墻；第二層是容器層，目前大多還停留在IP包過濾階段；第三層是內(nèi)核防火墻，通常是一個對vNIC進(jìn)出流量進(jìn)行簡單狀態(tài)檢測的防火墻；第四層是普通虛擬防火墻，用于VLAN之間的安全防護(hù)；第五層是VM之間的防火墻，功能與傳統(tǒng)防火墻類似，承擔(dān)多種防火墻或IPS功能；第六層是虛擬機(jī)的端點(diǎn)安全防火墻，提供各種端點(diǎn)和業(yè)務(wù)安全防護(hù)。

由此可見，虛擬化安全與傳統(tǒng)安全有著巨大差異，傳統(tǒng)安全更注重主機(jī)和網(wǎng)絡(luò)的安全，也就是第一層和第六層，中間的4層在傳統(tǒng)安全中是看不到的。對于傳統(tǒng)安全廠商而言，其優(yōu)勢在于第一層的物理防火墻，基于此優(yōu)勢，在第四、第五層的VM之間的防火墻上也大有可為，因?yàn)榛A(chǔ)的防火墻和IPS能力在這一層同樣適用。

在虛擬化系統(tǒng)中，VM之間的東西向流量沒有經(jīng)過實(shí)體防火墻，第一層的傳統(tǒng)防火墻無法得知此流量是否具有威脅和風(fēng)險，自然無計可施。雖然傳統(tǒng)安全廠商相繼推出了第四、第五層可用的虛擬防火墻，但虛擬化流量的引流和調(diào)度都掌握在第三、第四層的Hypervisor和vSwitch手中，安全廠商的虛擬防火墻無法獨(dú)立發(fā)揮作用。

在SDN和NFV演進(jìn)的趨勢下，安全架構(gòu)發(fā)生了重大變化，類似于虛擬化安全解決方案這樣的例子還有很多，例如通過云安全資源池來解決不同租戶/不同業(yè)務(wù)的安全需求、IPS/負(fù)載均衡等業(yè)務(wù)的適配，以及SDN控制器與安全管理的協(xié)同等，大多都難以明確定義是安全廠商負(fù)責(zé)還是Hypervisor負(fù)責(zé)，各方都在試圖尋找良好的SDN和NFV安全解決方案。

Gartner分析師Eric Ahlm認(rèn)為：未來一段時間可能都不會有非常清晰的云數(shù)據(jù)中心SDN和NFV自動化解決方案的演進(jìn)路線。相應(yīng)的，適配云數(shù)據(jù)中心的SDN和NFV安全解決方案也尚無定論，當(dāng)前各廠商推出的解決方案紛繁復(fù)雜，在一定程度上體現(xiàn)了安全產(chǎn)業(yè)鏈競合關(guān)系的變化。

虛擬化安全出現(xiàn)了兩個方面的競爭變化。首先，產(chǎn)業(yè)鏈的劃分更加細(xì)致，參與者更多。有的廠商依舊專注于硬件防火墻，有的廠商專注于虛擬防火墻，有的廠商則專注于容器層安全；第二，產(chǎn)業(yè)鏈之間相互滲透。傳統(tǒng)安全廠商通過提供虛擬防火墻進(jìn)入云數(shù)據(jù)中心市場，Hypervisor也不遑多讓，通過在內(nèi)核層和vSwitch層直接提供安全解決方案進(jìn)入到安全市場。

推而廣之，在SDN和NFV發(fā)展的趨勢下，所有與其相關(guān)的安全都有上述兩個方面的變化。在產(chǎn)業(yè)鏈更加細(xì)分方面，安全廠商在芯片、硬件平臺、硬件防火墻、軟件防火墻、應(yīng)用安全和數(shù)據(jù)安全等各方面提供適配SDN和NFV的安全解決方案；在產(chǎn)業(yè)鏈相互滲透方面，芯片廠商、硬件廠商、Hypervisor、軟件廠商和系統(tǒng)集成商紛紛提供安全特性、安全產(chǎn)品和安全解決方案，意圖在SDN和NFV市場分得更多的一杯羹。

同時，SDN和NF V安全也不僅僅是競爭，更多的是合作。安全不是單純靠幾個設(shè)備和軟件就能確保萬無一失的，它是一個系統(tǒng)工程。安全廠商有著自己的優(yōu)勢和積累，例如網(wǎng)絡(luò)安全廠商對網(wǎng)絡(luò)協(xié)議的理解、分析、監(jiān)控和快速處理能力，例如防病毒廠商多年來長期積累的惡意文件識別能力，例如數(shù)據(jù)防泄漏廠商在進(jìn)出向數(shù)據(jù)監(jiān)測中的算法模型，這些都是Hypervisor所不具備的；反過來，Hypervisor能夠?qū)PU、內(nèi)存和IO進(jìn)行隔離，能夠提供云OS的指令優(yōu)先級管理，能夠?qū)M訪問虛擬化內(nèi)存進(jìn)行精細(xì)化的控制，這些關(guān)鍵能力也是安全廠商短期內(nèi)無法超越、但卻又對安全有著至關(guān)重要的意義。因此合作成為最好的選擇。

SDN和NFV安全產(chǎn)業(yè)良性的競爭與合作，應(yīng)當(dāng)充分繼承和發(fā)展SDN和NFV的理念：構(gòu)建開放、靈活和彈性的網(wǎng)絡(luò)。

開放的具體含義是： 安全廠商與Hypervisor、硬件廠商、芯片廠商以及用戶共同探索SDN與NFV安全的多種需求場景，構(gòu)建完整、可靠的安全解決方案，并促成產(chǎn)業(yè)鏈各方達(dá)成廣泛理解與共識；明確相關(guān)安全和ICT基礎(chǔ)設(shè)施之間軟硬件的接口，推動形成事實(shí)標(biāo)準(zhǔn)。

靈活與彈性的具體建議是：產(chǎn)業(yè)鏈共同在SDN與NFV的協(xié)同、適配SDN控制器的調(diào)度和管理，以及適配云OS下的敏捷策略編排等方面加大技術(shù)投資，共同搭建統(tǒng)一的集成互通測試平臺，匯集產(chǎn)業(yè)各界力量開展互聯(lián)互通測試，提高SDN整體安全解決方案的準(zhǔn)備度，支撐業(yè)務(wù)快速創(chuàng)新和靈活部署。

在安全產(chǎn)業(yè)界，云安全聯(lián)盟（Cloud Security Alliance）組織是一個成功合作的典范， 其成員包括I T 服務(wù)商（Google、Microsoft等）、電信運(yùn)營商（AT&T、Orange等）、安全廠商（CA、McAfee、Symantec等）和設(shè)備商（Cisco、Citrix、Huawei等），廠商之間在競爭的同時保持著良好的合作。云安全聯(lián)盟最重要的工作之一就是集體討論和構(gòu)建云、SDN和NFV安全相關(guān)的標(biāo)準(zhǔn)和規(guī)范等，涉及到架構(gòu)、管理、合規(guī)、應(yīng)用和數(shù)據(jù)等各方面，為SDN和NFV安全未來的可持續(xù)發(fā)展創(chuàng)造條件。

競爭與合作，是商業(yè)社會的常態(tài)。良性的競爭與合作，能夠充分促使安全和ICT產(chǎn)業(yè)鏈取長補(bǔ)短，提升技術(shù)水平和效率，最終為用戶提供優(yōu)質(zhì)的解決方案，共同建設(shè)面向未來的安全的SDN和NFV。