華為交換機(jī)與企業(yè)網(wǎng)關(guān)產(chǎn)品線安全產(chǎn)品管理部 談 晶

重構(gòu)“隨云而動(dòng)”的智能、彈性安全

華為交換機(jī)與企業(yè)網(wǎng)關(guān)產(chǎn)品線安全產(chǎn)品管理部 談 晶

1 最后一塊羈石

云的普及，未來的云會(huì)像電一樣在每個(gè)行業(yè)里不可或缺。在云化和虛擬化的大時(shí)代里，出現(xiàn)了許多新的理念和技術(shù)，讓人眼花繚亂。如“數(shù)據(jù)中心作為服務(wù)”DCaaS，“軟件定義數(shù)據(jù)中心”SDDC，本質(zhì)上都是幫助客戶完成靈活快速的業(yè)務(wù)部署、管理及實(shí)現(xiàn)。這在公有云環(huán)境里尤為明顯，一天的業(yè)務(wù)上下線數(shù)量可以達(dá)到上萬，如此動(dòng)態(tài)變化的海量業(yè)務(wù)，必然需要一個(gè)更敏捷、高度適應(yīng)和自動(dòng)化的IT基礎(chǔ)設(shè)施支撐。

當(dāng)前IaaS的實(shí)踐實(shí)現(xiàn)了計(jì)算即服務(wù)，存儲(chǔ)即服務(wù)。用Gartner的觀點(diǎn)來看“軟件可以定義一切”，軟件可以定義計(jì)算和存儲(chǔ)，然而網(wǎng)絡(luò)和安全還沒有實(shí)現(xiàn)完全虛擬化和自動(dòng)化。在動(dòng)態(tài)的云環(huán)境里，業(yè)務(wù)可以分鐘級(jí)上線，安全的上線還需要手工配置，花費(fèi)數(shù)周甚至上月，這就好比“一只快速奔跑的兔子”，和“一只緩慢爬行的蝸牛”，跟不上腳步心好累。

而隨著越來越多的高價(jià)值資產(chǎn)聚集到云，云成為黑客覷覦的眾矢之的，威脅不斷演進(jìn)，以變化、組合式的定制攻擊，長期潛伏，精準(zhǔn)竊取和破壞重要資產(chǎn)，如果你的安全還在依賴靜態(tài)配置的安全軟硬件設(shè)備，僵化的“以靜制動(dòng)”，這樣的對(duì)抗顯然已經(jīng)不適用了。

2 軟件定義安全，打散了再造

如何從傳統(tǒng)的靜態(tài)防御走向動(dòng)態(tài)，讓安全也變得敏捷、彈性，既能適配動(dòng)態(tài)業(yè)務(wù)變化，又能從容應(yīng)對(duì)復(fù)雜變化的威脅環(huán)境？

我們需要打破傳統(tǒng)安全模式，以一種重構(gòu)的思路對(duì)安全進(jìn)行再造。SDN的出現(xiàn)成為實(shí)現(xiàn)網(wǎng)絡(luò)敏捷性、靈活性和可編程性的架構(gòu)選擇，有人把SDN網(wǎng)絡(luò)比作是“有了安卓系統(tǒng)的手機(jī)”，可以像安裝APP一樣對(duì)網(wǎng)絡(luò)進(jìn)行靈活調(diào)整，而安全則是運(yùn)行在這臺(tái)手機(jī)上最重要的一類APP，“軟件定義安全”應(yīng)運(yùn)而生，算得上是SDN的一對(duì)“孿生兄弟或姐妹”。

軟件定義安全帶來了安全的動(dòng)態(tài)可編程能力，實(shí)現(xiàn)物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實(shí)現(xiàn)功能進(jìn)行了解耦，底層抽象為安全資源池，頂層統(tǒng)一通過軟件編程的方式進(jìn)行智能化、自動(dòng)化的編排和管理，以完成相應(yīng)的安全功能，實(shí)現(xiàn)一種靈活的安全防護(hù)。

如何實(shí)現(xiàn)軟件定義安全，打散了再造，可以分三步走：

第一步軟件定義資源，建立安全和業(yè)務(wù)的連接，解耦控制和功能層。傳統(tǒng)安全不面向業(yè)務(wù)，一個(gè)數(shù)據(jù)中心每天可能有成千上萬的應(yīng)用上線、下線和遷移，而安全依賴手工靜態(tài)配置的方式開通安全服務(wù)、配置策略，給安全管理員帶來巨大挑戰(zhàn)。下一代安全的革新必須破除傳統(tǒng)安全和業(yè)務(wù)的斷裂點(diǎn)，在安全和業(yè)務(wù)間建立一條紐帶，實(shí)現(xiàn)“業(yè)務(wù)開通了，安全服務(wù)也開通了，業(yè)務(wù)變化了，安全策略隨著變化”。通過安全資源的控制上移，形成獨(dú)立的控制層，與云業(yè)務(wù)平臺(tái)對(duì)接，并將安全資源“微化”打散，作為高級(jí)服務(wù)向云平臺(tái)注冊(cè)，形成一個(gè)個(gè)安全APP；由租戶或業(yè)務(wù)部門定義直接定義被保護(hù)對(duì)象，即安全組，并由控制層同步到安全資源層，使安全團(tuán)隊(duì)可以在業(yè)務(wù)創(chuàng)建和變更時(shí)自動(dòng)同步、應(yīng)用安全策略，并達(dá)到策略“隨云而動(dòng)”的效果，無需人工干預(yù)。

由此，使得業(yè)務(wù)人員或租戶無需感知網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)人員透明感知業(yè)務(wù)屬性，效率將明顯提高。

第二步，軟件定義流量，任意調(diào)度解耦部署方式。租戶直接在云平臺(tái)上指定安全策略應(yīng)用的源和目的安全組，并定義引流規(guī)則，引流的顆粒度（協(xié)議、端口），通過網(wǎng)絡(luò)控制器下發(fā)到網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)流量的自由按需調(diào)度，單跳或多跳引流到指定安全節(jié)點(diǎn)，解耦安全設(shè)備的物理部署位置。

第三步，軟件定義業(yè)務(wù)鏈，按需編排解耦功能實(shí)現(xiàn)。基于租戶訂閱的安全APP提供差異化的安全業(yè)務(wù)鏈服務(wù)，如針對(duì)兩類不同安全服務(wù)等級(jí)的租戶，可以通過編排對(duì)高價(jià)值資產(chǎn)租戶定制高防安全服務(wù)包，定義執(zhí)行順序，對(duì)普通租戶提供基礎(chǔ)安全服務(wù)包。

3 動(dòng)如脫兔，安全無處不在

軟件定義安全可滿足企業(yè)不同業(yè)務(wù)以差異化的安全服務(wù)進(jìn)行匹配，同時(shí)，面對(duì)動(dòng)變化的、復(fù)雜威脅環(huán)境，形成動(dòng)態(tài)安全防線，通過控制器動(dòng)態(tài)引入、編排高級(jí)安全能力，得到一個(gè)針對(duì)不同威脅環(huán)境定制的安全檢測(cè)和響應(yīng)機(jī)制。

傳統(tǒng)靜態(tài)部署的安全，就會(huì)要求覆蓋任意可能的威脅場(chǎng)景，而安全設(shè)備之間缺乏協(xié)作和聯(lián)動(dòng)機(jī)制，難以對(duì)抗復(fù)雜的威脅，尤其近年來持續(xù)爆發(fā)的高級(jí)持續(xù)威脅APT事件，黑產(chǎn)的專業(yè)性超出想象，依靠靜態(tài)安全、單一廠商力量往往不可能完成對(duì)抗的任務(wù)。只有動(dòng)態(tài)的、智能的安全，才能應(yīng)對(duì)變化的、復(fù)雜的特定威脅。

軟件定義安全可以從全網(wǎng)視角進(jìn)行調(diào)度，包括網(wǎng)絡(luò)設(shè)備和不同層面的安全防御節(jié)點(diǎn)，分布在設(shè)備、云OS、主機(jī)、網(wǎng)絡(luò)和應(yīng)用層面的防御功能，都可以動(dòng)態(tài)使能，讓安全無處不在；同時(shí)結(jié)合大數(shù)據(jù)分析進(jìn)行智能的檢測(cè)節(jié)點(diǎn)引入、分析、防御和響應(yīng)，形成一套全網(wǎng)聯(lián)動(dòng)、跨域、跨設(shè)備、跨廠商的高度智能、動(dòng)態(tài)的防御體系。這是一個(gè)對(duì)安全廠商能力“解耦”和再“集成”的過程，打破傳統(tǒng)安全黑盒子，對(duì)每個(gè)廠商的開放性提出要求，向上層應(yīng)用開放API，把安全的控制權(quán)交給租戶和業(yè)務(wù)部門自定義。通過軟件定義安全真正對(duì)安全進(jìn)行再造，這也是今年RSA大會(huì)的主旨Connect to Protect，促使整個(gè)安全界從靜態(tài)防御轉(zhuǎn)向動(dòng)態(tài)分析響應(yīng)，連接、開放、合作，建立以Intelligence analysis為中心的新型安全防御體系。整個(gè)黑產(chǎn)都在組團(tuán)攻擊你了，你還在抱著僵化的傳統(tǒng)安全單打獨(dú)斗嗎？

最后，軟件定義安全不是一個(gè)單純的技術(shù)，對(duì)安全的管理也是一次變革，這種模式將安全的策略定義進(jìn)行前移，將安全的控制上移，交給用戶自定義，針對(duì)不同業(yè)務(wù)和威脅環(huán)境動(dòng)態(tài)定制檢測(cè)、防御和響應(yīng)機(jī)制。增加了業(yè)務(wù)理解和自動(dòng)防御機(jī)制，安全的實(shí)現(xiàn)和管理不再是不懂業(yè)務(wù)和威脅變化的“盲管”，提高了管理的可視性、可維護(hù)性，以及安全防御的有效性、及時(shí)性。這對(duì)安全運(yùn)維人員也提出新的要求，以前完全從網(wǎng)絡(luò)視角進(jìn)行管理，如今需要從全局視角管理整個(gè)IT基礎(chǔ)設(shè)施和業(yè)務(wù)的威脅環(huán)境。

華為安全率先推動(dòng)網(wǎng)絡(luò)安全架構(gòu)的演進(jìn)，在軟件定義安全上已進(jìn)入實(shí)踐。華為下一代網(wǎng)絡(luò)安全方案圍繞云數(shù)據(jù)中心、企業(yè)園區(qū)、分支和廣域，以軟件定義安全為核心，深度融入網(wǎng)絡(luò)，提供全場(chǎng)景、無處不在的動(dòng)態(tài)威脅防御體系。利用網(wǎng)絡(luò)集成的優(yōu)勢(shì)，更大發(fā)揮軟件定義安全架構(gòu)的集中控制性和開放性優(yōu)勢(shì)，并引入以大數(shù)據(jù)技術(shù)為核心的安全智能分析層，解決現(xiàn)有各安全系統(tǒng)缺乏有效協(xié)同、聯(lián)動(dòng)以及可擴(kuò)展性不強(qiáng)的問題。下一代網(wǎng)絡(luò)安全方案已經(jīng)在挪威Evry、招商銀行、騰訊等重要領(lǐng)域成功應(yīng)用。華為秉承開放合作的理念，以滿足客戶需求為核心，將繼續(xù)加大和業(yè)界網(wǎng)絡(luò)、安全廠商間的合作協(xié)同，共同推薦軟件定義安全架構(gòu)的發(fā)展。