重构“随云而动”的智能、弹性安全

华为交换机与企业网关产品线安全产品管理部 谈 晶

重构“随云而动”的智能、弹性安全

华为交换机与企业网关产品线安全产品管理部 谈 晶

1 最后一块羁石

云的普及，未来的云会像电一样在每个行业里不可或缺。在云化和虚拟化的大时代里，出现了许多新的理念和技术，让人眼花缭乱。如“数据中心作为服务”DCaaS，“软件定义数据中心”SDDC，本质上都是帮助客户完成灵活快速的业务部署、管理及实现。这在公有云环境里尤为明显，一天的业务上下线数量可以达到上万，如此动态变化的海量业务，必然需要一个更敏捷、高度适应和自动化的IT基础设施支撑。

当前IaaS的实践实现了计算即服务，存储即服务。用Gartner的观点来看“软件可以定义一切”，软件可以定义计算和存储，然而网络和安全还没有实现完全虚拟化和自动化。在动态的云环境里，业务可以分钟级上线，安全的上线还需要手工配置，花费数周甚至上月，这就好比“一只快速奔跑的兔子”，和“一只缓慢爬行的蜗牛”，跟不上脚步心好累。

而随着越来越多的高价值资产聚集到云，云成为黑客觑觎的众矢之的，威胁不断演进，以变化、组合式的定制攻击，长期潜伏，精准窃取和破坏重要资产，如果你的安全还在依赖静态配置的安全软硬件设备，僵化的“以静制动”，这样的对抗显然已经不适用了。

2 软件定义安全，打散了再造

如何从传统的静态防御走向动态，让安全也变得敏捷、弹性，既能适配动态业务变化，又能从容应对复杂变化的威胁环境？

我们需要打破传统安全模式，以一种重构的思路对安全进行再造。SDN的出现成为实现网络敏捷性、灵活性和可编程性的架构选择，有人把SDN网络比作是“有了安卓系统的手机”，可以像安装APP一样对网络进行灵活调整，而安全则是运行在这台手机上最重要的一类APP，“软件定义安全”应运而生，算得上是SDN的一对“孪生兄弟或姐妹”。

软件定义安全带来了安全的动态可编程能力，实现物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池，顶层统一通过软件编程的方式进行智能化、自动化的编排和管理，以完成相应的安全功能，实现一种灵活的安全防护。

如何实现软件定义安全，打散了再造，可以分三步走：

第一步软件定义资源，建立安全和业务的连接，解耦控制和功能层。传统安全不面向业务，一个数据中心每天可能有成千上万的应用上线、下线和迁移，而安全依赖手工静态配置的方式开通安全服务、配置策略，给安全管理员带来巨大挑战。下一代安全的革新必须破除传统安全和业务的断裂点，在安全和业务间建立一条纽带，实现“业务开通了，安全服务也开通了，业务变化了，安全策略随着变化”。通过安全资源的控制上移，形成独立的控制层，与云业务平台对接，并将安全资源“微化”打散，作为高级服务向云平台注册，形成一个个安全APP；由租户或业务部门定义直接定义被保护对象，即安全组，并由控制层同步到安全资源层，使安全团队可以在业务创建和变更时自动同步、应用安全策略，并达到策略“随云而动”的效果，无需人工干预。

由此，使得业务人员或租户无需感知网络属性，网络人员透明感知业务属性，效率将明显提高。

第二步，软件定义流量，任意调度解耦部署方式。租户直接在云平台上指定安全策略应用的源和目的安全组，并定义引流规则，引流的颗粒度（协议、端口），通过网络控制器下发到网络设备，实现流量的自由按需调度，单跳或多跳引流到指定安全节点，解耦安全设备的物理部署位置。

第三步，软件定义业务链，按需编排解耦功能实现。基于租户订阅的安全APP提供差异化的安全业务链服务，如针对两类不同安全服务等级的租户，可以通过编排对高价值资产租户定制高防安全服务包，定义执行顺序，对普通租户提供基础安全服务包。

3 动如脱兔，安全无处不在

软件定义安全可满足企业不同业务以差异化的安全服务进行匹配，同时，面对动变化的、复杂威胁环境，形成动态安全防线，通过控制器动态引入、编排高级安全能力，得到一个针对不同威胁环境定制的安全检测和响应机制。

传统静态部署的安全，就会要求覆盖任意可能的威胁场景，而安全设备之间缺乏协作和联动机制，难以对抗复杂的威胁，尤其近年来持续爆发的高级持续威胁APT事件，黑产的专业性超出想象，依靠静态安全、单一厂商力量往往不可能完成对抗的任务。只有动态的、智能的安全，才能应对变化的、复杂的特定威胁。

软件定义安全可以从全网视角进行调度，包括网络设备和不同层面的安全防御节点，分布在设备、云OS、主机、网络和应用层面的防御功能，都可以动态使能，让安全无处不在；同时结合大数据分析进行智能的检测节点引入、分析、防御和响应，形成一套全网联动、跨域、跨设备、跨厂商的高度智能、动态的防御体系。这是一个对安全厂商能力“解耦”和再“集成”的过程，打破传统安全黑盒子，对每个厂商的开放性提出要求，向上层应用开放API，把安全的控制权交给租户和业务部门自定义。通过软件定义安全真正对安全进行再造，这也是今年RSA大会的主旨Connect to Protect，促使整个安全界从静态防御转向动态分析响应，连接、开放、合作，建立以Intelligence analysis为中心的新型安全防御体系。整个黑产都在组团攻击你了，你还在抱着僵化的传统安全单打独斗吗？

最后，软件定义安全不是一个单纯的技术，对安全的管理也是一次变革，这种模式将安全的策略定义进行前移，将安全的控制上移，交给用户自定义，针对不同业务和威胁环境动态定制检测、防御和响应机制。增加了业务理解和自动防御机制，安全的实现和管理不再是不懂业务和威胁变化的“盲管”，提高了管理的可视性、可维护性，以及安全防御的有效性、及时性。这对安全运维人员也提出新的要求，以前完全从网络视角进行管理，如今需要从全局视角管理整个IT基础设施和业务的威胁环境。

华为安全率先推动网络安全架构的演进，在软件定义安全上已进入实践。华为下一代网络安全方案围绕云数据中心、企业园区、分支和广域，以软件定义安全为核心，深度融入网络，提供全场景、无处不在的动态威胁防御体系。利用网络集成的优势，更大发挥软件定义安全架构的集中控制性和开放性优势，并引入以大数据技术为核心的安全智能分析层，解决现有各安全系统缺乏有效协同、联动以及可扩展性不强的问题。下一代网络安全方案已经在挪威Evry、招商银行、腾讯等重要领域成功应用。华为秉承开放合作的理念，以满足客户需求为核心，将继续加大和业界网络、安全厂商间的合作协同，共同推荐软件定义安全架构的发展。