重构“随云而动”的智能、弹性安全

2016-03-14 03:22华为交换机与企业网关产品线安全产品管理部
网络安全技术与应用 2016年11期
关键词:租户威胁定义

华为交换机与企业网关产品线安全产品管理部 谈 晶

重构“随云而动”的智能、弹性安全

华为交换机与企业网关产品线安全产品管理部 谈 晶

1 最后一块羁石

云的普及,未来的云会像电一样在每个行业里不可或缺。在云化和虚拟化的大时代里,出现了许多新的理念和技术,让人眼花缭乱。如“数据中心作为服务”DCaaS,“软件定义数据中心”SDDC,本质上都是帮助客户完成灵活快速的业务部署、管理及实现。这在公有云环境里尤为明显,一天的业务上下线数量可以达到上万,如此动态变化的海量业务,必然需要一个更敏捷、高度适应和自动化的IT基础设施支撑。

当前IaaS的实践实现了计算即服务,存储即服务。用Gartner的观点来看“软件可以定义一切”,软件可以定义计算和存储,然而网络和安全还没有实现完全虚拟化和自动化。在动态的云环境里,业务可以分钟级上线,安全的上线还需要手工配置,花费数周甚至上月,这就好比“一只快速奔跑的兔子”,和“一只缓慢爬行的蜗牛”,跟不上脚步心好累。

而随着越来越多的高价值资产聚集到云,云成为黑客觑觎的众矢之的,威胁不断演进,以变化、组合式的定制攻击,长期潜伏,精准窃取和破坏重要资产,如果你的安全还在依赖静态配置的安全软硬件设备,僵化的“以静制动”,这样的对抗显然已经不适用了。

2 软件定义安全,打散了再造

如何从传统的静态防御走向动态,让安全也变得敏捷、弹性,既能适配动态业务变化,又能从容应对复杂变化的威胁环境?

我们需要打破传统安全模式,以一种重构的思路对安全进行再造。SDN的出现成为实现网络敏捷性、灵活性和可编程性的架构选择,有人把SDN网络比作是“有了安卓系统的手机”,可以像安装APP一样对网络进行灵活调整,而安全则是运行在这台手机上最重要的一类APP,“软件定义安全”应运而生,算得上是SDN的一对“孪生兄弟或姐妹”。

软件定义安全带来了安全的动态可编程能力,实现物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦,底层抽象为安全资源池,顶层统一通过软件编程的方式进行智能化、自动化的编排和管理,以完成相应的安全功能,实现一种灵活的安全防护。

如何实现软件定义安全,打散了再造,可以分三步走:

第一步软件定义资源,建立安全和业务的连接,解耦控制和功能层。传统安全不面向业务,一个数据中心每天可能有成千上万的应用上线、下线和迁移,而安全依赖手工静态配置的方式开通安全服务、配置策略,给安全管理员带来巨大挑战。下一代安全的革新必须破除传统安全和业务的断裂点,在安全和业务间建立一条纽带,实现“业务开通了,安全服务也开通了,业务变化了,安全策略随着变化”。通过安全资源的控制上移,形成独立的控制层,与云业务平台对接,并将安全资源“微化”打散,作为高级服务向云平台注册,形成一个个安全APP;由租户或业务部门定义直接定义被保护对象,即安全组,并由控制层同步到安全资源层,使安全团队可以在业务创建和变更时自动同步、应用安全策略,并达到策略“随云而动”的效果,无需人工干预。

由此,使得业务人员或租户无需感知网络属性,网络人员透明感知业务属性,效率将明显提高。

第二步,软件定义流量,任意调度解耦部署方式。租户直接在云平台上指定安全策略应用的源和目的安全组,并定义引流规则,引流的颗粒度(协议、端口),通过网络控制器下发到网络设备,实现流量的自由按需调度,单跳或多跳引流到指定安全节点,解耦安全设备的物理部署位置。

第三步,软件定义业务链,按需编排解耦功能实现。基于租户订阅的安全APP提供差异化的安全业务链服务,如针对两类不同安全服务等级的租户,可以通过编排对高价值资产租户定制高防安全服务包,定义执行顺序,对普通租户提供基础安全服务包。

3 动如脱兔,安全无处不在

软件定义安全可满足企业不同业务以差异化的安全服务进行匹配,同时,面对动变化的、复杂威胁环境,形成动态安全防线,通过控制器动态引入、编排高级安全能力,得到一个针对不同威胁环境定制的安全检测和响应机制。

传统静态部署的安全,就会要求覆盖任意可能的威胁场景,而安全设备之间缺乏协作和联动机制,难以对抗复杂的威胁,尤其近年来持续爆发的高级持续威胁APT事件,黑产的专业性超出想象,依靠静态安全、单一厂商力量往往不可能完成对抗的任务。只有动态的、智能的安全,才能应对变化的、复杂的特定威胁。

软件定义安全可以从全网视角进行调度,包括网络设备和不同层面的安全防御节点,分布在设备、云OS、主机、网络和应用层面的防御功能,都可以动态使能,让安全无处不在;同时结合大数据分析进行智能的检测节点引入、分析、防御和响应,形成一套全网联动、跨域、跨设备、跨厂商的高度智能、动态的防御体系。这是一个对安全厂商能力“解耦”和再“集成”的过程,打破传统安全黑盒子,对每个厂商的开放性提出要求,向上层应用开放API,把安全的控制权交给租户和业务部门自定义。通过软件定义安全真正对安全进行再造,这也是今年RSA大会的主旨Connect to Protect,促使整个安全界从静态防御转向动态分析响应,连接、开放、合作,建立以Intelligence analysis为中心的新型安全防御体系。整个黑产都在组团攻击你了,你还在抱着僵化的传统安全单打独斗吗?

最后,软件定义安全不是一个单纯的技术,对安全的管理也是一次变革,这种模式将安全的策略定义进行前移,将安全的控制上移,交给用户自定义,针对不同业务和威胁环境动态定制检测、防御和响应机制。增加了业务理解和自动防御机制,安全的实现和管理不再是不懂业务和威胁变化的“盲管”,提高了管理的可视性、可维护性,以及安全防御的有效性、及时性。这对安全运维人员也提出新的要求,以前完全从网络视角进行管理,如今需要从全局视角管理整个IT基础设施和业务的威胁环境。

华为安全率先推动网络安全架构的演进,在软件定义安全上已进入实践。华为下一代网络安全方案围绕云数据中心、企业园区、分支和广域,以软件定义安全为核心,深度融入网络,提供全场景、无处不在的动态威胁防御体系。利用网络集成的优势,更大发挥软件定义安全架构的集中控制性和开放性优势,并引入以大数据技术为核心的安全智能分析层,解决现有各安全系统缺乏有效协同、联动以及可扩展性不强的问题。下一代网络安全方案已经在挪威Evry、招商银行、腾讯等重要领域成功应用。华为秉承开放合作的理念,以满足客户需求为核心,将继续加大和业界网络、安全厂商间的合作协同,共同推荐软件定义安全架构的发展。

猜你喜欢
租户威胁定义
多租户数据隔离及加密研究
人类的威胁
基于多租户隔离的云安全建设
受到威胁的生命
基于MVC模式的多租户portlet应用研究*
成功的定义
搞笑图片
企业多租户云存储平台的设计与实现
修辞学的重大定义
山的定义