SDN架构的基础是控制平面和数据平面的分离,以及通过一个外部软件控制器对网络从逻辑上集中控制,该控制器能够通过开放的API与底层网络通信。业界普遍认为,SDN是网络和安全行业的一个重大转变,其影响将扩展到数据中心以外更广的范围,超出今天的很多预测。
瞻博网络亚太区高级技术副总裁Andy Miller在接受ZDNet采访时表示,“芯片支撑网络中的控制点在大规模的范围内保证服务的质量,软件来定义、控制及管理网络,所以这实际上是软件和硬件的一个完美的结合。在这两者的中间部分需要一套系统,通过这些系统来提供基于SDN的服务。”
瞻博网络亚太区高级技术副总裁Andy Miller
Andy Miller补充到,客户需要非常快速的行动,一旦出现问题,SDN能够快速的部署安全策略。举个简单的例子,比如说如果我们能够在虚拟存储器上安装一个设备,或者在网络上安装一个设备,这相对来说是非常简单的。但是如果要真正地配置整体的网络,一般是非常的漫长和困难。所以如果能够利用SDN,在虚拟网络上进行工作的话,可以极大地提高效率。
瞻博网络在SDN的过程中,遵循的主要原则是:“怎么能够更好地利用现有的网络架构和网络设施,也就说在现有的网络架构上,安全使用SDN功能。换句话讲,我们要在现有的网络架构上更好地利用已有的协议,和已有的这些能力,这个是我们设计SDN重要的考量因素。”Andy Miller告诉记者。
可以看出,安全是瞻博网络SDN战略考量的重要因素之一。Andy Miller指出,首先安全业务流在不断发生变化,过去业务流从一个数据中心到另一个数据中心,向现在的“东西流量”演进。另外,基于应用的威胁不断涌现,目前有73%的攻击是针对网络应用。在SDN包括云计算的这些变化中,当前的一代的安全措施,已不足以防御这些攻击。
瞻博网络-下一代数据中心安全:Spotlight Secure全球攻击者情报服务
瞻博网络发布了Junos Spotlight Secure全球攻击者情报服务,它为客户提供广泛的网络和瞻博网络安全产品中有关威胁、攻击和单个设备的准确情报。Junos Spotlight Secure是一种基于云的新型威胁情报解决方案,它能够基于设备来识别每个攻击者,并在一个全球数据库中对他们进行跟踪。在与Junos WebApp Secure配合使用时,Junos Spotlight Secure将为攻击者创建一个永久性指纹,其中包含了200多个特征,能够以此准确地识别攻击者,由于不会误报而不会对合法用户造成影响。用户在使用JunosWebApp Secure后,一旦通过指纹技术发现自己的网络上出现了一位攻击者,全球攻击者情报解决方案就会立即将该攻击者的相关信息与其它用户共享,并在多个网络上实施一种先进的实时安全保护解决方案。
Andy Miller认为,要应对新一代数据中心安全威胁,我们需要以全新的方式来思考网络防护。公司应该专注于早期检测和分析攻击者及其攻击行为(而非攻击点),并确保在安全架构中更好地集成相关情报(这与缺乏信息共享的单点产品明显不同)。今天市面上的绝大多数安全产品都企图在攻击发起的瞬间就要检测到威胁。遗憾的是,这只适用于已知的攻击,其中只有一次机会来检测和消除威胁。为了有效地保护数据中心的安全,公司必须了解攻击设备的信息(而不仅仅是IP地址),并将相关的情报快速分发给所有的数据中心接入控制点。
另外,在谈到攻击的时候,我们会想到大量的洪水攻击或者一些业务流堵塞了我们的网络,这是一种非常快速并且奏效的攻击。但是现在一些新型的攻击,它的攻击时间会更长一些,慢慢渗透达到攻击的目的。
Andy Miller表示,利用Junos Spotlight Secure与Junos WebApp Secure的协同工作,瞻博网络能够帮助客户在早期跟踪和阻止攻击者的行动,避免他们造成任何破坏。作为第一步,Junos WebApp Secure使用最新的入侵诱骗技术来准确地早期检测、甚至误导攻击者。Junos WebApp Secure综合使用大量的数据,通过指纹技术来识别和监测黑客,具有极高的准确性,能够尽早(甚至在漏洞受到攻击之前)采取对策来阻止攻击。
同时,利用运行在硬件中的保护屏幕和过滤器,以及用户和控制平面分离这一特性,瞻博网络SRX系列业务网关能够保护最大规模的网络,以防御DoS/DDoS攻击,恶意流量,侦察搜寻,充斥信令网络、欺诈应用。Andy Miller表示,总的说来,我们希望通过自动的方式把SDN与安全连接起来,通过SDN的控制器和SDN技术,以及一个集中式的全球网络推送命令来自动实现安全防护。
Andy Miller最后谈到了SDN的安全机会,安全变得越来越分散化,而且变得越来越复杂。这是一个大数据的时代,SDN可以作为一个控制的机制,来对这些数据进行管理。SDN让你有一个集中化的管理和控制,并且把它的更新推送到不同的分散性的一些点上。我们使用的是大数据来进行收集和分析,一部分实际上不止在数据中心中进行管理,而是作为全球的跨云的安全的解决方案。
如果像Juniper这种方式,我们会得到很多的连接性,包括在虚拟环境、以及物理环境的连接性。其中一个挑战,就是你如果过去不知道网络中的问题出现在哪儿,找到这些问题和故障的节点,SDN的这种集中管理和控制能够完成这个任务。