云技术和虚拟化技术以令人难以置信的速度在演进。从实验室中的概念、白皮书到现今各政府部门、企业中大量的快速落地上线,弹指之间。网络通信、数据运算分析、海量存储从未有过如此快速的融合。
但随着更多的鸡蛋都放在了同一个云的篮子里面,云也集中了越来越多的高价值信息资产。这对于有目的性的网络攻击者,再也不需要在各分散网络中去收集碎片化的信息,而是潜伏在云中,针对性的破坏或窃取各政府部门、企业的核心信息资产,效率大大提升,带来的破坏性也远超我们的想象。
传统的网络安全防护依赖安全设备的静态部署、配置。防火墙部署在这里,这里就具备了不同安全域隔离的能力,入侵防御部署在这里,这里就具备了对于蠕虫、木马等高危攻击的防护能力。但随着客户业务快速上线的需求,城墙的坚石始终无法跟随业务快速迁移变化的速度,僵化的防御已无法对抗云环境下网络攻击者变化灵活的破坏。因此,谁能提供敏捷、弹性的安全能力,谁就能真正帮助客户实现业务快速灵活部署、管理及实现并提供全面防护的本质理念。
现在,我们推倒城墙,站在云的角度思考重构安全,以“软件定义安全”,像编程一样敏捷的为不同的业务提供不同的安全能力。将物理安全设备、虚拟安全设备从部署位置、部署方式、安全策略中解耦。以安全应用、安全控制和安全资源的三层架构重建架构。将安全能力抽象为安全资源池中的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,实现安全能力的从天而降。
云带来了应用快速上线、下线和迁移,而安全设备、安全策略无法感知到业务的变化,依赖手工配置进行策略配置、策略修改,无异于高铁配置了上人工添煤的内燃机。因此,我们现在在业务与安全间实现联动,安全随着业务上线,安全随着业务迁移。以“安全组”的形式,将安全的应用对象真正交给业务使用部门。通过控制器与上层云业务平台对接,将安全资源作为一种服务向云平台注册,形成一个个安全软件应用,由控制层同步到安全资源层,使业务创建和变更时自动应用安全策略,在无需人工干预的情况下,达到安全能力的随行。一个业务上线时,直接加入预先已定义的安全组,云平台的API接口自动同步下端的安全控制器,控制器将命令翻译并下发至安全资源层,实现自动化策略强制;在业务迁移、下线时也可以动态感知,自动更新安全组下发至设备,适配业务的变化需要。软件定义安全将解放维护人员之前面对的庞大的安全策略配置管理与修改,同时,将降低维护人员面对晦涩的设备配置语言的门槛,提升工作效率。
另外,可以通过设定不同的引流规则实现不同业务的差异化安全检测防护。在云平台上指定安全策略应用的源和目的安全组,并定义引流规则,流量即可按照规划的路径经过不同的安全防护设备。在对外提供租赁服务的云数据中心,针对不同安全需要的租户,可通过编排对高价值资产租户定制高防安全服务包,对普通租户提供基础安全服务包,对不同租户提供不同的安全防护能力。
“软件定义安全”让我们第一次站在业务与全网的视角去思考规划云内整网的安全。而华为下一代网络安全方案围绕云数据中心、企业园区、分支和广域,以软件定义安全为核心,深度融入网络,提供全场景、无处不在的动态威胁防御体系,将在云时代为各行业客户提供从容应对复杂变化的威胁环境的安全能力。