基於SDN的應用可以按需定製部署安全功能,快速開通安全服務;應用可以動態控制業務流能否通過網絡,確保應用安全策略實時生效。
安全服務發展趨勢
隨着互聯網的蓬勃發展,企業面臨越來越多的安全威脅。針對大量的中小企業沒有安全專業人員,缺少安全專業知識的普遍情況,運營商、安全服務提供商紛紛推出了安全服務(Managed security services)。根據分析報告預測:隨着安全服務市場快速發展,到2020年有望達到299億美元,平均年增長率達到15.8%。
儘管有着巨大的發展空間,安全服務也面臨着諸多挑戰:對企業而言,新的業務和應用層出不窮,企業希望爲這些業務和應用進行實時的安全防護;對運營商和安全服務提供商來說,網絡中有來自不同廠家的安全設備,這些設備的安全能力參差不齊,有着不同的配置接口,並且使用各自不同的管理平臺,缺乏統一的管理和配置接口及應用,給業務運營人員帶來了很大的不便;另外,隨着雲計算的普及,網絡安全的邊界變得模糊,公有云或私有云中的虛擬機也可能會發生遷移,運營商和安全服務提供商希望能根據網絡中的資源情況,在網絡中最合適的位置或設備上提供靈活的業務部署,滿足不同業務的不同安全需求。
華爲公司通過研究SDN和NFV技術在網絡安全方面的應用,提出了應用定義安全的解決方案,利用SDN技術對網絡設備、安全設備的集中管控,使得運營商和安全服務提供商能根據客戶需求靈活的在網絡中部署安全功能,實時的進行安全策略的配置和更新,爲應用提供了端到端的安全保證。
應用定義安全的解決方案
應用定義安全(Application Defined Security)解決方案的核心理念是:(1)應用可以按需定製部署安全功能,快速開通安全服務;(2)應用可以動態控制業務流能否通過網絡,確保應用安全策略實時生效。
在應用定義安全解決方案中,Orchestrator組件接收來自安全資源池中安全單元的功能和性能註冊;並解析應用的安全業務需求,選擇並調用最佳的安全單元組合進行業務編排。安全業務引擎(SSE)組件通過將安全能力與安全設備解耦,將安全控制面與數據面分離,實現了開放統一的安全業務策略接口和安全能力接口,將安全業務策略轉換爲安全能力規則後配置到具體的安全單元,並能實時監測安全單元的狀態、收集其上報統計信息等。
圖1 應用定義安全解決方案架構
應用定義安全解決方案使得用戶不僅可以在靠近應用終端的位置部署合適的安全能力單元(如路由器的ACL能力,IPS功能等),而且實時動態控制業務流是否通過網絡,什麼時間通過網絡等。
應用定義安全解決方案的價值
對運營商和安全服務提供商的價值:
應用定義安全解決方案對運營商和安全服務提供商的價值可歸納在業務部署、運維、成本這三個方面。在業務部署方面,運營商和安全服務提供商加速引入新業務並創收、按需自動化部署安全業務及快速提升服務能力;在運維方面,他們利用SDN集中管控,端到端的安全業務管理與控制,降低OPEX;在成本方面,他們按需部署虛擬化安全功能,降低CAPEX。
對企業用戶的價值:
企業用戶將企業網絡安全業務託管給運營商或安全服務提供商,由他們來定製提供端到端的安全業務能力,保證企業應用的實時安全防禦,使得企業用戶可以聚焦核心業務。
相關的標準進展
業界各個標準組織也在積極制定相關的安全標準:IETF在2015年成立了DDoS Open Threat Singaling(DOTS)和Interface to Network Security Functions(I2NSF)工作組,分別定義DDoS***防禦的信令接口與協議和SDN控制器的安全服務南/北向接口;開放網絡基金會(Open Networking Foundation:ONF)設置了安全組,致力於SDN安全的標準化規範制定。
華爲公司也積極的參與到了標準的制定過程中並在其中發揮了重要角色,聯合Telefonica、BT、Orange和China mobile等運營商以及Fortinet等設備商在IETF推動成立了I2NSF工作組,將應用定義安全解決方案中的安全服務SDN南北向接口信息模型及DDoS***防禦的信令接口和承載協議,分別貢獻到IETF I2NSF和DOTS工作組草案中,有力的支持了標準的進展。
本文轉載自:http://developer.huawei.com/ict/cn/site-sdn/article/09