云來了，你的企業(yè)安全是否也做到了因云而變？在傳統(tǒng)IT環(huán)境下，數(shù)據(jù)在自己的手里，系統(tǒng)部署在自己的數(shù)據(jù)中心，有清晰的網(wǎng)絡(luò)安全邊界、可控的安全策略，現(xiàn)在云計(jì)算的到來讓這一切不再一樣。

云化環(huán)境進(jìn)一步打破了傳統(tǒng)網(wǎng)絡(luò)安全邊界，虛擬化層?xùn)|西向防護(hù)出現(xiàn)盲點(diǎn)，惡意VM可能攻擊基礎(chǔ)設(shè)施或橫向感染其他虛擬機(jī)。另外，傳統(tǒng)的靜態(tài)安全防護(hù)也不適應(yīng)云業(yè)務(wù)快速變化，安全上線周期長(zhǎng)，不適應(yīng)虛擬機(jī)上線、遷移和下線動(dòng)態(tài)變化。這個(gè)過程中，如果還是手工配置調(diào)整安全資源，也無法彈性地適配業(yè)務(wù)的快速發(fā)展。

總結(jié)云環(huán)境下尤其是云數(shù)據(jù)中心面臨的安全挑戰(zhàn)，可以分為三個(gè)方面：一是威脅在變，高級(jí)威脅泛化，沒有成熟方案應(yīng)對(duì)；二是業(yè)務(wù)在變，傳統(tǒng)靜態(tài)安全不適應(yīng)業(yè)務(wù)動(dòng)態(tài)變化；三是邊界在變，云化使得傳統(tǒng)網(wǎng)絡(luò)邊界瓦解。

如何應(yīng)對(duì)這些威脅的變化？如何打造一套適用于云數(shù)據(jù)中心的行之有效的安全解決方案？

以SDN思路應(yīng)對(duì)云數(shù)據(jù)安全挑戰(zhàn)

利用SDN（軟件定義網(wǎng)絡(luò)）的技術(shù)，給了應(yīng)對(duì)云數(shù)據(jù)中心安全挑戰(zhàn)的全新思路。華為近日發(fā)布了云數(shù)據(jù)中心SDN安全解決方案，考慮了企業(yè)業(yè)務(wù)遷移到云的技術(shù)趨勢(shì)，滿足了數(shù)據(jù)中心快速發(fā)展、靈活擴(kuò)容、高效運(yùn)維要求，提供了端到端的專業(yè)、全面的虛擬化安全解決方案。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱在2016華為全聯(lián)接大會(huì)上表示，我們希望通過SDN的技術(shù)和方式讓安全面向云數(shù)據(jù)中心架構(gòu)時(shí)是軟件定義的。首先是安全資源池化，以前安全是一個(gè)整體，只能做一種功能，現(xiàn)在在SDN的框架下，安全可以被靈活地調(diào)度。其次，不同業(yè)務(wù)的安全防護(hù)策略是可定義的，安全策略隨業(yè)務(wù)實(shí)時(shí)遷移，動(dòng)態(tài)感知業(yè)務(wù)變化，自動(dòng)匹配策略。

華為云數(shù)據(jù)中心SDN安全解決方法架構(gòu)

華為云數(shù)據(jù)中心SDN安全解決方案的重要特點(diǎn)還體現(xiàn)在按需彈性上，基于虛擬機(jī)東西向流量防護(hù)手段，通過與敏捷控制器（Agile Controller）聯(lián)動(dòng)，實(shí)現(xiàn)租戶自助配置業(yè)務(wù)、自動(dòng)化開通安全服務(wù)。

“這個(gè)SDN的云數(shù)據(jù)中心安全解決方案會(huì)把它感知到的威脅通過我們的連接送到智能分析系統(tǒng)，它是一個(gè)運(yùn)用大數(shù)據(jù)系統(tǒng)構(gòu)筑的一個(gè)自動(dòng)分析系統(tǒng)，從而變成一個(gè)安全反饋的大腦。通過這個(gè)大腦找出所感知的問題，判斷出機(jī)體是不是得病的，是什么病，是感冒還是肺炎。再把這個(gè)結(jié)果告訴給SDN軟件定義的控制器，控制器會(huì)通知下面它控制的策略及安全資源，實(shí)時(shí)做出動(dòng)態(tài)響應(yīng)。”劉立柱說。

按需彈性還減少了90%手工配置工作量，實(shí)現(xiàn)業(yè)務(wù)分鐘級(jí)上線。租戶按需訂購(gòu)業(yè)務(wù)，資源動(dòng)態(tài)加載、回收，資源分配靈活、彈性。因?yàn)椴煌臉I(yè)務(wù)要求的安全等級(jí)不一樣，比如A業(yè)務(wù)，業(yè)務(wù)行為比較簡(jiǎn)單，可能只需要很簡(jiǎn)單的防護(hù)控制就可以了。B業(yè)務(wù)可能需要有更多的檢測(cè)服務(wù)，IPS、DDoS防護(hù)等，這些安全功能和策略可以按照業(yè)務(wù)的類別自行訂購(gòu)和發(fā)放。

這也避免了虛擬化環(huán)境下各種業(yè)務(wù)快速發(fā)展時(shí)，租戶調(diào)度使用的資源缺乏及時(shí)保護(hù)的問題。

當(dāng)然，云數(shù)據(jù)中心SDN安全解決方案自助自動(dòng)化部署安全業(yè)務(wù)的同時(shí)，它還是智能的。例如，安全策略隨業(yè)務(wù)實(shí)時(shí)遷移，安全策略智能調(diào)優(yōu)，安全態(tài)勢(shì)智能感知等。

最終，它改變了數(shù)據(jù)中心邊界單點(diǎn)防護(hù)現(xiàn)狀，實(shí)現(xiàn)邊界-租戶-虛擬機(jī)微隔離三級(jí)縱深防御。DC邊界，部署數(shù)據(jù)中心防火墻、Anti-DDoS、NIP、SVN等多種安全設(shè)備，提供大流量、多業(yè)務(wù)安全防護(hù)。租戶邊界，集中部署硬件防火墻USG6000池或軟件防火墻USG6000-V池，將租戶之間的南北向流量引至防火墻進(jìn)行安全防護(hù)。租戶內(nèi)部，基于Host分布式部署USG6000V，可基于vSYS為多個(gè)租戶作內(nèi)部東西向流量過濾、VM主機(jī)隔離。通過它們聯(lián)動(dòng)大數(shù)據(jù)智能分析，精準(zhǔn)檢測(cè)外部威脅、內(nèi)部租戶以及虛擬機(jī)異常，解決了威脅手段升級(jí)下傳統(tǒng)檢測(cè)效率低下的問題。

華為云數(shù)據(jù)中心SDN安全解決方案實(shí)現(xiàn)全網(wǎng)協(xié)防智能聯(lián)動(dòng)

當(dāng)然，基于SDN技術(shù)和方式的安全解決方案并不是第一次出現(xiàn)，華為做的又有什么不同？

華為在SDN領(lǐng)域有充分的積累，“華為云數(shù)據(jù)中心SDN解決方案大的不同就是我們的SDN控制器，它實(shí)現(xiàn)的是一個(gè)全資源的管理?？梢詫?duì)整體的網(wǎng)絡(luò)，無論是DC、園區(qū)、還是邊緣，做全站、全系列的資源管理，這樣真正實(shí)現(xiàn)安全的無處不在和全網(wǎng)的協(xié)同性。能具備這樣能力的企業(yè)，業(yè)界屈指可數(shù)。”劉立柱說。

華為還將在安全方面發(fā)展基于大數(shù)據(jù)的智能化檢測(cè)和分析技術(shù)等相關(guān)產(chǎn)品，從而跟整個(gè)SDN實(shí)現(xiàn)全網(wǎng)的協(xié)同和聯(lián)動(dòng)，讓真正的軟件定義是智能化的軟件定義，從而讓整個(gè)數(shù)據(jù)中心的架構(gòu)變得非常彈性，同時(shí)在安全方面具備非常強(qiáng)的自免疫能力。

華為云數(shù)據(jù)中心SDN安全解決方案是基于華為敏捷數(shù)據(jù)中心網(wǎng)絡(luò)解決方案實(shí)現(xiàn)的端到端的安全解決方案，其管理編排層、控制層相關(guān)等組件均由華為公司提供，安全設(shè)備作為數(shù)據(jù)面組件通過API接口與之對(duì)接，實(shí)現(xiàn)端到端的資源及業(yè)務(wù)調(diào)度。

在這個(gè)SDN安全解決方案架構(gòu)中，應(yīng)用層提供了包括主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全和管理安全的12類安全VAS服務(wù)，以在線超市模式提供，用戶可隨需自選。管理和編排&控制層上，讓安全資源按需彈性、業(yè)務(wù)自動(dòng)發(fā)放，并且結(jié)合大數(shù)據(jù)智能分析，實(shí)現(xiàn)精準(zhǔn)檢測(cè)。數(shù)據(jù)面則實(shí)現(xiàn)了邊界-租戶-虛擬機(jī)微隔離的三重防御和全網(wǎng)協(xié)防。

最終，華為借助SDN技術(shù)實(shí)現(xiàn)了適應(yīng)業(yè)務(wù)變化的軟件定義安全，并結(jié)合大數(shù)據(jù)安全分析精準(zhǔn)識(shí)別異常，幫助企業(yè)構(gòu)建SDN架構(gòu)的可信云平臺(tái)。借鑒軟件定義的技術(shù)，華為讓云數(shù)據(jù)中心變得更安全。