基于SDN的应用可以按需定制部署安全功能,快速开通安全服务;应用可以动态控制业务流能否通过网络,确保应用安全策略实时生效。
安全服务发展趋势
随着互联网的蓬勃发展,企业面临越来越多的安全威胁。针对大量的中小企业没有安全专业人员,缺少安全专业知识的普遍情况,运营商、安全服务提供商纷纷推出了安全服务(Managed security services)。根据分析报告预测:随着安全服务市场快速发展,到2020年有望达到299亿美元,平均年增长率达到15.8%。
尽管有着巨大的发展空间,安全服务也面临着诸多挑战:对企业而言,新的业务和应用层出不穷,企业希望为这些业务和应用进行实时的安全防护;对运营商和安全服务提供商来说,网络中有来自不同厂家的安全设备,这些设备的安全能力参差不齐,有着不同的配置接口,并且使用各自不同的管理平台,缺乏统一的管理和配置接口及应用,给业务运营人员带来了很大的不便;另外,随着云计算的普及,网络安全的边界变得模糊,公有云或私有云中的虚拟机也可能会发生迁移,运营商和安全服务提供商希望能根据网络中的资源情况,在网络中最合适的位置或设备上提供灵活的业务部署,满足不同业务的不同安全需求。
华为公司通过研究SDN和NFV技术在网络安全方面的应用,提出了应用定义安全的解决方案,利用SDN技术对网络设备、安全设备的集中管控,使得运营商和安全服务提供商能根据客户需求灵活的在网络中部署安全功能,实时的进行安全策略的配置和更新,为应用提供了端到端的安全保证。
应用定义安全的解决方案
应用定义安全(Application Defined Security)解决方案的核心理念是:(1)应用可以按需定制部署安全功能,快速开通安全服务;(2)应用可以动态控制业务流能否通过网络,确保应用安全策略实时生效。
在应用定义安全解决方案中,Orchestrator组件接收来自安全资源池中安全单元的功能和性能注册;并解析应用的安全业务需求,选择并调用最佳的安全单元组合进行业务编排。安全业务引擎(SSE)组件通过将安全能力与安全设备解耦,将安全控制面与数据面分离,实现了开放统一的安全业务策略接口和安全能力接口,将安全业务策略转换为安全能力规则后配置到具体的安全单元,并能实时监测安全单元的状态、收集其上报统计信息等。
图1 应用定义安全解决方案架构
应用定义安全解决方案使得用户不仅可以在靠近应用终端的位置部署合适的安全能力单元(如路由器的ACL能力,IPS功能等),而且实时动态控制业务流是否通过网络,什么时间通过网络等。
应用定义安全解决方案的价值
对运营商和安全服务提供商的价值:
应用定义安全解决方案对运营商和安全服务提供商的价值可归纳在业务部署、运维、成本这三个方面。在业务部署方面,运营商和安全服务提供商加速引入新业务并创收、按需自动化部署安全业务及快速提升服务能力;在运维方面,他们利用SDN集中管控,端到端的安全业务管理与控制,降低OPEX;在成本方面,他们按需部署虚拟化安全功能,降低CAPEX。
对企业用户的价值:
企业用户将企业网络安全业务托管给运营商或安全服务提供商,由他们来定制提供端到端的安全业务能力,保证企业应用的实时安全防御,使得企业用户可以聚焦核心业务。
相关的标准进展
业界各个标准组织也在积极制定相关的安全标准:IETF在2015年成立了DDoS Open Threat Singaling(DOTS)和Interface to Network Security Functions(I2NSF)工作组,分别定义DDoS攻击防御的信令接口与协议和SDN控制器的安全服务南/北向接口;开放网络基金会(Open Networking Foundation:ONF)设置了安全组,致力于SDN安全的标准化规范制定。
华为公司也积极的参与到了标准的制定过程中并在其中发挥了重要角色,联合Telefonica、BT、Orange和China mobile等运营商以及Fortinet等设备商在IETF推动成立了I2NSF工作组,将应用定义安全解决方案中的安全服务SDN南北向接口信息模型及DDoS攻击防御的信令接口和承载协议,分别贡献到IETF I2NSF和DOTS工作组草案中,有力的支持了标准的进展。
本文转载自:http://developer.huawei.com/ict/cn/site-sdn/article/09