基于SDN的应用定义安全方案

基于SDN的应用可以按需定制部署安全功能,快速开通安全服务;应用可以动态控制业务流能否通过网络,确保应用安全策略实时生效。

安全服务发展趋势

随着互联网的蓬勃发展,企业面临越来越多的安全威胁。针对大量的中小企业没有安全专业人员,缺少安全专业知识的普遍情况,运营商、安全服务提供商纷纷推出了安全服务(Managed security services)。根据分析报告预测:随着安全服务市场快速发展,到2020年有望达到299亿美元,平均年增长率达到15.8%。

尽管有着巨大的发展空间,安全服务也面临着诸多挑战:对企业而言,新的业务和应用层出不穷,企业希望为这些业务和应用进行实时的安全防护;对运营商和安全服务提供商来说,网络中有来自不同厂家的安全设备,这些设备的安全能力参差不齐,有着不同的配置接口,并且使用各自不同的管理平台,缺乏统一的管理和配置接口及应用,给业务运营人员带来了很大的不便;另外,随着云计算的普及,网络安全的边界变得模糊,公有云或私有云中的虚拟机也可能会发生迁移,运营商和安全服务提供商希望能根据网络中的资源情况,在网络中最合适的位置或设备上提供灵活的业务部署,满足不同业务的不同安全需求。

华为公司通过研究SDN和NFV技术在网络安全方面的应用,提出了应用定义安全的解决方案,利用SDN技术对网络设备、安全设备的集中管控,使得运营商和安全服务提供商能根据客户需求灵活的在网络中部署安全功能,实时的进行安全策略的配置和更新,为应用提供了端到端的安全保证。

应用定义安全的解决方案

应用定义安全(Application Defined Security)解决方案的核心理念是:(1)应用可以按需定制部署安全功能,快速开通安全服务;(2)应用可以动态控制业务流能否通过网络,确保应用安全策略实时生效。

在应用定义安全解决方案中,Orchestrator组件接收来自安全资源池中安全单元的功能和性能注册;并解析应用的安全业务需求,选择并调用最佳的安全单元组合进行业务编排。安全业务引擎(SSE)组件通过将安全能力与安全设备解耦,将安全控制面与数据面分离,实现了开放统一的安全业务策略接口和安全能力接口,将安全业务策略转换为安全能力规则后配置到具体的安全单元,并能实时监测安全单元的状态、收集其上报统计信息等。

图1 应用定义安全解决方案架构

应用定义安全解决方案使得用户不仅可以在靠近应用终端的位置部署合适的安全能力单元(如路由器的ACL能力,IPS功能等),而且实时动态控制业务流是否通过网络,什么时间通过网络等。

应用定义安全解决方案的价值

对运营商和安全服务提供商的价值:

应用定义安全解决方案对运营商和安全服务提供商的价值可归纳在业务部署、运维、成本这三个方面。在业务部署方面,运营商和安全服务提供商加速引入新业务并创收、按需自动化部署安全业务及快速提升服务能力;在运维方面,他们利用SDN集中管控,端到端的安全业务管理与控制,降低OPEX;在成本方面,他们按需部署虚拟化安全功能,降低CAPEX。

对企业用户的价值:

企业用户将企业网络安全业务托管给运营商或安全服务提供商,由他们来定制提供端到端的安全业务能力,保证企业应用的实时安全防御,使得企业用户可以聚焦核心业务。

相关的标准进展

业界各个标准组织也在积极制定相关的安全标准:IETF在2015年成立了DDoS Open Threat Singaling(DOTS)和Interface to Network Security Functions(I2NSF)工作组,分别定义DDoS攻击防御的信令接口与协议和SDN控制器的安全服务南/北向接口;开放网络基金会(Open Networking Foundation:ONF)设置了安全组,致力于SDN安全的标准化规范制定。

华为公司也积极的参与到了标准的制定过程中并在其中发挥了重要角色,联合Telefonica、BT、Orange和China mobile等运营商以及Fortinet等设备商在IETF推动成立了I2NSF工作组,将应用定义安全解决方案中的安全服务SDN南北向接口信息模型及DDoS攻击防御的信令接口和承载协议,分别贡献到IETF I2NSF和DOTS工作组草案中,有力的支持了标准的进展。

本文转载自:http://developer.huawei.com/ict/cn/site-sdn/article/09

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容