華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線(xiàn)安全產(chǎn)品管理部 張強(qiáng)
企業(yè)信息化迅猛發(fā)展,傳統(tǒng)網(wǎng)絡(luò)的短板越來(lái)越不可接受,尤其是網(wǎng)絡(luò)安全問(wèn)題。傳統(tǒng)網(wǎng)絡(luò)安全遵循“安全性與可用性的平衡”,CIO/CTO就是走鋼絲的平衡大師,要讓網(wǎng)絡(luò)與IT在為企業(yè)業(yè)務(wù)提供最大程度支撐的同時(shí),確保網(wǎng)絡(luò)與信息安全事件不傷及企業(yè)根本。但當(dāng)網(wǎng)絡(luò)安全遭遇移動(dòng)性、云計(jì)算、社交網(wǎng)絡(luò)和APT這些新挑戰(zhàn),就如同把鋼索架設(shè)到天塹之上、而且平衡大師還背了一個(gè)重要人物,對(duì)面就是彼岸、是通途,走不走?誰(shuí)敢走?怎么走?
似乎有點(diǎn)危言聳聽(tīng),但根據(jù)專(zhuān)業(yè)機(jī)構(gòu)對(duì)全球500強(qiáng)企業(yè)CIO/CTO的訪(fǎng)談顯示,BYOD、社交網(wǎng)絡(luò)、公有云大規(guī)模用于企業(yè)核心業(yè)務(wù)的最大障礙正是安全性顧慮。
SDN(軟件定義網(wǎng)絡(luò))架構(gòu)的提出,為這些新興業(yè)務(wù)所必需的彈性、高可用和低成本網(wǎng)絡(luò)平臺(tái)帶來(lái)了全新的思路,但截至目前,業(yè)界廠商所發(fā)布的SDN網(wǎng)絡(luò)方案大多缺乏對(duì)安全性的創(chuàng)新性思考,仍然試圖以傳統(tǒng)思路解決SDN時(shí)代的網(wǎng)絡(luò)安全威脅。這就出現(xiàn)了本文一開(kāi)始提到的場(chǎng)景和問(wèn)題:在APT、新興DDoS、未知惡意軟件、零日漏洞的虎視眈眈之下,沒(méi)有將安全融入其中的解決之道永遠(yuǎn)只能是風(fēng)雨中的鋼絲繩:可以把鋼絲設(shè)計(jì)到最結(jié)實(shí),怎么都不會(huì)斷;可以給平衡大師穿上特制的裝備,粘在鋼絲上怎么都掉不下去、多大的風(fēng)都迷不了眼、多低的溫度都寒不了身……就算這樣,誰(shuí)敢走?所以現(xiàn)實(shí)情況就是,企業(yè)只能慢一點(diǎn)、貴一些——核心業(yè)務(wù)不移動(dòng)、關(guān)鍵業(yè)務(wù)不社交、多花點(diǎn)錢(qián)自建私有云。
要在這場(chǎng)ICT變革的風(fēng)口浪尖上持續(xù)創(chuàng)新、贏得客戶(hù)信賴(lài),需要從最初設(shè)計(jì)、構(gòu)建網(wǎng)絡(luò)時(shí)開(kāi)始考慮安全問(wèn)題。眾所周知,基于TCP/IP架構(gòu)的傳統(tǒng)網(wǎng)絡(luò),在安全方面本質(zhì)上是封閉、隔離、不可信的。隨著信息化的不斷深入,雖然安全技術(shù)日新月異,企業(yè)為安全所投入的預(yù)算也越來(lái)越高,安全問(wèn)題造成的危害卻越來(lái)越大、越來(lái)越嚴(yán)重。下一代安全必須與網(wǎng)絡(luò)是一個(gè)整體,這樣才能解開(kāi)網(wǎng)絡(luò)安全問(wèn)題的癥結(jié)。
華為基于SDN架構(gòu)的敏捷網(wǎng)絡(luò),在設(shè)計(jì)之初就把網(wǎng)絡(luò)與安全作為一個(gè)整體進(jìn)行構(gòu)架,徹底顛覆傳統(tǒng)TCP/IP網(wǎng)絡(luò)安全“缺省阻斷”、“盡力而為”的原則,從終端到網(wǎng)絡(luò),從網(wǎng)絡(luò)到DC,全網(wǎng)自動(dòng)感知環(huán)境脆弱性,基于業(yè)務(wù)實(shí)施安全策略,智能整合安全信譽(yù)、大數(shù)據(jù)和沙箱等技術(shù)來(lái)檢測(cè)和防御未知威脅,為企業(yè)提供真正可控、可用、可信的網(wǎng)絡(luò)。
可控
安全設(shè)備能夠從“用戶(hù)、應(yīng)用、內(nèi)容、物理位置、時(shí)間、威脅”等多個(gè)維度感知企業(yè)ICT環(huán)境,并能夠和其它網(wǎng)絡(luò)設(shè)備一樣被共同的controller管理和調(diào)度,這意味著企業(yè)可以定義和感知網(wǎng)絡(luò)中幾乎所有對(duì)象,包括人、部門(mén)、業(yè)務(wù)、信息等等,也可以基于各種方法去管控和保護(hù),比如時(shí)間、地點(diǎn)、重要性、危害性等等。憑借對(duì)環(huán)境的精細(xì)化動(dòng)態(tài)感知能力,華為敏捷網(wǎng)絡(luò)甚至能夠從最終用戶(hù)網(wǎng)絡(luò)體驗(yàn)的角度,對(duì)企業(yè)關(guān)鍵業(yè)務(wù)和關(guān)鍵員工的業(yè)務(wù)質(zhì)量進(jìn)行監(jiān)控,提升網(wǎng)絡(luò)對(duì)業(yè)務(wù)的支撐水平。
華為目前提供超過(guò)6000種APP識(shí)別能力,居業(yè)界最高水平,能夠感知和導(dǎo)入企業(yè)組織結(jié)構(gòu)、人員信息,檢測(cè)上百種文件類(lèi)型和文件內(nèi)容,并通過(guò)終端Agent、AP等組件快速定位終端所在物理位置(公司內(nèi)部或外部、總部或分支、國(guó)內(nèi)或海外等),具備真正全方位、無(wú)死角的環(huán)境感知能力。可控的才是安全的,可感知才能可控,只有全網(wǎng)協(xié)同才能真正做到無(wú)漏洞的環(huán)境感知。
可用
在敏捷網(wǎng)絡(luò)中,安全不再是一個(gè)個(gè)孤立的網(wǎng)絡(luò)節(jié)點(diǎn),而是通過(guò)多層次的虛擬化技術(shù)構(gòu)成一個(gè)安全資源池,再通過(guò)統(tǒng)一的controller在全網(wǎng)調(diào)度,形成一系列有關(guān)聯(lián)的虛擬安全網(wǎng)關(guān)。企業(yè)原有的呈地理分布的多套物理安全網(wǎng)關(guān),可通過(guò)橫向和縱向虛擬化技術(shù)形成一臺(tái)超級(jí)虛擬安全網(wǎng)關(guān),然后再根據(jù)企業(yè)自身的業(yè)務(wù)和安全訴求進(jìn)行“一虛多”重新劃分,既可以按照組織結(jié)構(gòu)進(jìn)行部署,也可以按照區(qū)域進(jìn)行部署,甚至在廣域鏈路質(zhì)量比較好的地區(qū)之間實(shí)現(xiàn)資源整合、調(diào)度性能與功能。“多虛一”和“一虛多”技術(shù)形成的安全資源池可以實(shí)現(xiàn)全球安全策略與會(huì)話(huà)的自動(dòng)同步,比如在外出差的員工,其權(quán)限控制與資源控制可以根據(jù)物理位置的感知自動(dòng)遷移到最近的安全網(wǎng)關(guān)上,真正做到隨時(shí)隨地、一致體驗(yàn)。除此之外,基于華為多層次“多虛一”技術(shù)實(shí)現(xiàn)的安全云,同樣具備多層次的彈性擴(kuò)展能力,宏觀上可以向任何一個(gè)節(jié)點(diǎn)擴(kuò)容物理安全網(wǎng)關(guān),來(lái)增強(qiáng)全網(wǎng)安全處理能力;微觀上也可以對(duì)網(wǎng)絡(luò)中的安全網(wǎng)關(guān)、交換機(jī)和路由器進(jìn)行安全擴(kuò)展,包括業(yè)務(wù)處理板、CPU內(nèi)核、接口和安全特性。
真正可用的安全必然包括安全能力、安全部署和安全擴(kuò)展等多個(gè)方面的可用性,缺一不可。可用的安全是可用網(wǎng)絡(luò)的基本要素,也是核心要素。
可信
傳統(tǒng)網(wǎng)絡(luò)安全最基本的原則就是“不可信”,比如防火墻,首先定義Trust、Untrust域,所有來(lái)自Untrust域的訪(fǎng)問(wèn)都缺省禁止,管理威脅的時(shí)候缺省懷疑所有對(duì)象、檢測(cè)所有對(duì)象,只能通過(guò)管理員手工配置才能讓安全網(wǎng)關(guān)只監(jiān)控指定對(duì)象、放行指定對(duì)象。造成這個(gè)現(xiàn)象的根本原因在于傳統(tǒng)安全屬于“事后防御”——根據(jù)已發(fā)生的安全事件定義威脅特征,然后基于特征檢測(cè)和阻斷威脅,無(wú)法“事先”發(fā)現(xiàn)新威脅。“不可知”導(dǎo)致“不可信”,不可信則帶來(lái)效率下降、成本上升,但安全威脅仍然無(wú)法徹底杜絕。
