近年來互聯(lián)網(wǎng)已發(fā)生巨大的變化，無論是基礎(chǔ)設(shè)施還是終端設(shè)備，無一不在重構(gòu)我們的生活。隨著云計算的普及和網(wǎng)絡(luò)惡意攻擊的產(chǎn)業(yè)化，數(shù)據(jù)泄露的風(fēng)險不斷加大，云計算信息系統(tǒng)中計算、網(wǎng)絡(luò)和數(shù)據(jù)安全等方面的各種威脅也日漸突出。

　　傳統(tǒng)的網(wǎng)絡(luò)安全防護方法應(yīng)用到如今復(fù)雜的網(wǎng)絡(luò)環(huán)境中已明顯表現(xiàn)出其局限性，借鑒軟件定義網(wǎng)絡(luò)（SDN， Software-Defined Networking）的思想，一種靈活的網(wǎng)絡(luò)安全防護方法——軟件定義安全（SDS，Software-Defined Security）應(yīng)運而生，在對復(fù)雜網(wǎng)絡(luò)的安全防護上表現(xiàn)出更強的適應(yīng)性。

　　軟件定義安全的架構(gòu)通過將安全控制平面與安全數(shù)據(jù)平面分離，標(biāo)準(zhǔn)化南向安全控制通道，并通過安全控制器（Security Controller）保護信息系統(tǒng)。在云計算系統(tǒng)和軟件定義網(wǎng)絡(luò)環(huán)境中，更能通過虛擬資源調(diào)度和流量控制手段，實現(xiàn)安全威脅快速響應(yīng)和多種安全手段結(jié)合的方法中斷攻擊鏈（Kill Chain）。

　　軟件定義安全體系的核心是安全控制平臺（Security Controller）。在南北方向，安全控制器根據(jù)通過解析定制化的北向安全應(yīng)用邏輯，協(xié)同控制南向資源池中的安全設(shè)備，實現(xiàn)預(yù)期安全功能；在東西方向，控制知識庫構(gòu)建了多種虛擬化解決方案租戶、虛擬機和虛擬網(wǎng)絡(luò)等資產(chǎn)關(guān)系，且通過松耦合的方式與多種SDN的網(wǎng)絡(luò)控制器集成，可獲取拓撲和流數(shù)據(jù)等信息，并下發(fā)網(wǎng)絡(luò)流量控制的命令，實現(xiàn)網(wǎng)絡(luò)流量實時感知和控制。

　　圖1 安全控制器的交互圖

　　安全控制平臺的優(yōu)勢：

　　（1）控制與數(shù)據(jù)分離簡化了安全設(shè)備的處理引擎，使得安全設(shè)備更穩(wěn)定高效。

　　（2）借助虛擬化技術(shù)，實現(xiàn)安全設(shè)備的資源池化，并通過安全控制平臺與SDN控制器的協(xié)同，對流量按需調(diào)度，實現(xiàn)服務(wù)鏈（Service Chain），根據(jù)應(yīng)用所需的安全需求就可以從資源池中找到相應(yīng)資源，而不用關(guān)心物理上安全設(shè)備部署在哪里，也不需要考慮如何布線劃區(qū)。

　　得益于南北向的松耦合結(jié)構(gòu)，安全控制平臺適用于多種場景，借助不同場景下的安全應(yīng)用，安全控制平臺可實現(xiàn)如BYOD訪問控制、DDoS檢測清洗、軟件定義的抗APT攻擊、軟件定義的WEB安全等功能。

　　此外，東西向安全控制平臺也采用松耦合結(jié)構(gòu)，在大量網(wǎng)絡(luò)業(yè)務(wù)分析后整理出了若干安全業(yè)務(wù)相關(guān)的SDN控制器北向接口和虛擬化系統(tǒng)接口，通過利用或開發(fā)相關(guān)接口，安全控制平臺與不同的SDN和虛擬化系統(tǒng)集成，可部署在多種不同業(yè)務(wù)類型的客戶環(huán)境中。

　　綠盟科技軟件定義安全方案與武漢綠網(wǎng)控制器GNFlush的協(xié)同工作，正是這種架構(gòu)多種優(yōu)點的體現(xiàn)。經(jīng)過雙方技術(shù)上的配合協(xié)作，安全控制平臺可借助GNFlush對全局網(wǎng)絡(luò)流量具有可視可控的能力，并在BYOD場景中進行了驗證。

　　圖2 軟件定義的BYOD訪問控制

　　軟件定義的BYOD訪問控制方案可支持多種認證方式：如LDAP、OpenID和手機號驗證等，進而基于訪問者的角色、屬性與被訪問資源的關(guān)系實現(xiàn)訪問控制。借助GNFlush控制器，可以實現(xiàn)流級別的細粒度控制，且無論訪問者物理位置在何處，底層網(wǎng)絡(luò)設(shè)備都執(zhí)行同樣的控制規(guī)則。這種全局、細粒度、強制且一致的訪問控制機制可認為是云安全聯(lián)盟提出的軟件定義邊界（Software Defined Perimeter）在BYOD場景中的實現(xiàn)。

　　此外，當(dāng)使用GNFlush可實現(xiàn)基于上下文環(huán)境的自適應(yīng)訪問控制，安全控制平臺通過GNFlush獲得全局流視圖，利用用戶、終端、資產(chǎn)和網(wǎng)絡(luò)環(huán)境等上下文信息形成動態(tài)的、基于風(fēng)險的訪問決策，建立訪問安全基線，當(dāng)存在異常訪問時，向GNFlush下發(fā)流指令，將可疑流量牽引到安全資源池組成的安全服務(wù)鏈，進行DPI、代碼和行為檢測，并進一步對確認的威脅進行處理。

　　武漢綠網(wǎng)研制的高性能SDN控制器GNflush每秒流表下發(fā)速率高達 10M flow/s，能實現(xiàn)毫秒級的主備切換。控制器具備全局視野，可掌握整個管理域范圍內(nèi)的流信息，這與傳統(tǒng)交換機只了解所轉(zhuǎn)發(fā)的流量有很大的區(qū)別。通過和不同類型的安全功能進行結(jié)合，這個全局信息使得安全服務(wù)重構(gòu)成為可能。例如，SDN可以為每個網(wǎng)絡(luò)節(jié)點和流建立各種安全狀態(tài)屬性，并與安全信譽和異常發(fā)現(xiàn)系統(tǒng)等聯(lián)動，實現(xiàn)更智能、靈活、高效的安全機制。高性能SDN控制器為各安全機制的自動化、聯(lián)動、特別是跨廠商設(shè)備的聯(lián)動，提供了新的機遇。

　　軟件定義的理念正在改變IT基礎(chǔ)設(shè)施的方方面面，如計算、存儲和網(wǎng)絡(luò)，最終成為軟件定義一切（Software Defined Everything）。這“一切”必然包含安全，軟件定義的安全體系將是今后安全防護的一個重要前進方向。近日，綠盟科技將發(fā)布軟件定義的云安全體系架構(gòu)安全白皮書，敬請期待。