CNET科技資訊網(wǎng) 9月23日 北京消息（文/周雅）：當(dāng)越來(lái)越多的企業(yè)開(kāi)始采用云服務(wù)，安全問(wèn)題往往成為待考慮的問(wèn)題。在傳統(tǒng)IT環(huán)境中，企業(yè)默認(rèn)的邏輯架構(gòu)是可信的，數(shù)據(jù)在自己手里，系統(tǒng)部署在自己的數(shù)據(jù)中心，有自己很清晰的網(wǎng)絡(luò)安全邊界，邊界之間會(huì)有一個(gè)相對(duì)比較清晰的防火墻做隔離，有可控的安全策略的管理。

然而一旦云化之后，企業(yè)云數(shù)據(jù)中心面臨3個(gè)安全挑戰(zhàn)：第一，企業(yè)接觸云之后，基礎(chǔ)設(shè)施供應(yīng)方發(fā)生了變化，無(wú)論是公有云、混合云還是私有云，原有的網(wǎng)絡(luò)邊界越來(lái)越模糊，不同業(yè)務(wù)之間有著不同的訪問(wèn)權(quán)限和控制規(guī)則；第二，業(yè)務(wù)模式也在變化，以往的業(yè)務(wù)是靜態(tài)的，重構(gòu)整合之后，業(yè)務(wù)需要重新部署在共享的技術(shù)架構(gòu)上，靜態(tài)安全已經(jīng)無(wú)法適應(yīng)業(yè)務(wù)的動(dòng)態(tài)變化；此外，威脅在與時(shí)俱進(jìn)，隨著大量的信息處理、聯(lián)接、存儲(chǔ)在云中，意味著未來(lái)將有大量不可靠的節(jié)點(diǎn)通過(guò)網(wǎng)絡(luò)連接到云上，最終威脅云，帶來(lái)極大的安全風(fēng)險(xiǎn)。

那么，企業(yè)如何應(yīng)對(duì)這些數(shù)據(jù)安全挑戰(zhàn)？

SDN（軟件定義網(wǎng)絡(luò)）是關(guān)鍵

在華為全聯(lián)接大會(huì)（HUAWEI CONNECT 2016）期間，華為發(fā)布了云數(shù)據(jù)中心SDN安全解決方案。華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱介紹，華為希望通過(guò)SDN的技術(shù)和方式，讓安全解決方案面向云數(shù)據(jù)中心架構(gòu)時(shí)，是軟件定義的。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱

華為在考慮安全架構(gòu)的時(shí)候，首先是安全資源池化，以前安全是一個(gè)整體，只能做一種功能，現(xiàn)在在SDN的框架下，安全可以被靈活地調(diào)度，可能同時(shí)服務(wù)于很多業(yè)務(wù)，可能又會(huì)被用于加固不同的安全策略。

其次，不同業(yè)務(wù)的安全防護(hù)策略是可定義的，安全策略隨業(yè)務(wù)實(shí)時(shí)遷移，動(dòng)態(tài)感知業(yè)務(wù)變化，自動(dòng)匹配策略。

華為云數(shù)據(jù)中心SDN安全解決方案的重要特點(diǎn)還體現(xiàn)在彈性上。“這個(gè)SDN的云數(shù)據(jù)中心安全解決方案會(huì)把它感知到的威脅通過(guò)我們的連接送到智能分析系統(tǒng)，它是一個(gè)運(yùn)用大數(shù)據(jù)系統(tǒng)構(gòu)筑的一個(gè)自動(dòng)分析系統(tǒng)，讓它變成一個(gè)安全反饋的大腦，通過(guò)這個(gè)大腦找出所感知的問(wèn)題，判斷出機(jī)體是不是得病的，是什么病，是感冒還是重度肺炎。再把這個(gè)結(jié)果告訴給SDN軟件定義的控制器，控制器會(huì)通知下面它控制的策略及安全資源，實(shí)時(shí)做出動(dòng)態(tài)響應(yīng)。”劉立柱說(shuō)。

因?yàn)椴煌臉I(yè)務(wù)要求的安全等級(jí)不一樣，要求的安全特點(diǎn)也不一樣，比如A業(yè)務(wù)，業(yè)務(wù)行為比較簡(jiǎn)單，可能只需要很簡(jiǎn)單的防護(hù)控制就可以了。B業(yè)務(wù)可能需要有更多的檢測(cè)服務(wù)，IPS、DDoS防護(hù)等，這些安全功能和策略可以按照業(yè)務(wù)的類別自行訂購(gòu)和發(fā)放，同時(shí)發(fā)放的方式，業(yè)務(wù)鏈條的邏輯可以靈活編排。

這是華為云數(shù)據(jù)中心SDN安全解決方案三方面彈性——可控、可管理、可軟件定義，此外，華為云數(shù)據(jù)中心SDN安全解決方案又是面向智能化的，面向可被分析的大數(shù)據(jù)安全。

從智能的角度來(lái)講，有3個(gè)特征:第一，它一定是全網(wǎng)絡(luò)安全態(tài)勢(shì)可感知的，它要跟下面所有的安全產(chǎn)品、安全設(shè)備，安全的資源池可以聯(lián)動(dòng)，可以探測(cè)感知所有的數(shù)據(jù)；第二，整個(gè)的是可控可管理的，會(huì)有一個(gè)我們不斷的通過(guò)繼續(xù)學(xué)習(xí)，通過(guò)認(rèn)知學(xué)習(xí)完善不斷的檢測(cè)算法，分析算法，不斷地可以疊加上去；最后，它會(huì)跟數(shù)據(jù)中心內(nèi)的安全要素產(chǎn)生聯(lián)動(dòng)，實(shí)現(xiàn)聯(lián)動(dòng)化的防御。

三重防護(hù)的特點(diǎn)，意味著在整個(gè)數(shù)據(jù)中心內(nèi)、在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界、在數(shù)據(jù)中心的租戶與租戶之間、甚至租戶內(nèi)三層的防御，會(huì)運(yùn)用大量的虛擬化軟件安全的技術(shù)。華為要實(shí)現(xiàn)智能全站式的數(shù)據(jù)中心安全，于是提出四層安全工事構(gòu)建SDN構(gòu)架可信云平臺(tái)——虛擬逃逸的控制、相應(yīng)的底層安全芯片做TPM的可信計(jì)算、主機(jī)系統(tǒng)的監(jiān)控、啟發(fā)式捕獲，還有應(yīng)用級(jí)的安全。還有就是數(shù)據(jù)的安全，做數(shù)據(jù)的加密等等這樣一些四層的安全等級(jí)。

華為云數(shù)據(jù)中心SDN安全解決方案有何不同？

當(dāng)然，SDN本身是一種新型的網(wǎng)絡(luò)創(chuàng)新的架構(gòu)，華為所做的又有什么不同？

“華為做的SDN數(shù)據(jù)中心安全解決方案，最大的不同就是SDN的控制器，實(shí)現(xiàn)的是一個(gè)全資源的管理?？梢詫?duì)整體網(wǎng)絡(luò)，無(wú)論是DC、還是園區(qū)、還是邊緣以及安全，做全站的、全系列的資源管理。這樣真正實(shí)現(xiàn)安全的無(wú)處不在，就有非常多的全網(wǎng)的協(xié)同性。”劉立柱說(shuō)，能具備這樣能力的廠商其實(shí)不多，因?yàn)楫a(chǎn)品線很長(zhǎng)，華為在業(yè)界可能屈指可數(shù)。

華為還會(huì)在安全方面獨(dú)立發(fā)展基于大數(shù)據(jù)的智能化檢測(cè)和分析技術(shù)等相應(yīng)的系統(tǒng)產(chǎn)品，形成獨(dú)特的控制點(diǎn)和價(jià)值點(diǎn)，反過(guò)來(lái)跟整個(gè)SDN實(shí)現(xiàn)全網(wǎng)的協(xié)同和聯(lián)動(dòng)，讓真正的軟件定義是智能化的軟件定義，從而讓軟件定義具備真正可落地性，讓整個(gè)數(shù)據(jù)中心的架構(gòu)變得非常彈性，同時(shí)在安全方面具備非常強(qiáng)的自免疫能力。

華為云數(shù)據(jù)中心SDN安全方案是基于華為敏捷數(shù)據(jù)中心網(wǎng)絡(luò)解決方案實(shí)現(xiàn)的端到端的安全解決方案，該方案可消除企業(yè)租戶把業(yè)務(wù)托管到云端后的安全顧慮，以敏捷控制器為核心，將傳統(tǒng)安全硬件轉(zhuǎn)換為虛擬化軟件，為租戶提供豐富的在線訂購(gòu)服務(wù)，通過(guò)自適應(yīng)的部署提升云業(yè)務(wù)的防護(hù)效率，具體體現(xiàn)在：

1、租戶通過(guò)敏捷控制器（Agile Controller）靈活編排和自動(dòng)化開(kāi)通安全服務(wù)，可獲得12種虛擬化安全能力，安全資源可大可小，云數(shù)據(jù)中心實(shí)現(xiàn)業(yè)界最大2.5Tbps軟件安全集群能力。同時(shí)，整個(gè)開(kāi)通過(guò)程免人工干預(yù)，減少了90%手工配置工作量，實(shí)現(xiàn)業(yè)務(wù)分鐘級(jí)上線。避免了虛擬化環(huán)境下各種業(yè)務(wù)快速發(fā)展時(shí)，租戶調(diào)度使用的資源缺乏及時(shí)保護(hù)的問(wèn)題。

2、租戶通過(guò)敏捷控制器（Agile Controller）的智能感知，實(shí)現(xiàn)安全策略隨業(yè)務(wù)實(shí)時(shí)遷移，對(duì)虛擬機(jī)提供2-7層深度的安全防護(hù)，支持5種虛擬化平臺(tái)，兼容2種API北向接口，可對(duì)接公有云已有的OpenStack云平臺(tái)，實(shí)現(xiàn)可視化統(tǒng)一運(yùn)維，提升業(yè)務(wù)管理效率。

3、租戶通過(guò)敏捷控制器（Agile Controller）統(tǒng)一調(diào)度，實(shí)現(xiàn)邊界-租戶-虛擬機(jī)三重防護(hù)，對(duì)業(yè)務(wù)逐級(jí)過(guò)濾。租戶通過(guò)大數(shù)據(jù)智能分析平臺(tái)CIS系統(tǒng)，對(duì)虛擬化環(huán)境中的日志、文件、流量的采集和分析，實(shí)現(xiàn)異常行為識(shí)別準(zhǔn)確度大于99%，解決了威脅手段升級(jí)下傳統(tǒng)檢測(cè)效率低下的問(wèn)題。