CNET科技資訊網(wǎng) 9月23日 北京消息（文/周雅）：當(dāng)越來越多的企業(yè)開始采用云服務(wù)，安全問題往往成為待考慮的問題。在傳統(tǒng)IT環(huán)境中，企業(yè)默認(rèn)的邏輯架構(gòu)是可信的，數(shù)據(jù)在自己手里，系統(tǒng)部署在自己的數(shù)據(jù)中心，有自己很清晰的網(wǎng)絡(luò)安全邊界，邊界之間會有一個相對比較清晰的防火墻做隔離，有可控的安全策略的管理。

然而一旦云化之后，企業(yè)云數(shù)據(jù)中心面臨3個安全挑戰(zhàn)：第一，企業(yè)接觸云之后，基礎(chǔ)設(shè)施供應(yīng)方發(fā)生了變化，無論是公有云、混合云還是私有云，原有的網(wǎng)絡(luò)邊界越來越模糊，不同業(yè)務(wù)之間有著不同的訪問權(quán)限和控制規(guī)則；第二，業(yè)務(wù)模式也在變化，以往的業(yè)務(wù)是靜態(tài)的，重構(gòu)整合之后，業(yè)務(wù)需要重新部署在共享的技術(shù)架構(gòu)上，靜態(tài)安全已經(jīng)無法適應(yīng)業(yè)務(wù)的動態(tài)變化；此外，威脅在與時俱進(jìn)，隨著大量的信息處理、聯(lián)接、存儲在云中，意味著未來將有大量不可靠的節(jié)點(diǎn)通過網(wǎng)絡(luò)連接到云上，最終威脅云，帶來極大的安全風(fēng)險。

那么，企業(yè)如何應(yīng)對這些數(shù)據(jù)安全挑戰(zhàn)？

SDN（軟件定義網(wǎng)絡(luò)）是關(guān)鍵

在華為全聯(lián)接大會（HUAWEI CONNECT 2016）期間，華為發(fā)布了云數(shù)據(jù)中心SDN安全解決方案。華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱介紹，華為希望通過SDN的技術(shù)和方式，讓安全解決方案面向云數(shù)據(jù)中心架構(gòu)時，是軟件定義的。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理劉立柱

華為在考慮安全架構(gòu)的時候，首先是安全資源池化，以前安全是一個整體，只能做一種功能，現(xiàn)在在SDN的框架下，安全可以被靈活地調(diào)度，可能同時服務(wù)于很多業(yè)務(wù)，可能又會被用于加固不同的安全策略。

其次，不同業(yè)務(wù)的安全防護(hù)策略是可定義的，安全策略隨業(yè)務(wù)實(shí)時遷移，動態(tài)感知業(yè)務(wù)變化，自動匹配策略。

華為云數(shù)據(jù)中心SDN安全解決方案的重要特點(diǎn)還體現(xiàn)在彈性上。“這個SDN的云數(shù)據(jù)中心安全解決方案會把它感知到的威脅通過我們的連接送到智能分析系統(tǒng)，它是一個運(yùn)用大數(shù)據(jù)系統(tǒng)構(gòu)筑的一個自動分析系統(tǒng)，讓它變成一個安全反饋的大腦，通過這個大腦找出所感知的問題，判斷出機(jī)體是不是得病的，是什么病，是感冒還是重度肺炎。再把這個結(jié)果告訴給SDN軟件定義的控制器，控制器會通知下面它控制的策略及安全資源，實(shí)時做出動態(tài)響應(yīng)。”劉立柱說。

因為不同的業(yè)務(wù)要求的安全等級不一樣，要求的安全特點(diǎn)也不一樣，比如A業(yè)務(wù)，業(yè)務(wù)行為比較簡單，可能只需要很簡單的防護(hù)控制就可以了。B業(yè)務(wù)可能需要有更多的檢測服務(wù)，IPS、DDoS防護(hù)等，這些安全功能和策略可以按照業(yè)務(wù)的類別自行訂購和發(fā)放，同時發(fā)放的方式，業(yè)務(wù)鏈條的邏輯可以靈活編排。

這是華為云數(shù)據(jù)中心SDN安全解決方案三方面彈性——可控、可管理、可軟件定義，此外，華為云數(shù)據(jù)中心SDN安全解決方案又是面向智能化的，面向可被分析的大數(shù)據(jù)安全。

從智能的角度來講，有3個特征:第一，它一定是全網(wǎng)絡(luò)安全態(tài)勢可感知的，它要跟下面所有的安全產(chǎn)品、安全設(shè)備，安全的資源池可以聯(lián)動，可以探測感知所有的數(shù)據(jù)；第二，整個的是可控可管理的，會有一個我們不斷的通過繼續(xù)學(xué)習(xí)，通過認(rèn)知學(xué)習(xí)完善不斷的檢測算法，分析算法，不斷地可以疊加上去；最后，它會跟數(shù)據(jù)中心內(nèi)的安全要素產(chǎn)生聯(lián)動，實(shí)現(xiàn)聯(lián)動化的防御。

三重防護(hù)的特點(diǎn)，意味著在整個數(shù)據(jù)中心內(nèi)、在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界、在數(shù)據(jù)中心的租戶與租戶之間、甚至租戶內(nèi)三層的防御，會運(yùn)用大量的虛擬化軟件安全的技術(shù)。華為要實(shí)現(xiàn)智能全站式的數(shù)據(jù)中心安全，于是提出四層安全工事構(gòu)建SDN構(gòu)架可信云平臺——虛擬逃逸的控制、相應(yīng)的底層安全芯片做TPM的可信計算、主機(jī)系統(tǒng)的監(jiān)控、啟發(fā)式捕獲，還有應(yīng)用級的安全。還有就是數(shù)據(jù)的安全，做數(shù)據(jù)的加密等等這樣一些四層的安全等級。

華為云數(shù)據(jù)中心SDN安全解決方案有何不同？

當(dāng)然，SDN本身是一種新型的網(wǎng)絡(luò)創(chuàng)新的架構(gòu)，華為所做的又有什么不同？

“華為做的SDN數(shù)據(jù)中心安全解決方案，最大的不同就是SDN的控制器，實(shí)現(xiàn)的是一個全資源的管理。可以對整體網(wǎng)絡(luò)，無論是DC、還是園區(qū)、還是邊緣以及安全，做全站的、全系列的資源管理。這樣真正實(shí)現(xiàn)安全的無處不在，就有非常多的全網(wǎng)的協(xié)同性。”劉立柱說，能具備這樣能力的廠商其實(shí)不多，因為產(chǎn)品線很長，華為在業(yè)界可能屈指可數(shù)。

華為還會在安全方面獨(dú)立發(fā)展基于大數(shù)據(jù)的智能化檢測和分析技術(shù)等相應(yīng)的系統(tǒng)產(chǎn)品，形成獨(dú)特的控制點(diǎn)和價值點(diǎn)，反過來跟整個SDN實(shí)現(xiàn)全網(wǎng)的協(xié)同和聯(lián)動，讓真正的軟件定義是智能化的軟件定義，從而讓軟件定義具備真正可落地性，讓整個數(shù)據(jù)中心的架構(gòu)變得非常彈性，同時在安全方面具備非常強(qiáng)的自免疫能力。

華為云數(shù)據(jù)中心SDN安全方案是基于華為敏捷數(shù)據(jù)中心網(wǎng)絡(luò)解決方案實(shí)現(xiàn)的端到端的安全解決方案，該方案可消除企業(yè)租戶把業(yè)務(wù)托管到云端后的安全顧慮，以敏捷控制器為核心，將傳統(tǒng)安全硬件轉(zhuǎn)換為虛擬化軟件，為租戶提供豐富的在線訂購服務(wù)，通過自適應(yīng)的部署提升云業(yè)務(wù)的防護(hù)效率，具體體現(xiàn)在：

1、租戶通過敏捷控制器（Agile Controller）靈活編排和自動化開通安全服務(wù)，可獲得12種虛擬化安全能力，安全資源可大可小，云數(shù)據(jù)中心實(shí)現(xiàn)業(yè)界最大2.5Tbps軟件安全集群能力。同時，整個開通過程免人工干預(yù)，減少了90%手工配置工作量，實(shí)現(xiàn)業(yè)務(wù)分鐘級上線。避免了虛擬化環(huán)境下各種業(yè)務(wù)快速發(fā)展時，租戶調(diào)度使用的資源缺乏及時保護(hù)的問題。

2、租戶通過敏捷控制器（Agile Controller）的智能感知，實(shí)現(xiàn)安全策略隨業(yè)務(wù)實(shí)時遷移，對虛擬機(jī)提供2-7層深度的安全防護(hù)，支持5種虛擬化平臺，兼容2種API北向接口，可對接公有云已有的OpenStack云平臺，實(shí)現(xiàn)可視化統(tǒng)一運(yùn)維，提升業(yè)務(wù)管理效率。

3、租戶通過敏捷控制器（Agile Controller）統(tǒng)一調(diào)度，實(shí)現(xiàn)邊界-租戶-虛擬機(jī)三重防護(hù)，對業(yè)務(wù)逐級過濾。租戶通過大數(shù)據(jù)智能分析平臺CIS系統(tǒng)，對虛擬化環(huán)境中的日志、文件、流量的采集和分析，實(shí)現(xiàn)異常行為識別準(zhǔn)確度大于99%，解決了威脅手段升級下傳統(tǒng)檢測效率低下的問題。