近年來，啟明星辰緊跟云計算、虛擬化和SDN技術(shù)發(fā)展，結(jié)合公司在信息安全領域深厚的技術(shù)、產(chǎn)品、經(jīng)驗積累，推出了“啟明星辰智慧流安全平臺”，深入詮釋和實踐了公司SDS（Software Defined Security，軟件定義安全）的理念，實現(xiàn)了安全按需使用、安全個性化編排、安全資源高彈性、切實抵御未知威脅等功能，助力SDN網(wǎng)絡及云數(shù)據(jù)中心安全。目前，啟明星辰智慧流安全平臺已經(jīng)成功完成了與華為SDN網(wǎng)絡的聯(lián)合對接測試，并于“2015華為網(wǎng)絡大會”上發(fā)布。

啟明星辰SDS

圖1 啟明星辰SDS工作機制

啟明星辰SDS理念是從SDN引申而來，原理是將物理的、虛擬化的網(wǎng)絡安全設備與它們的接入模式、部署位置解耦，抽象為安全資源池里的資源，通過軟件編程的方式進行智能化、自動化地編排和管理，以實現(xiàn)相應的安全功能，從而完成網(wǎng)絡安全防護。就工作機制而言，SDS分解為軟件定義安全資源、軟件定義流量、軟件定義高級威脅模型，三個舉措環(huán)環(huán)相扣，形成一個動態(tài)、閉環(huán)的工作模型，如圖1所示。

軟件定義安全資源：配備安全資源是實現(xiàn)網(wǎng)絡安全防護的基礎。在SDS模式下，安全資源由管理中心通過軟件編程的方式進行統(tǒng)一注冊、管理，以便實現(xiàn)后續(xù)的靈活編排和調(diào)度。

軟件定義流量：由軟件編程的方式來實現(xiàn)網(wǎng)絡流量的轉(zhuǎn)發(fā)控制，通過將目標網(wǎng)絡流量轉(zhuǎn)發(fā)到安全設備上，來實現(xiàn)安全設備的邏輯部署和使用。

軟件定義高級威脅模型：對原始報文、流、安全事件等信息進行深度整理和挖掘，實現(xiàn)對高級安全威脅等未知威脅的實時分析和建模，之后將建模結(jié)果應用于安全資源并進行流量調(diào)整，實現(xiàn)安全聯(lián)動自動化。

智慧流安全平臺架構(gòu)

啟明星辰智慧流安全平臺包含四個部分：安全資源池、高速交換網(wǎng)絡、安全大數(shù)據(jù)分析中心和Matrix管理控制中心，整體架構(gòu)如圖2所示。

圖2 啟明星辰智慧流安全平臺架構(gòu)

安全資源池：由各種物理的或虛擬化的網(wǎng)絡安全設備構(gòu)成，兼容第三方廠商的安全產(chǎn)品。這些安全設備由管理控制中心統(tǒng)一注冊、部署、調(diào)度和管理，以實現(xiàn)安全資源的按需取用、高擴展性、高可靠性。

高速交換網(wǎng)絡：將網(wǎng)絡安全設備接入高速交換網(wǎng)絡，通過將流量引入或繞過安全設備，靈活的實現(xiàn)安全設備的部署和撤銷。

安全大數(shù)據(jù)分析中心：從網(wǎng)絡關(guān)鍵節(jié)點收集原始報文和流，從安全設備收集運行狀態(tài)、安全事件等信息，采用大數(shù)據(jù)技術(shù)對上述信息進行深入分析和多維鉆取，呈現(xiàn)高級安全威脅情報的分析結(jié)果，并與安全設備形成聯(lián)動。

Matrix管理控制中心：側(cè)重于安全威脅發(fā)現(xiàn)與事件響應的服務鏈管理控制中心，提供用戶圖形及CLI交互界面，可將用戶配置的及安全大數(shù)據(jù)分析中心實時產(chǎn)生的安全功能需求轉(zhuǎn)化為安全資源調(diào)度策略，進而形成高速交換網(wǎng)絡中的具體流量轉(zhuǎn)發(fā)規(guī)則，實現(xiàn)安全設備邏輯部署。

智慧流安全平臺特色與應用

啟明星辰智慧流平臺基于SDS理念，通過軟件編程的方式調(diào)用安全設備資源，實現(xiàn)了一種靈活、智能、自動化、服務化的網(wǎng)絡安全防護，能夠幫助用戶應對復雜網(wǎng)絡環(huán)境下的安全挑戰(zhàn)，具備如下特色：

安全可自定義：通過軟件編排的方式，使得各種安全資源能夠靈活組合，方便實現(xiàn)多種安全設備的協(xié)同防護。

虛實融合：平臺可以根據(jù)安全功能需求調(diào)用各種安全資源，無論是物理的還是虛擬化的安全設備。

多租戶靈活部署：支持對網(wǎng)絡流量做細粒度區(qū)分，針對不同流量采用不同的安全策略，適用于多租戶環(huán)境。各個租戶可以按照各自的需求進行個性化的安全功能定制，具備高彈性、可計量性。

多層次的威脅發(fā)現(xiàn)：通過多種安全設備協(xié)同防護以及安全大數(shù)據(jù)分析中心的全局性安全情報，實現(xiàn)安全威脅的層層過濾，使得各種已知威脅甚至未知威脅均無處遁形，深度解決用戶的網(wǎng)絡安全隱患，保護核心資產(chǎn)。

安全高可靠增強：提供智慧流安全平臺級、安全設備級的雙機熱備，當檢測到故障發(fā)生時，可以實時的、自動地對平臺自身、安全設備的進行主備切換。當主備安全設備均發(fā)生故障時，還能夠采取bypass方式，確保網(wǎng)絡不中斷，避免單點故障。當設備故障解除后，能夠?qū)崟r的、自動地還原安全路徑，快速恢復網(wǎng)絡流量監(jiān)控。

安全資源彈性可擴展：軟件編排的方式、支持虛擬化的安全設備等特性簡化了安全設備集群化部署。平臺支持多元化負載均衡算法，可以實現(xiàn)安全設備性能的線性擴展。

兼容第三方安全設備：第三方安全設備可以直接接入啟明星辰智慧流安全平臺，作為安全資源池里的資源接受平臺控制管理中心的調(diào)度、管理，保護企業(yè)現(xiàn)有投資，節(jié)約網(wǎng)絡安全成本。

啟明星辰智慧流安全平臺適用于SDN網(wǎng)絡和云數(shù)據(jù)中心，滿足新型信息安全防護需求。

圖3 啟明星辰智慧流平臺概覽

小結(jié)

啟明星辰智慧流安全平臺基于啟明星辰SDS的理念，開放性地集合公司及第三方廠商的物理或虛擬化安全設備構(gòu)成安全資源池，支持用戶方便地、按需地編排安全功能；多層次威脅發(fā)現(xiàn)機制切實實現(xiàn)用戶網(wǎng)絡深度防護；多級熱備機制確保網(wǎng)絡通信、用戶業(yè)務不中斷。啟明星辰智慧流安全平臺解決了傳統(tǒng)安全方法在SDN網(wǎng)絡及云數(shù)據(jù)中心安全防護中不適用的問題，為SDN網(wǎng)絡及云數(shù)據(jù)中心安全提供了更為全面的防護力量。