博科中國系統工程師總監 張宇峰

對于舊IP網絡，安全是由部署在邊緣的設備來實施。然而在云時代，數據中心和網絡相融合而且訪問變得日趨移動化，邊界的概念消失了。但是，好消息是新一代IP（New IP）強調開放、自動化、軟件定義等元素，以增加敏捷性并降低成本，實現的安全部署可以讓網絡遍布警戒。

安全性借助網絡虛擬化得到提高

以虛擬網絡功能（VNF）的方式部署服務是一種簡單但強大的方法。路由、負載平衡、應用交付和安全、Web和網絡防火墻以及VPN等服務可以通過遠程管理進行實時地移動，不需要物理上的部署和人力資源，極大節省了運營支出和資本支出。成本節約為更加恰當地分發功能提供了靈活性，卻保持了同樣的性能。安全可以被分發到需要的地方，或者所有地方。而且當不再需要的時候可以移除服務。這實現了根據地理位置、功能、組、個人或應用的真正自定義安全。

這種嵌入式安全態勢使企業能夠確保合規：從站點到云、員工到應用資源，以及通過虛擬路由器和虛擬應用交付控制器中嵌入的IPsec加密、遠程訪問VPNs、有狀態的防火墻和Web應用安全對安全進行分層。

SDN控制器上的安全

借助底層的網絡矩陣，用戶可以創建一個扁平、可感知虛擬機的簡化網絡拓撲結構，在設計時就在內部提升安全性。使用流量技術和可編程的SDN控制器，這能夠實現網絡行為的集中視圖、能夠針對基礎架構內的安全威脅立即采取行動，并實時地將政策推入網絡。可以利用先進的信息功能，網絡中的每一元素都能夠自動生成自己的狀態和條件，并將之推送入集中的資源庫進行實時的分析，由機器學習實現的安全能力。

加密移動中的數據

由于網絡經常遭受攻擊，來自數據中心、LAN和WAN的網絡設備的本地數據加密能夠保護穿越鏈路的數據。這可以在不影響性能、不產生將流量送回專用設備的成本或復雜度的情況下實現。當網絡鏈路不在企業的物理控制中時尤為重要——例如數據中心之間、站點之間以及站點與云之間。

針對客戶到應用安全的應用和用戶感知

隨著從企業到用戶的互動日益需要更安全地訪問Web應用，應用流量也在日益增多，訪問關鍵的業務應用需要多層的保護。需要能夠使用集成的Web應用防火墻處理日益增長的SSL流量的應用交付控制器，也需要靈活地針對每個應用的獨特安全要求而定位個人用戶或客戶群。

安全是開放的，不是封閉的

對于舊IP網絡，防火墻、IPS/IDS、DPI、分析工具、靜態加密和動態加密等，每種點安全應用都解決具體的安全挑戰。它們之間不存在信息交換和協作，也沒有利用來自所有源的重要知識的安全服務抽象層。

但新一代IP，包含了混合的硬件和軟件的實施，提供了一種通過SDN控制器與任何設備或傳感器（物理的或虛擬的）進行互動的標準化方法。來自傳感器的所有數據能夠被收集起來并提交給分析引擎，以進行可視化、鑒別并采取行動。任何設備的行為都可以被改變，因為你可以溝通、編程以及寫入設備。這產生了從網絡中提取數據并將其作為一個系統進行理解的能力，開放式安全架構，多廠商生態系統內的安全數據交換，以及允許同各種安全元素進行互動的API，以獲得更加廣泛的安全數據收集、關聯和執行。

安全是基于行為，而不僅僅是身份

新一代IP網絡在實施安全政策時能夠考慮行為，并不僅僅是身份。借助基于行為的安全，該系統可以更深入地洞察典型和非典型的動作，以及攻擊過程中的預備步驟，使其不僅能夠緩解已經發生的攻擊，而且能夠預防潛在的攻擊。考慮到大部分數據泄漏都存在內因，因而不能依賴身份管理來檢測攻擊。用戶也需要一種檢測內部人攻擊的方法，保護該系統免受已經獲得合法訪問權限人員的攻擊。風險因素的行為分析，反常行動的指標，以及不符合上下文的行為的檢測都至關重要。

安全是自學，不是靜止不變

新一代IP架構中的安全系統在持續地學習并自我優化，與傳統系統不同，后者依靠與定期更新的數據庫進行模式匹配。在這種情況下，如果一個漏洞利用不符合任何模式，該安全系統將不認為它是一個威脅。新一代IP架構更加敏捷，而且能夠自我改進。將大數據和機器學習概念應用到網絡行為，實現了從被動到主動的安全保護、從描述性到預測性分析，并最終從靜態到自我學習或自適應網絡的改變。

作者介紹：

張宇峰先生憑借其十六年來在中美兩國網絡，通信，數據中心，云計算領域從事技術服務，產品管理，和市場戰略的資深經驗加盟博科，被任命為博科中國系統工程師總監，負責博科中國新IP（New IP），SDN, NFV, 云網絡等創新技術的發展工作，并將加速博科中國卓越的系統工程師隊伍的建設。他豐富的技術產品行業經驗與對市場的洞察將幫助博科的用戶在將其網絡轉向新IP進程中獲取更多的優勢。