對于舊IP網(wǎng)絡(luò),安全是由部署在邊緣的設(shè)備來實(shí)施。然而在云時(shí)代,數(shù)據(jù)中心和網(wǎng)絡(luò)相融合而且訪問變得日趨移動(dòng)化,邊界的概念消失了。但是,好消息是新一代IP(New IP)強(qiáng)調(diào)開放、自動(dòng)化、軟件定義等元素,以增加敏捷性并降低成本,實(shí)現(xiàn)的安全部署可以讓網(wǎng)絡(luò)遍布警戒。
安全性借助網(wǎng)絡(luò)虛擬化得到提高
以虛擬網(wǎng)絡(luò)功能(VNF)的方式部署服務(wù)是一種簡單但強(qiáng)大的方法。路由、負(fù)載平衡、應(yīng)用交付和安全、Web和網(wǎng)絡(luò)防火墻以及VPN等服務(wù)可以通過遠(yuǎn)程管理進(jìn)行實(shí)時(shí)地移動(dòng),不需要物理上的部署和人力資源,極大節(jié)省了運(yùn)營支出和資本支出。成本節(jié)約為更加恰當(dāng)?shù)胤职l(fā)功能提供了靈活性,卻保持了同樣的性能。安全可以被分發(fā)到需要的地方,或者所有地方。而且當(dāng)不再需要的時(shí)候可以移除服務(wù)。這實(shí)現(xiàn)了根據(jù)地理位置、功能、組、個(gè)人或應(yīng)用的真正自定義安全。
這種嵌入式安全態(tài)勢使企業(yè)能夠確保合規(guī):從站點(diǎn)到云、員工到應(yīng)用資源,以及通過虛擬路由器和虛擬應(yīng)用交付控制器中嵌入的IPsec加密、遠(yuǎn)程訪問VPNs、有狀態(tài)的防火墻和Web應(yīng)用安全對安全進(jìn)行分層。
SDN控制器上的安全
借助底層的網(wǎng)絡(luò)矩陣,用戶可以創(chuàng)建一個(gè)扁平、可感知虛擬機(jī)的簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),在設(shè)計(jì)時(shí)就在內(nèi)部提升安全性。使用流量技術(shù)和可編程的SDN控制器,這能夠?qū)崿F(xiàn)網(wǎng)絡(luò)行為的集中視圖、能夠針對基礎(chǔ)架構(gòu)內(nèi)的安全威脅立即采取行動(dòng),并實(shí)時(shí)地將政策推入網(wǎng)絡(luò)。可以利用先進(jìn)的信息功能,網(wǎng)絡(luò)中的每一元素都能夠自動(dòng)生成自己的狀態(tài)和條件,并將之推送入集中的資源庫進(jìn)行實(shí)時(shí)的分析,由機(jī)器學(xué)習(xí)實(shí)現(xiàn)的安全能力。
加密移動(dòng)中的數(shù)據(jù)
由于網(wǎng)絡(luò)經(jīng)常遭受攻擊,來自數(shù)據(jù)中心、LAN和WAN的網(wǎng)絡(luò)設(shè)備的本地?cái)?shù)據(jù)加密能夠保護(hù)穿越鏈路的數(shù)據(jù)。這可以在不影響性能、不產(chǎn)生將流量送回專用設(shè)備的成本或復(fù)雜度的情況下實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)鏈路不在企業(yè)的物理控制中時(shí)尤為重要--例如數(shù)據(jù)中心之間、站點(diǎn)之間以及站點(diǎn)與云之間。
針對客戶到應(yīng)用安全的應(yīng)用和用戶感知
隨著從企業(yè)到用戶的互動(dòng)日益需要更安全地訪問Web應(yīng)用,應(yīng)用流量也在日益增多,訪問關(guān)鍵的業(yè)務(wù)應(yīng)用需要多層的保護(hù)。需要能夠使用集成的Web應(yīng)用防火墻處理日益增長的SSL流量的應(yīng)用交付控制器,也需要靈活地針對每個(gè)應(yīng)用的獨(dú)特安全要求而定位個(gè)人用戶或客戶群。
安全是開放的,不是封閉的
對于舊IP網(wǎng)絡(luò),防火墻、IPS/IDS、DPI、分析工具、靜態(tài)加密和動(dòng)態(tài)加密等,每種點(diǎn)安全應(yīng)用都解決具體的安全挑戰(zhàn)。它們之間不存在信息交換和協(xié)作,也沒有利用來自所有源的重要知識的安全服務(wù)抽象層。
但新一代IP,包含了混合的硬件和軟件的實(shí)施,提供了一種通過SDN控制器與任何設(shè)備或傳感器(物理的或虛擬的)進(jìn)行互動(dòng)的標(biāo)準(zhǔn)化方法。來自傳感器的所有數(shù)據(jù)能夠被收集起來并提交給分析引擎,以進(jìn)行可視化、鑒別并采取行動(dòng)。任何設(shè)備的行為都可以被改變,因?yàn)槟憧梢詼贤ā⒕幊桃约皩懭朐O(shè)備。這產(chǎn)生了從網(wǎng)絡(luò)中提取數(shù)據(jù)并將其作為一個(gè)系統(tǒng)進(jìn)行理解的能力,開放式安全架構(gòu),多廠商生態(tài)系統(tǒng)內(nèi)的安全數(shù)據(jù)交換,以及允許同各種安全元素進(jìn)行互動(dòng)的API,以獲得更加廣泛的安全數(shù)據(jù)收集、關(guān)聯(lián)和執(zhí)行。
安全是基于行為,而不僅僅是身份
新一代IP網(wǎng)絡(luò)在實(shí)施安全政策時(shí)能夠考慮行為,并不僅僅是身份。借助基于行為的安全,該系統(tǒng)可以更深入地洞察典型和非典型的動(dòng)作,以及攻擊過程中的預(yù)備步驟,使其不僅能夠緩解已經(jīng)發(fā)生的攻擊,而且能夠預(yù)防潛在的攻擊。考慮到大部分?jǐn)?shù)據(jù)泄漏都存在內(nèi)因,因而不能依賴身份管理來檢測攻擊。用戶也需要一種檢測內(nèi)部人攻擊的方法,保護(hù)該系統(tǒng)免受已經(jīng)獲得合法訪問權(quán)限人員的攻擊。風(fēng)險(xiǎn)因素的行為分析,反常行動(dòng)的指標(biāo),以及不符合上下文的行為的檢測都至關(guān)重要。
安全是自學(xué),不是靜止不變
新一代IP架構(gòu)中的安全系統(tǒng)在持續(xù)地學(xué)習(xí)并自我優(yōu)化,與傳統(tǒng)系統(tǒng)不同,后者依靠與定期更新的數(shù)據(jù)庫進(jìn)行模式匹配。在這種情況下,如果一個(gè)漏洞利用不符合任何模式,該安全系統(tǒng)將不認(rèn)為它是一個(gè)威脅。新一代IP架構(gòu)更加敏捷,而且能夠自我改進(jìn)。將大數(shù)據(jù)和機(jī)器學(xué)習(xí)概念應(yīng)用到網(wǎng)絡(luò)行為,實(shí)現(xiàn)了從被動(dòng)到主動(dòng)的安全保護(hù)、從描述性到預(yù)測性分析,并最終從靜態(tài)到自我學(xué)習(xí)或自適應(yīng)網(wǎng)絡(luò)的改變。
本文作者:博科中國系統(tǒng)工程師總監(jiān) 張宇峰
張宇峰先生憑借其十六年來在中美兩國網(wǎng)絡(luò),通信,數(shù)據(jù)中心,云計(jì)算領(lǐng)域從事技術(shù)服務(wù),產(chǎn)品管理,和市場戰(zhàn)略的資深經(jīng)驗(yàn)加盟博科,被任命為博科中國系統(tǒng)工程師總監(jiān),負(fù)責(zé)博科中國新IP(New IP),SDN, NFV, 云網(wǎng)絡(luò)等創(chuàng)新技術(shù)的發(fā)展工作,并將加速博科中國卓越的系統(tǒng)工程師隊(duì)伍的建設(shè)。他豐富的技術(shù)產(chǎn)品行業(yè)經(jīng)驗(yàn)與對市場的洞察將幫助博科的用戶在將其網(wǎng)絡(luò)轉(zhuǎn)向新IP進(jìn)程中獲取更多的優(yōu)勢。
京公網(wǎng)安備 11010502049343號