近年來互聯網已發生巨大的變化，無論是基礎設施還是終端設備，無一不在重構我們的生活。隨著云計算的普及和網絡惡意攻擊的產業化，數據泄露的風險不斷加大，云計算信息系統中計算、網絡和數據安全等方面的各種威脅也日漸突出。

傳統的網絡安全防護方法應用到如今復雜的網絡環境中已明顯表現出其局限性，借鑒軟件定義網絡（SDN, Software-Defined Networking）的思想，一種靈活的網絡安全防護方法——軟件定義安全（SDS，Software-Defined Security）應運而生，在對復雜網絡的安全防護上表現出更強的適應性。

軟件定義安全的架構通過將安全控制平面與安全數據平面分離，標準化南向安全控制通道，并通過安全控制器（Security Controller）保護信息系統。在云計算系統和軟件定義網絡環境中，更能通過虛擬資源調度和流量控制手段，實現安全威脅快速響應和多種安全手段結合的方法中斷攻擊鏈（Kill Chain）。

軟件定義安全體系的核心是安全控制平臺（Security Controller）。在南北方向，安全控制器根據通過解析定制化的北向安全應用邏輯，協同控制南向資源池中的安全設備，實現預期安全功能；在東西方向，控制知識庫構建了多種虛擬化解決方案租戶、虛擬機和虛擬網絡等資產關系，且通過松耦合的方式與多種SDN的網絡控制器集成，可獲取拓撲和流數據等信息，并下發網絡流量控制的命令，實現網絡流量實時感知和控制。

安全控制平臺的優勢：

（1）控制與數據分離簡化了安全設備的處理引擎，使得安全設備更穩定高效。

（2）借助虛擬化技術，實現安全設備的資源池化，并通過安全控制平臺與SDN控制器的協同，對流量按需調度，實現服務鏈（Service Chain），根據應用所需的安全需求就可以從資源池中找到相應資源，而不用關心物理上安全設備部署在哪里，也不需要考慮如何布線劃區。

得益于南北向的松耦合結構，安全控制平臺適用于多種場景，借助不同場景下的安全應用，安全控制平臺可實現如BYOD訪問控制、DDoS檢測清洗、軟件定義的抗APT攻擊、軟件定義的WEB安全等功能。

此外，東西向安全控制平臺也采用松耦合結構，在大量網絡業務分析后整理出了若干安全業務相關的SDN控制器北向接口和虛擬化系統接口，通過利用或開發相關接口，安全控制平臺與不同的SDN和虛擬化系統集成，可部署在多種不同業務類型的客戶環境中。

綠盟科技軟件定義安全方案與武漢綠網控制器GNFlush的協同工作，正是這種架構多種優點的體現。經過雙方技術上的配合協作，安全控制平臺可借助GNFlush對全局網絡流量具有可視可控的能力，并在BYOD場景中進行了驗證。

軟件定義的BYOD訪問控制方案可支持多種認證方式：如LDAP、OpenID和手機號驗證等，進而基于訪問者的角色、屬性與被訪問資源的關系實現訪問控制。借助GNFlush控制器，可以實現流級別的細粒度控制，且無論訪問者物理位置在何處，底層網絡設備都執行同樣的控制規則。這種全局、細粒度、強制且一致的訪問控制機制可認為是云安全聯盟提出的軟件定義邊界（Software Defined Perimeter）在BYOD場景中的實現。

此外，當使用GNFlush可實現基于上下文環境的自適應訪問控制，安全控制平臺通過GNFlush獲得全局流視圖，利用用戶、終端、資產和網絡環境等上下文信息形成動態的、基于風險的訪問決策，建立訪問安全基線，當存在異常訪問時，向GNFlush下發流指令，將可疑流量牽引到安全資源池組成的安全服務鏈，進行DPI、代碼和行為檢測，并進一步對確認的威脅進行處理。

武漢綠網研制的高性能SDN控制器GNflush每秒流表下發速率高達 10M flow/s，能實現毫秒級的主備切換?？刂破骶邆淙忠曇?，可掌握整個管理域范圍內的流信息，這與傳統交換機只了解所轉發的流量有很大的區別。通過和不同類型的安全功能進行結合，這個全局信息使得安全服務重構成為可能。例如，SDN可以為每個網絡節點和流建立各種安全狀態屬性，并與安全信譽和異常發現系統等聯動，實現更智能、靈活、高效的安全機制。高性能SDN控制器為各安全機制的自動化、聯動、特別是跨廠商設備的聯動，提供了新的機遇。

軟件定義的理念正在改變IT基礎設施的方方面面，如計算、存儲和網絡，最終成為軟件定義一切（Software Defined Everything）。這“一切”必然包含安全，軟件定義的安全體系將是今后安全防護的一個重要前進方向。近日，綠盟科技將發布軟件定義的云安全體系架構安全白皮書，敬請期待。