SDN架構的基礎是控制平面和數據平面的分離,以及通過一個外部軟件控制器對網絡從邏輯上集中控制,該控制器能夠通過開放的API與底層網絡通信。業界普遍認為,SDN是網絡和安全行業的一個重大轉變,其影響將擴展到數據中心以外更廣的范圍,超出今天的很多預測。
瞻博網絡亞太區高級技術副總裁Andy Miller在接受ZDNet采訪時表示,“芯片支撐網絡中的控制點在大規模的范圍內保證服務的質量,軟件來定義、控制及管理網絡,所以這實際上是軟件和硬件的一個完美的結合。在這兩者的中間部分需要一套系統,通過這些系統來提供基于SDN的服務。”
瞻博網絡亞太區高級技術副總裁Andy Miller
Andy Miller補充到,客戶需要非常快速的行動,一旦出現問題,SDN能夠快速的部署安全策略。舉個簡單的例子,比如說如果我們能夠在虛擬存儲器上安裝一個設備,或者在網絡上安裝一個設備,這相對來說是非常簡單的。但是如果要真正地配置整體的網絡,一般是非常的漫長和困難。所以如果能夠利用SDN,在虛擬網絡上進行工作的話,可以極大地提高效率。
瞻博網絡在SDN的過程中,遵循的主要原則是:“怎么能夠更好地利用現有的網絡架構和網絡設施,也就說在現有的網絡架構上,安全使用SDN功能。換句話講,我們要在現有的網絡架構上更好地利用已有的協議,和已有的這些能力,這個是我們設計SDN重要的考量因素。”Andy Miller告訴記者。
可以看出,安全是瞻博網絡SDN戰略考量的重要因素之一。Andy Miller指出,首先安全業務流在不斷發生變化,過去業務流從一個數據中心到另一個數據中心,向現在的“東西流量”演進。另外,基于應用的威脅不斷涌現,目前有73%的攻擊是針對網絡應用。在SDN包括云計算的這些變化中,當前的一代的安全措施,已不足以防御這些攻擊。
瞻博網絡-下一代數據中心安全:Spotlight Secure全球攻擊者情報服務
瞻博網絡發布了Junos Spotlight Secure全球攻擊者情報服務,它為客戶提供廣泛的網絡和瞻博網絡安全產品中有關威脅、攻擊和單個設備的準確情報。Junos Spotlight Secure是一種基于云的新型威脅情報解決方案,它能夠基于設備來識別每個攻擊者,并在一個全球數據庫中對他們進行跟蹤。在與Junos WebApp Secure配合使用時,Junos Spotlight Secure將為攻擊者創建一個永久性指紋,其中包含了200多個特征,能夠以此準確地識別攻擊者,由于不會誤報而不會對合法用戶造成影響。用戶在使用JunosWebApp Secure后,一旦通過指紋技術發現自己的網絡上出現了一位攻擊者,全球攻擊者情報解決方案就會立即將該攻擊者的相關信息與其它用戶共享,并在多個網絡上實施一種先進的實時安全保護解決方案。
Andy Miller認為,要應對新一代數據中心安全威脅,我們需要以全新的方式來思考網絡防護。公司應該專注于早期檢測和分析攻擊者及其攻擊行為(而非攻擊點),并確保在安全架構中更好地集成相關情報(這與缺乏信息共享的單點產品明顯不同)。今天市面上的絕大多數安全產品都企圖在攻擊發起的瞬間就要檢測到威脅。遺憾的是,這只適用于已知的攻擊,其中只有一次機會來檢測和消除威脅。為了有效地保護數據中心的安全,公司必須了解攻擊設備的信息(而不僅僅是IP地址),并將相關的情報快速分發給所有的數據中心接入控制點。
另外,在談到攻擊的時候,我們會想到大量的洪水攻擊或者一些業務流堵塞了我們的網絡,這是一種非常快速并且奏效的攻擊。但是現在一些新型的攻擊,它的攻擊時間會更長一些,慢慢滲透達到攻擊的目的。
Andy Miller表示,利用Junos Spotlight Secure與Junos WebApp Secure的協同工作,瞻博網絡能夠幫助客戶在早期跟蹤和阻止攻擊者的行動,避免他們造成任何破壞。作為第一步,Junos WebApp Secure使用最新的入侵誘騙技術來準確地早期檢測、甚至誤導攻擊者。Junos WebApp Secure綜合使用大量的數據,通過指紋技術來識別和監測黑客,具有極高的準確性,能夠盡早(甚至在漏洞受到攻擊之前)采取對策來阻止攻擊。
同時,利用運行在硬件中的保護屏幕和過濾器,以及用戶和控制平面分離這一特性,瞻博網絡SRX系列業務網關能夠保護最大規模的網絡,以防御DoS/DDoS攻擊,惡意流量,偵察搜尋,充斥信令網絡、欺詐應用。Andy Miller表示,總的說來,我們希望通過自動的方式把SDN與安全連接起來,通過SDN的控制器和SDN技術,以及一個集中式的全球網絡推送命令來自動實現安全防護。
Andy Miller最后談到了SDN的安全機會,安全變得越來越分散化,而且變得越來越復雜。這是一個大數據的時代,SDN可以作為一個控制的機制,來對這些數據進行管理。SDN讓你有一個集中化的管理和控制,并且把它的更新推送到不同的分散性的一些點上。我們使用的是大數據來進行收集和分析,一部分實際上不止在數據中心中進行管理,而是作為全球的跨云的安全的解決方案。
如果像Juniper這種方式,我們會得到很多的連接性,包括在虛擬環境、以及物理環境的連接性。其中一個挑戰,就是你如果過去不知道網絡中的問題出現在哪兒,找到這些問題和故障的節點,SDN的這種集中管理和控制能夠完成這個任務。
京公網安備 11010502049343號