倡导良性竞合,共建安全的SDN和NFV
文字版:
华为安全新视野
‖11‖
倡导良性竞合,共建安全的SDN和NFV
华为企业网络产品线安全网关领域总经理刘立柱
SDN(软件定义网络)和NFV(网络功能虚拟化)带来的既
是一场变革,也是不可避免的趋势。SDN和NFV可以随时根据
业务需求变化,将网络结构和功能进行快速重新配置,其开放性、
敏捷性、可编排和虚拟化等众多特性,使之成为未来云数据中心
的首选解决方案。
但是,SDN和NFV给云数据中心带来巨大机遇的同时,其
复杂的编排和调度、VM(虚拟机)之间不经过硬件网络设备转
发等种种特性,使得安全面临着巨大的困难,传统架构已经无法
满足云数据中心的安全需求。在这一背景下,安全产业的传统和
新兴厂商以及Hypervisor等提出了不同层次的安全解决方案。以
虚拟化安全为例,安全解决方案包含6个层次:第一层是物理网
络防火墙,也就是传统防火墙;第二层是容器层,目前大多还停
留在IP包过滤阶段;第三层是内核防火墙,通常是一个对vNIC
进出流量进行简单状态检测的防火墙;第四层是普通虚拟防火
墙,用于VLAN之间的安全防护;第五层是VM之间的防火墙,
功能与传统防火墙类似,承担多种防火墙或IPS功能;第六层是
虚拟机的端点安全防火墙,提供各种端点和业务安全防护。
由此可见,虚拟化安全与传统安全有着巨大差异,传统安全
更注重主机和网络的安全,也就是第一层和第六层,中间的4层
在传统安全中是看不到的。对于传统安全厂商而言,其优势在于
第一层的物理防火墙,基于此优势,在第四、第五层的VM之间
的防火墙上也大有可为,因为基础的防火墙和IPS能力在这一层
同样适用。
在虚拟化系统中,VM之间的东西向流量没有经过实体防火
墙,第一层的传统防火墙无法得知此流量是否具有威胁和风险,
自然无计可施。虽然传统安全厂商相继推出了第四、第五层可用
的虚拟防火墙,但虚拟化流量的引流和调度都掌握在第三、第四
层的Hypervisor和vSwitch手中,安全厂商的虚拟防火墙无法独
立发挥作用。
在SDN和NFV演进的趋势下,安全架构发生了重大变化,
类似于虚拟化安全解决方案这样的例子还有很多,例如通过云安
全资源池来解决不同租户/不同业务的安全需求、IPS/负载均衡等
业务的适配,以及SDN控制器与安全管理的协同等,大多都难
以明确定义是安全厂商负责还是Hypervisor负责,各方都在试图
寻找良好的SDN和NFV安全解决方案。
Gartner分析师EricAhlm认为:未来一段时间可能都不会有
非常清晰的云数据中心SDN和NFV自动化解决方案的演进路
线。相应的,适配云数据中心的SDN和NFV安全解决方案也尚
无定论,当前各厂商推出的解决方案纷繁复杂,在一定程度上体
现了安全产业链竞合关系的变化。
虚拟化安全出现了两个方面的竞争变化。首先,产业链的划
分更加细致,参与者更多。有的厂商依旧专注于硬件防火墙,有
的厂商专注于虚拟防火墙,有的厂商则专注于容器层安全;第二,
产业链之间相互渗透。传统安全厂商通过提供虚拟防火墙进入云
数据中心市场,Hypervisor也不遑多让,通过在内核层和vSwitch
层直接提供安全解决方案进入到安全市场。
推而广之,在SDN和NFV发展的趋势下,所有与其相关的
安全都有上述两个方面的变化。在产业链更加细分方面,安全厂
商在芯片、硬件平台、硬件防火墙、软件防火墙、应用安全和数
据安全等各方面提供适配SDN和NFV的安全解决方案;在产业
链相互渗透方面,芯片厂商、硬件厂商、Hypervisor、软件厂商
和系统集成商纷纷提供安全特性、安全产品和安全解决方案,意
图在SDN和NFV市场分得更多的一杯羹。
同时,SDN和NFV安全也不仅仅是竞争,更多的是合作。
安全不是单纯靠几个设备和软件就能确保万无一失的,它是一个
系统工程。安全厂商有着自己的优势和积累,例如网络安全厂商
对网络协议的理解、分析、监控和快速处理能力,例如防病毒厂
商多年来长期积累的恶意文件识别能力,例如数据防泄漏厂商在
进出向数据监测中的算法模型,这些都是Hypervisor所不具备的;
反过来,Hypervisor能够对CPU、内存和IO进行隔离,能够提
供云OS的指令优先级管理,能够对VM访问虚拟化内存进行精
细化的控制,这些关键能力也是安全厂商短期内无法超越、但却
又对安全有着至关重要的意义。因此合作成为最好的选择。
SDN和NFV安全产业良性的竞争与合作,应当充分继承和
发展SDN和NFV的理念:构建开放、灵活和弹性的网络。
开放的具体含义是:安全厂商与Hypervisor、硬件厂商、芯
片厂商以及用户共同探索SDN与NFV安全的多种需求场景,构
建完整、可靠的安全解决方案,并促成产业链各方达成广泛理解
与共识;明确相关安全和ICT基础设施之间软硬件的接口,推动
形成事实标准。
灵活与弹性的具体建议是:产业链共同在SDN与NFV的协
同、适配SDN控制器的调度和管理,以及适配云OS下的敏捷
策略编排等方面加大技术投资,共同搭建统一的集成互通测试平
台,汇集产业各界力量开展互联互通测试,提高SDN整体安全
解决方案的准备度,支撑业务快速创新和灵活部署。
在安全产业界,云安全联盟(CloudSecurityAlliance)组织
是一个成功合作的典范,其成员包括IT服务商(Google、
Microsoft等)、电信运营商(AT&T、Orange等)、安全厂商(CA、
McAfee、Symantec等)和设备商(Cisco、Citrix、Huawei等),
厂商之间在竞争的同时保持着良好的合作。云安全联盟最重要的
工作之一就是集体讨论和构建云、SDN和NFV安全相关的标准
和规范等,涉及到架构、管理、合规、应用和数据等各方面,为
SDN和NFV安全未来的可持续发展创造条件。
竞争与合作,是商业社会的常态。良性的竞争与合作,能够
充分促使安全和ICT产业链取长补短,提升技术水平和效率,最
终为用户提供优质的解决方案,共同建设面向未来的安全的SDN
和NFV。
51学通信(51xuetongxin.com),致力打造最佳的通信技术分享平台,主打IMS、EPC、NFV、云、SDN以及5G核心网等主题。
终身视频会员赠送51学通信所有原创高清视频及PDF课件,终身免费更新。有微信群答疑。
购买请联系站长爱卫生微信:gprshome201101或51学通信淘宝店:51xuetongxin.taobao.com。
页:
[1]