近年來(lái)互聯(lián)網(wǎng)已發(fā)生巨大的變化，無(wú)論是基礎(chǔ)設(shè)施還是終端設(shè)備，無(wú)一不在重構(gòu)我們的生活。隨著云計(jì)算的普及和網(wǎng)絡(luò)惡意攻擊的產(chǎn)業(yè)化，數(shù)據(jù)泄露的風(fēng)險(xiǎn)不斷加大，云計(jì)算信息系統(tǒng)中計(jì)算、網(wǎng)絡(luò)和數(shù)據(jù)安全等方面的各種威脅也日漸突出。

　　傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方法應(yīng)用到如今復(fù)雜的網(wǎng)絡(luò)環(huán)境中已明顯表現(xiàn)出其局限性，借鑒軟件定義網(wǎng)絡(luò)（SDN， Software-Defined Networking）的思想，一種靈活的網(wǎng)絡(luò)安全防護(hù)方法——軟件定義安全（SDS，Software-Defined Security）應(yīng)運(yùn)而生，在對(duì)復(fù)雜網(wǎng)絡(luò)的安全防護(hù)上表現(xiàn)出更強(qiáng)的適應(yīng)性。

　　軟件定義安全的架構(gòu)通過(guò)將安全控制平面與安全數(shù)據(jù)平面分離，標(biāo)準(zhǔn)化南向安全控制通道，并通過(guò)安全控制器（Security Controller）保護(hù)信息系統(tǒng)。在云計(jì)算系統(tǒng)和軟件定義網(wǎng)絡(luò)環(huán)境中，更能通過(guò)虛擬資源調(diào)度和流量控制手段，實(shí)現(xiàn)安全威脅快速響應(yīng)和多種安全手段結(jié)合的方法中斷攻擊鏈（Kill Chain）。

　　軟件定義安全體系的核心是安全控制平臺(tái)（Security Controller）。在南北方向，安全控制器根據(jù)通過(guò)解析定制化的北向安全應(yīng)用邏輯，協(xié)同控制南向資源池中的安全設(shè)備，實(shí)現(xiàn)預(yù)期安全功能；在東西方向，控制知識(shí)庫(kù)構(gòu)建了多種虛擬化解決方案租戶、虛擬機(jī)和虛擬網(wǎng)絡(luò)等資產(chǎn)關(guān)系，且通過(guò)松耦合的方式與多種SDN的網(wǎng)絡(luò)控制器集成，可獲取拓?fù)浜土鲾?shù)據(jù)等信息，并下發(fā)網(wǎng)絡(luò)流量控制的命令，實(shí)現(xiàn)網(wǎng)絡(luò)流量實(shí)時(shí)感知和控制。

　　圖1 安全控制器的交互圖

　　安全控制平臺(tái)的優(yōu)勢(shì)：

　�。�1）控制與數(shù)據(jù)分離簡(jiǎn)化了安全設(shè)備的處理引擎，使得安全設(shè)備更穩(wěn)定高效。

　�。�2）借助虛擬化技術(shù)，實(shí)現(xiàn)安全設(shè)備的資源池化，并通過(guò)安全控制平臺(tái)與SDN控制器的協(xié)同，對(duì)流量按需調(diào)度，實(shí)現(xiàn)服務(wù)鏈（Service Chain），根據(jù)應(yīng)用所需的安全需求就可以從資源池中找到相應(yīng)資源，而不用關(guān)心物理上安全設(shè)備部署在哪里，也不需要考慮如何布線劃區(qū)。

　　得益于南北向的松耦合結(jié)構(gòu)，安全控制平臺(tái)適用于多種場(chǎng)景，借助不同場(chǎng)景下的安全應(yīng)用，安全控制平臺(tái)可實(shí)現(xiàn)如BYOD訪問(wèn)控制、DDoS檢測(cè)清洗、軟件定義的抗APT攻擊、軟件定義的WEB安全等功能。

　　此外，東西向安全控制平臺(tái)也采用松耦合結(jié)構(gòu)，在大量網(wǎng)絡(luò)業(yè)務(wù)分析后整理出了若干安全業(yè)務(wù)相關(guān)的SDN控制器北向接口和虛擬化系統(tǒng)接口，通過(guò)利用或開發(fā)相關(guān)接口，安全控制平臺(tái)與不同的SDN和虛擬化系統(tǒng)集成，可部署在多種不同業(yè)務(wù)類型的客戶環(huán)境中。

　　綠盟科技軟件定義安全方案與武漢綠網(wǎng)控制器GNFlush的協(xié)同工作，正是這種架構(gòu)多種優(yōu)點(diǎn)的體現(xiàn)。經(jīng)過(guò)雙方技術(shù)上的配合協(xié)作，安全控制平臺(tái)可借助GNFlush對(duì)全局網(wǎng)絡(luò)流量具有可視可控的能力，并在BYOD場(chǎng)景中進(jìn)行了驗(yàn)證。

　　圖2 軟件定義的BYOD訪問(wèn)控制

　　軟件定義的BYOD訪問(wèn)控制方案可支持多種認(rèn)證方式：如LDAP、OpenID和手機(jī)號(hào)驗(yàn)證等，進(jìn)而基于訪問(wèn)者的角色、屬性與被訪問(wèn)資源的關(guān)系實(shí)現(xiàn)訪問(wèn)控制。借助GNFlush控制器，可以實(shí)現(xiàn)流級(jí)別的細(xì)粒度控制，且無(wú)論訪問(wèn)者物理位置在何處，底層網(wǎng)絡(luò)設(shè)備都執(zhí)行同樣的控制規(guī)則。這種全局、細(xì)粒度、強(qiáng)制且一致的訪問(wèn)控制機(jī)制可認(rèn)為是云安全聯(lián)盟提出的軟件定義邊界（Software Defined Perimeter）在BYOD場(chǎng)景中的實(shí)現(xiàn)。

　　此外，當(dāng)使用GNFlush可實(shí)現(xiàn)基于上下文環(huán)境的自適應(yīng)訪問(wèn)控制，安全控制平臺(tái)通過(guò)GNFlush獲得全局流視圖，利用用戶、終端、資產(chǎn)和網(wǎng)絡(luò)環(huán)境等上下文信息形成動(dòng)態(tài)的、基于風(fēng)險(xiǎn)的訪問(wèn)決策，建立訪問(wèn)安全基線，當(dāng)存在異常訪問(wèn)時(shí)，向GNFlush下發(fā)流指令，將可疑流量牽引到安全資源池組成的安全服務(wù)鏈，進(jìn)行DPI、代碼和行為檢測(cè)，并進(jìn)一步對(duì)確認(rèn)的威脅進(jìn)行處理。

　　武漢綠網(wǎng)研制的高性能SDN控制器GNflush每秒流表下發(fā)速率高達(dá) 10M flow/s，能實(shí)現(xiàn)毫秒級(jí)的主備切換�？刂破骶邆淙�局視野，可掌握整個(gè)管理域范圍內(nèi)的流信息，這與傳統(tǒng)交換機(jī)只了解所轉(zhuǎn)發(fā)的流量有很大的區(qū)別。通過(guò)和不同類型的安全功能進(jìn)行結(jié)合，這個(gè)全局信息使得安全服務(wù)重構(gòu)成為可能。例如，SDN可以為每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)和流建立各種安全狀態(tài)屬性，并與安全信譽(yù)和異常發(fā)現(xiàn)系統(tǒng)等聯(lián)動(dòng)，實(shí)現(xiàn)更智能、靈活、高效的安全機(jī)制。高性能SDN控制器為各安全機(jī)制的自動(dòng)化、聯(lián)動(dòng)、特別是跨廠商設(shè)備的聯(lián)動(dòng)，提供了新的機(jī)遇。

　　軟件定義的理念正在改變IT基礎(chǔ)設(shè)施的方方面面，如計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)，最終成為軟件定義一切（Software Defined Everything）。這“一切”必然包含安全，軟件定義的安全體系將是今后安全防護(hù)的一個(gè)重要前進(jìn)方向。近日，綠盟科技將發(fā)布軟件定義的云安全體系架構(gòu)安全白皮書，敬請(qǐng)期待。