借助SDN 华为让云数据中心变得更安全

ZD至顶网安全频道 09月13日 北京报道：云来了，你的企业安全是否也做到了因云而变？在传统IT环境下，数据在自己的手里，系统部署在自己的数据中心，有清晰的网络安全边界、可控的安全策略，现在云计算的到来让这一切不再一样。

云化环境进一步打破了传统网络安全边界，虚拟化层东西向防护出现盲点，恶意VM可能攻击基础设施或横向感染其他虚拟机。另外，传统的静态安全防护也不适应云业务快速变化，安全上线周期长，不适应虚拟机上线、迁移和下线动态变化。这个过程中，如果还是手工配置调整安全资源，也无法弹性地适配业务的快速发展。

总结云环境下尤其是云数据中心面临的安全挑战，可以分为三个方面：一是威胁在变，高级威胁泛化，没有成熟方案应对；二是业务在变，传统静态安全不适应业务动态变化；三是边界在变，云化使得传统网络边界瓦解。

如何应对这些威胁的变化？如何打造一套适用于云数据中心的行之有效的安全解决方案？

以SDN思路应对云数据安全挑战

利用SDN（软件定义网络）的技术，给了应对云数据中心安全挑战的全新思路。华为近日发布了云数据中心SDN安全解决方案，考虑了企业业务迁移到云的技术趋势，满足了数据中心快速发展、灵活扩容、高效运维要求，提供了端到端的专业、全面的虚拟化安全解决方案。

华为企业网络产品线安全网关领域总经理刘立柱在2016华为全联接大会上表示，我们希望通过SDN的技术和方式让安全面向云数据中心架构时是软件定义的。首先是安全资源池化，以前安全是一个整体，只能做一种功能，现在在SDN的框架下，安全可以被灵活地调度。其次，不同业务的安全防护策略是可定义的，安全策略随业务实时迁移，动态感知业务变化，自动匹配策略。

华为云数据中心SDN安全解决方法架构

华为云数据中心SDN安全解决方案的重要特点还体现在按需弹性上，基于虚拟机东西向流量防护手段，通过与敏捷控制器（Agile Controller）联动，实现租户自助配置业务、自动化开通安全服务。

“这个SDN的云数据中心安全解决方案会把它感知到的威胁通过我们的连接送到智能分析系统，它是一个运用大数据系统构筑的一个自动分析系统，从而变成一个安全反馈的大脑。通过这个大脑找出所感知的问题，判断出机体是不是得病的，是什么病，是感冒还是肺炎。再把这个结果告诉给SDN软件定义的控制器，控制器会通知下面它控制的策略及安全资源，实时做出动态响应。”刘立柱说。

按需弹性还减少了90%手工配置工作量，实现业务分钟级上线。租户按需订购业务，资源动态加载、回收，资源分配灵活、弹性。因为不同的业务要求的安全等级不一样，比如A业务，业务行为比较简单，可能只需要很简单的防护控制就可以了。B业务可能需要有更多的检测服务，IPS、DDoS防护等，这些安全功能和策略可以按照业务的类别自行订购和发放。

这也避免了虚拟化环境下各种业务快速发展时，租户调度使用的资源缺乏及时保护的问题。

当然，云数据中心SDN安全解决方案自助自动化部署安全业务的同时，它还是智能的。例如，安全策略随业务实时迁移，安全策略智能调优，安全态势智能感知等。

最终，它改变了数据中心边界单点防护现状，实现边界-租户-虚拟机微隔离三级纵深防御。DC边界，部署数据中心防火墙、Anti-DDoS、NIP、SVN等多种安全设备，提供大流量、多业务安全防护。租户边界，集中部署硬件防火墙USG6000池或软件防火墙USG6000-V池，将租户之间的南北向流量引至防火墙进行安全防护。租户内部，基于Host分布式部署USG6000V，可基于vSYS为多个租户作内部东西向流量过滤、VM主机隔离。通过它们联动大数据智能分析，精准检测外部威胁、内部租户以及虚拟机异常，解决了威胁手段升级下传统检测效率低下的问题。

华为云数据中心SDN安全解决方案实现全网协防智能联动

当然，基于SDN技术和方式的安全解决方案并不是第一次出现，华为做的又有什么不同？

华为在SDN领域有充分的积累，“华为云数据中心SDN解决方案最大的不同就是我们的SDN控制器，它实现的是一个全资源的管理。可以对整体的网络，无论是DC、园区、还是边缘，做全站、全系列的资源管理，这样真正实现安全的无处不在和全网的协同性。能具备这样能力的企业，业界屈指可数。”刘立柱说。

华为还将在安全方面发展基于大数据的智能化检测和分析技术等相关产品，从而跟整个SDN实现全网的协同和联动，让真正的软件定义是智能化的软件定义，从而让整个数据中心的架构变得非常弹性，同时在安全方面具备非常强的自免疫能力。

华为云数据中心SDN安全解决方案是基于华为敏捷数据中心网络解决方案实现的端到端的安全解决方案，其管理编排层、控制层相关等组件均由华为公司提供，安全设备作为数据面组件通过API接口与之对接，实现端到端的资源及业务调度。

在这个SDN安全解决方案架构中，应用层提供了包括主机安全、网络安全、数据安全、应用安全和管理安全的12类安全VAS服务，以在线超市模式提供，用户可随需自选。管理和编排&控制层上，让安全资源按需弹性、业务自动发放，并且结合大数据智能分析，实现精准检测。数据面则实现了边界-租户-虚拟机微隔离的三重防御和全网协防。

最终，华为借助SDN技术实现了适应业务变化的软件定义安全，并结合大数据安全分析精准识别异常，帮助企业构建SDN架构的可信云平台。借鉴软件定义的技术，华为让云数据中心变得更安全。