基于SDN的應(yīng)用可以按需定制部署安全功能，快速開(kāi)通安全服務(wù)；應(yīng)用可以動(dòng)態(tài)控制業(yè)務(wù)流能否通過(guò)網(wǎng)絡(luò)，確保應(yīng)用安全策略實(shí)時(shí)生效。

安全服務(wù)發(fā)展趨勢(shì)

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，企業(yè)面臨越來(lái)越多的安全威脅。針對(duì)大量的中小企業(yè)沒(méi)有安全專(zhuān)業(yè)人員，缺少安全專(zhuān)業(yè)知識(shí)的普遍情況，運(yùn)營(yíng)商、安全服務(wù)提供商紛紛推出了安全服務(wù)（Managed security services）。根據(jù)分析報(bào)告預(yù)測(cè)：隨著安全服務(wù)市場(chǎng)快速發(fā)展，到2020年有望達(dá)到299億美元，平均年增長(zhǎng)率達(dá)到15.8%。

盡管有著巨大的發(fā)展空間，安全服務(wù)也面臨著諸多挑戰(zhàn)：對(duì)企業(yè)而言，新的業(yè)務(wù)和應(yīng)用層出不窮，企業(yè)希望為這些業(yè)務(wù)和應(yīng)用進(jìn)行實(shí)時(shí)的安全防護(hù)；對(duì)運(yùn)營(yíng)商和安全服務(wù)提供商來(lái)說(shuō)，網(wǎng)絡(luò)中有來(lái)自不同廠家的安全設(shè)備，這些設(shè)備的安全能力參差不齊，有著不同的配置接口，并且使用各自不同的管理平臺(tái)，缺乏統(tǒng)一的管理和配置接口及應(yīng)用，給業(yè)務(wù)運(yùn)營(yíng)人員帶來(lái)了很大的不便；另外，隨著云計(jì)算的普及，網(wǎng)絡(luò)安全的邊界變得模糊，公有云或私有云中的虛擬機(jī)也可能會(huì)發(fā)生遷移，運(yùn)營(yíng)商和安全服務(wù)提供商希望能根據(jù)網(wǎng)絡(luò)中的資源情況，在網(wǎng)絡(luò)中最合適的位置或設(shè)備上提供靈活的業(yè)務(wù)部署，滿(mǎn)足不同業(yè)務(wù)的不同安全需求。

華為公司通過(guò)研究SDN和NFV技術(shù)在網(wǎng)絡(luò)安全方面的應(yīng)用，提出了應(yīng)用定義安全的解決方案，利用SDN技術(shù)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的集中管控，使得運(yùn)營(yíng)商和安全服務(wù)提供商能根據(jù)客戶(hù)需求靈活的在網(wǎng)絡(luò)中部署安全功能，實(shí)時(shí)的進(jìn)行安全策略的配置和更新，為應(yīng)用提供了端到端的安全保證。

應(yīng)用定義安全的解決方案

應(yīng)用定義安全（Application Defined Security）解決方案的核心理念是：(1)應(yīng)用可以按需定制部署安全功能，快速開(kāi)通安全服務(wù)；(2)應(yīng)用可以動(dòng)態(tài)控制業(yè)務(wù)流能否通過(guò)網(wǎng)絡(luò)，確保應(yīng)用安全策略實(shí)時(shí)生效。

在應(yīng)用定義安全解決方案中，Orchestrator組件接收來(lái)自安全資源池中安全單元的功能和性能注冊(cè)；并解析應(yīng)用的安全業(yè)務(wù)需求，選擇并調(diào)用最佳的安全單元組合進(jìn)行業(yè)務(wù)編排。安全業(yè)務(wù)引擎(SSE)組件通過(guò)將安全能力與安全設(shè)備解耦，將安全控制面與數(shù)據(jù)面分離，實(shí)現(xiàn)了開(kāi)放統(tǒng)一的安全業(yè)務(wù)策略接口和安全能力接口，將安全業(yè)務(wù)策略轉(zhuǎn)換為安全能力規(guī)則后配置到具體的安全單元，并能實(shí)時(shí)監(jiān)測(cè)安全單元的狀態(tài)、收集其上報(bào)統(tǒng)計(jì)信息等。

圖1 應(yīng)用定義安全解決方案架構(gòu)

應(yīng)用定義安全解決方案使得用戶(hù)不僅可以在靠近應(yīng)用終端的位置部署合適的安全能力單元(如路由器的ACL能力，IPS功能等)，而且實(shí)時(shí)動(dòng)態(tài)控制業(yè)務(wù)流是否通過(guò)網(wǎng)絡(luò)，什么時(shí)間通過(guò)網(wǎng)絡(luò)等。

應(yīng)用定義安全解決方案的價(jià)值

對(duì)運(yùn)營(yíng)商和安全服務(wù)提供商的價(jià)值：

應(yīng)用定義安全解決方案對(duì)運(yùn)營(yíng)商和安全服務(wù)提供商的價(jià)值可歸納在業(yè)務(wù)部署、運(yùn)維、成本這三個(gè)方面。在業(yè)務(wù)部署方面，運(yùn)營(yíng)商和安全服務(wù)提供商加速引入新業(yè)務(wù)并創(chuàng)收、按需自動(dòng)化部署安全業(yè)務(wù)及快速提升服務(wù)能力；在運(yùn)維方面，他們利用SDN集中管控，端到端的安全業(yè)務(wù)管理與控制，降低OPEX；在成本方面，他們按需部署虛擬化安全功能，降低CAPEX。

對(duì)企業(yè)用戶(hù)的價(jià)值：

企業(yè)用戶(hù)將企業(yè)網(wǎng)絡(luò)安全業(yè)務(wù)托管給運(yùn)營(yíng)商或安全服務(wù)提供商，由他們來(lái)定制提供端到端的安全業(yè)務(wù)能力，保證企業(yè)應(yīng)用的實(shí)時(shí)安全防御，使得企業(yè)用戶(hù)可以聚焦核心業(yè)務(wù)。

相關(guān)的標(biāo)準(zhǔn)進(jìn)展

業(yè)界各個(gè)標(biāo)準(zhǔn)組織也在積極制定相關(guān)的安全標(biāo)準(zhǔn)：IETF在2015年成立了DDoS Open Threat Singaling(DOTS)和Interface to Network Security Functions(I2NSF)工作組，分別定義DDoS攻擊防御的信令接口與協(xié)議和SDN控制器的安全服務(wù)南/北向接口；開(kāi)放網(wǎng)絡(luò)基金會(huì)(Open Networking Foundation:ONF)設(shè)置了安全組，致力于SDN安全的標(biāo)準(zhǔn)化規(guī)范制定。

華為公司也積極的參與到了標(biāo)準(zhǔn)的制定過(guò)程中并在其中發(fā)揮了重要角色，聯(lián)合Telefonica、BT、Orange和China mobile等運(yùn)營(yíng)商以及Fortinet等設(shè)備商在IETF推動(dòng)成立了I2NSF工作組，將應(yīng)用定義安全解決方案中的安全服務(wù)SDN南北向接口信息模型及DDoS攻擊防御的信令接口和承載協(xié)議，分別貢獻(xiàn)到IETF I2NSF和DOTS工作組草案中，有力的支持了標(biāo)準(zhǔn)的進(jìn)展。

本文轉(zhuǎn)載自：http://developer.huawei.com/ict/cn/site-sdn/article/09