倡導(dǎo)良性競(jìng)合，共建安全的SDN和NFV

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理 劉立柱

倡導(dǎo)良性競(jìng)合，共建安全的SDN和NFV

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全網(wǎng)關(guān)領(lǐng)域總經(jīng)理 劉立柱

SDN（軟件定義網(wǎng)絡(luò)）和NFV（網(wǎng)絡(luò)功能虛擬化）帶來(lái)的既是一場(chǎng)變革，也是不可避免的趨勢(shì)。SDN和NFV可以隨時(shí)根據(jù)業(yè)務(wù)需求變化，將網(wǎng)絡(luò)結(jié)構(gòu)和功能進(jìn)行快速重新配置，其開(kāi)放性、敏捷性、可編排和虛擬化等眾多特性，使之成為未來(lái)云數(shù)據(jù)中心的首選解決方案。

但是，SDN和NFV給云數(shù)據(jù)中心帶來(lái)巨大機(jī)遇的同時(shí)，其復(fù)雜的編排和調(diào)度、VM（虛擬機(jī)）之間不經(jīng)過(guò)硬件網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)等種種特性，使得安全面臨著巨大的困難，傳統(tǒng)架構(gòu)已經(jīng)無(wú)法滿(mǎn)足云數(shù)據(jù)中心的安全需求。在這一背景下，安全產(chǎn)業(yè)的傳統(tǒng)和新興廠商以及Hypervisor等提出了不同層次的安全解決方案。以虛擬化安全為例，安全解決方案包含6個(gè)層次：第一層是物理網(wǎng)絡(luò)防火墻，也就是傳統(tǒng)防火墻；第二層是容器層，目前大多還停留在IP包過(guò)濾階段；第三層是內(nèi)核防火墻，通常是一個(gè)對(duì)vNIC進(jìn)出流量進(jìn)行簡(jiǎn)單狀態(tài)檢測(cè)的防火墻；第四層是普通虛擬防火墻，用于VLAN之間的安全防護(hù)；第五層是VM之間的防火墻，功能與傳統(tǒng)防火墻類(lèi)似，承擔(dān)多種防火墻或IPS功能；第六層是虛擬機(jī)的端點(diǎn)安全防火墻，提供各種端點(diǎn)和業(yè)務(wù)安全防護(hù)。

由此可見(jiàn)，虛擬化安全與傳統(tǒng)安全有著巨大差異，傳統(tǒng)安全更注重主機(jī)和網(wǎng)絡(luò)的安全，也就是第一層和第六層，中間的4層在傳統(tǒng)安全中是看不到的。對(duì)于傳統(tǒng)安全廠商而言，其優(yōu)勢(shì)在于第一層的物理防火墻，基于此優(yōu)勢(shì)，在第四、第五層的VM之間的防火墻上也大有可為，因?yàn)榛A(chǔ)的防火墻和IPS能力在這一層同樣適用。

在虛擬化系統(tǒng)中，VM之間的東西向流量沒(méi)有經(jīng)過(guò)實(shí)體防火墻，第一層的傳統(tǒng)防火墻無(wú)法得知此流量是否具有威脅和風(fēng)險(xiǎn)，自然無(wú)計(jì)可施。雖然傳統(tǒng)安全廠商相繼推出了第四、第五層可用的虛擬防火墻，但虛擬化流量的引流和調(diào)度都掌握在第三、第四層的Hypervisor和vSwitch手中，安全廠商的虛擬防火墻無(wú)法獨(dú)立發(fā)揮作用。

在SDN和NFV演進(jìn)的趨勢(shì)下，安全架構(gòu)發(fā)生了重大變化，類(lèi)似于虛擬化安全解決方案這樣的例子還有很多，例如通過(guò)云安全資源池來(lái)解決不同租戶(hù)/不同業(yè)務(wù)的安全需求、IPS/負(fù)載均衡等業(yè)務(wù)的適配，以及SDN控制器與安全管理的協(xié)同等，大多都難以明確定義是安全廠商負(fù)責(zé)還是Hypervisor負(fù)責(zé)，各方都在試圖尋找良好的SDN和NFV安全解決方案。

Gartner分析師Eric Ahlm認(rèn)為：未來(lái)一段時(shí)間可能都不會(huì)有非常清晰的云數(shù)據(jù)中心SDN和NFV自動(dòng)化解決方案的演進(jìn)路線。相應(yīng)的，適配云數(shù)據(jù)中心的SDN和NFV安全解決方案也尚無(wú)定論，當(dāng)前各廠商推出的解決方案紛繁復(fù)雜，在一定程度上體現(xiàn)了安全產(chǎn)業(yè)鏈競(jìng)合關(guān)系的變化。

虛擬化安全出現(xiàn)了兩個(gè)方面的競(jìng)爭(zhēng)變化。首先，產(chǎn)業(yè)鏈的劃分更加細(xì)致，參與者更多。有的廠商依舊專(zhuān)注于硬件防火墻，有的廠商專(zhuān)注于虛擬防火墻，有的廠商則專(zhuān)注于容器層安全；第二，產(chǎn)業(yè)鏈之間相互滲透。傳統(tǒng)安全廠商通過(guò)提供虛擬防火墻進(jìn)入云數(shù)據(jù)中心市場(chǎng)，Hypervisor也不遑多讓?zhuān)ㄟ^(guò)在內(nèi)核層和vSwitch層直接提供安全解決方案進(jìn)入到安全市場(chǎng)。

推而廣之，在SDN和NFV發(fā)展的趨勢(shì)下，所有與其相關(guān)的安全都有上述兩個(gè)方面的變化。在產(chǎn)業(yè)鏈更加細(xì)分方面，安全廠商在芯片、硬件平臺(tái)、硬件防火墻、軟件防火墻、應(yīng)用安全和數(shù)據(jù)安全等各方面提供適配SDN和NFV的安全解決方案；在產(chǎn)業(yè)鏈相互滲透方面，芯片廠商、硬件廠商、Hypervisor、軟件廠商和系統(tǒng)集成商紛紛提供安全特性、安全產(chǎn)品和安全解決方案，意圖在SDN和NFV市場(chǎng)分得更多的一杯羹。

同時(shí)，SDN和NF V安全也不僅僅是競(jìng)爭(zhēng)，更多的是合作。安全不是單純靠幾個(gè)設(shè)備和軟件就能確保萬(wàn)無(wú)一失的，它是一個(gè)系統(tǒng)工程。安全廠商有著自己的優(yōu)勢(shì)和積累，例如網(wǎng)絡(luò)安全廠商對(duì)網(wǎng)絡(luò)協(xié)議的理解、分析、監(jiān)控和快速處理能力，例如防病毒廠商多年來(lái)長(zhǎng)期積累的惡意文件識(shí)別能力，例如數(shù)據(jù)防泄漏廠商在進(jìn)出向數(shù)據(jù)監(jiān)測(cè)中的算法模型，這些都是Hypervisor所不具備的；反過(guò)來(lái)，Hypervisor能夠?qū)PU、內(nèi)存和IO進(jìn)行隔離，能夠提供云OS的指令優(yōu)先級(jí)管理，能夠?qū)M訪問(wèn)虛擬化內(nèi)存進(jìn)行精細(xì)化的控制，這些關(guān)鍵能力也是安全廠商短期內(nèi)無(wú)法超越、但卻又對(duì)安全有著至關(guān)重要的意義。因此合作成為最好的選擇。

SDN和NFV安全產(chǎn)業(yè)良性的競(jìng)爭(zhēng)與合作，應(yīng)當(dāng)充分繼承和發(fā)展SDN和NFV的理念：構(gòu)建開(kāi)放、靈活和彈性的網(wǎng)絡(luò)。

開(kāi)放的具體含義是： 安全廠商與Hypervisor、硬件廠商、芯片廠商以及用戶(hù)共同探索SDN與NFV安全的多種需求場(chǎng)景，構(gòu)建完整、可靠的安全解決方案，并促成產(chǎn)業(yè)鏈各方達(dá)成廣泛理解與共識(shí)；明確相關(guān)安全和ICT基礎(chǔ)設(shè)施之間軟硬件的接口，推動(dòng)形成事實(shí)標(biāo)準(zhǔn)。

靈活與彈性的具體建議是：產(chǎn)業(yè)鏈共同在SDN與NFV的協(xié)同、適配SDN控制器的調(diào)度和管理，以及適配云OS下的敏捷策略編排等方面加大技術(shù)投資，共同搭建統(tǒng)一的集成互通測(cè)試平臺(tái)，匯集產(chǎn)業(yè)各界力量開(kāi)展互聯(lián)互通測(cè)試，提高SDN整體安全解決方案的準(zhǔn)備度，支撐業(yè)務(wù)快速創(chuàng)新和靈活部署。

在安全產(chǎn)業(yè)界，云安全聯(lián)盟（Cloud Security Alliance）組織是一個(gè)成功合作的典范， 其成員包括I T 服務(wù)商（Google、Microsoft等）、電信運(yùn)營(yíng)商（AT&T、Orange等）、安全廠商（CA、McAfee、Symantec等）和設(shè)備商（Cisco、Citrix、Huawei等），廠商之間在競(jìng)爭(zhēng)的同時(shí)保持著良好的合作。云安全聯(lián)盟最重要的工作之一就是集體討論和構(gòu)建云、SDN和NFV安全相關(guān)的標(biāo)準(zhǔn)和規(guī)范等，涉及到架構(gòu)、管理、合規(guī)、應(yīng)用和數(shù)據(jù)等各方面，為SDN和NFV安全未來(lái)的可持續(xù)發(fā)展創(chuàng)造條件。

競(jìng)爭(zhēng)與合作，是商業(yè)社會(huì)的常態(tài)。良性的競(jìng)爭(zhēng)與合作，能夠充分促使安全和ICT產(chǎn)業(yè)鏈取長(zhǎng)補(bǔ)短，提升技術(shù)水平和效率，最終為用戶(hù)提供優(yōu)質(zhì)的解決方案，共同建設(shè)面向未來(lái)的安全的SDN和NFV。