在经历了模拟时代、数字时代、互联网时代之后,目前全球通信产业已经进入软件定义网络时代。该时代主要技术特征是网络架构的变革,即从垂直封闭架构转向水平开放架构。顺应产业发展形势,各大运营商先后提出了网络重构战略,以“增强网络活力”和满足“互联网+”业务发展需求为目标,重定义、重设计网络架构,构建新型的泛在、敏捷、按需的智能型网络。这不仅为运营商的深化转型提供了强大的武器,更为包括安全界在内的产业链上下游带来创新与发展的契机。
安全业务架构重构
软件定义网络时代,传统网络基础设施与其上的安全运营管理正在发生深刻改变。云计算、大数据以及SDN/NFV等代表性技术,不仅影响着安全业务需求,也为安全业务体系的顶层设计提供了新的思路。
Gartner在《The Impact of Software-Defined Data Centers on Information Security》一文中提出软件定义安全(SDS)的概念后,软件定义与安全的结合已成为业界的前沿发展热点。软件定义安全由软件定义网络(SDN)引申而来,其实质是将安全数据平面与控制平面分离,对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦,底层抽象为安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现灵活的安全防护能力。
基于软件定义架构的安全业务架构由三部分组成:实现安全功能的设备资源池、软件定义的安全控制平台以及上层的安全应用。安全设备通过资源池化,抽象为具有不同原子安全能力的资源池,可根据业务量和客户个性化的安全需求集成与扩展。安全控制平台向上为应用提供编程接口,向下为设备资源池提供管理,东西向适配其他管理平台,是软件定义安全业务架构的核心。其以标准的信息模型同步不同接口来源的安全策略、资产数据和日志告警,并利用这些信息完成任务调度、智能决策和命令推送。安全应用是根据用户特定安全业务需求,基于安全控制平台北向开放的API,开发并交付用户使用的服务实体。
软件定义安全业务体系,可通过弹性、按需地调配安全资源,及时改进和升级安全措施,灵活设计和实现安全应用,并为高可靠性、高可视化的安全业务运维创造了条件,从而进一步推进安全服务内容、实现机制和交付方式的创新和发展。
新兴安全产品发展
软件定义网络时代,随着业务上云与逐步微服务化,资源集中与共享的程度提高,业务部署与更新的速度加快,给安全运营带来更大挑战,而传统安全防护手段在新形势下逐渐低效甚至失效。同时,新技术的引入也促进了安全产品的革新,虚拟化及大数据技术在安全领域的应用已经成为主流。
从产品形态上看,云计算运营管理方式正驱动安全设备与系统向虚拟化、IT化方向转型。一方面,软件安全产品更易于对接云基础设施,也更易于适应云应用的快速变化。另一方面,日新月异的互联网技术发展成果也能够便利地在安全产品上应用落地。
从产品能力上看,安全设备与系统已经从基于攻击特征的一代产品和基于威胁源分析的二代产品,逐步向基于用户模式异常分析的高级威胁防护方向发展。Gartner将新兴安全产品的高级威胁防护能力总结为五种模式:网络流量分析型、网络取证型、载荷分析型、终端行为分析型和终端取证型。网络流量分析型是在建立基准流量模型的基础上,对网络入侵所导致的异常进行分析与确认。网络取证型对网络流量进行全包捕获和存储,通过事后重建与回放来确认攻击。载荷分析型基于沙箱技术来实时检测攻击行为。终端行为分析型是以终端代理方式监控用户本地的系统配置、内存和进程,防范攻击行为。而终端取证型则在终端收集数据,并自动实施攻击防护响应。
对于运营商应用来说,由于流量巨大、数据庞杂,传统运营商级防护业务主要选用通用型高性能的网络安全产品,难以满足用户差异化、细粒度的防护需求。软件定义网络时代,重构的网络基础设施将根据用户、业务以及服务链分片,使得针对高层业务协议定制的智能型安全产品为运营商行业应用成为可能。这也给运营商安全业务市场带来了可观的发展前景。
安全服务模式创新
基于“软件定义安全”的业务架构重构及安全技术的推陈出新进一步推动了运营商安全服务模式的创新。
可憧憬的安全服务模式转变在未来有望出现在三个方面。一、安全服务定购从定制开发转变为轻量级应用的随选组合,安全服务上线时间将大大缩减,服务内容也会更贴近用户需求。二、安全服务交付从传统线下对接转变为实时在线推送,“零部署”的交付方式与“所见即所得”的交付效果将极大提高用户的服务感知。三、安全服务运维从人力密集操作转变为高效自动运维,机器智能决策与主动快速防御简化了运营管理流程,降低了运营管理成本,为安全服务的规模应用奠定了基础。
网络重构打破了传统信息网络体系的设计、实现方法和运维管理体系,也影响到安全防护业务的方方面面。
安全产品正在从硬件走向软件,从一个个独立的安全设备走向可扩展的安全资源池,从单设备孤岛式服务走向整体解决方案。软件定义安全架构构建了一个可持续发展、弹性调度的生态系统,为集约化的大数据分析与自动化专家级应急响应服务提供了强大的技术支持。总之,网络重构为运营商产业带来又一个历史性的发展机遇,产业链将获得相辅相成的良性循环发展。网络开放可以极大地促进安全领域新技术的应用和新业务的创新。
