原标题:云转型面临挑战 华为SDN如何确保安全性

“拥抱云、融入云”,这是华为在HUAWEI CONNECT 2016上喊出的口号,而云时代的玩家众多,如何才能脱颖而出?云计算的解决方案变革了传统的业务形态,对商业模式提出更高的要求。云化生态让企业之间的联接更为紧密,部署和运营也更灵活。不过在企业转向云架构的过程中,仍有很多挑战需要解决,对此,华为也给出了自己的答案。

挑战面前 华为如何抓准机遇?

以往,企业的数据都存储在自家的数据中心,拥有清晰的网络安全边界,由防火墙提供绝对的隔离保护,管理是安全可控的。然而接触云之后,基础设施供应方发生了变化,无论是公有云、混合云,还是私有云,原有的安全边界越来越模糊,不同业务之间有着各异的访问权限和控制规则。

同时,传统的业务模式也在改变,需要重新部署在共享的技术架构上。从安全的对立面来看,威胁在“与时俱进”,云环境中大量的联接、信息存储和处理,构成了非常宽泛的全联接时代。此时,很多不可信的节点就会通过网络登上云端,从而引发一系列风险。值得注意的是,APT攻击在多数情况下都是源于用户的疏忽,例如经由电子邮件感染。

为了解决这些问题,华为推出了云数据中心SDN安全解决方案。具体来说,华为在考虑安全架构的时候,首先关注四层安全边界,在软件定义的框架下,数据加密、应用防护可以被灵活调度,既能同时服务于很多业务,也能被被用于不同的逻辑流向,支持不同安全策略的加固。

华为企业网络产品线安全网关领域总经理刘立柱介绍称,华为的安全方案不仅可以防护和检测,还能将感知到的威胁发送至智能分析系统,做出实时的动态响应,“这是SDN安全软件定义要做的三个方面的弹性:可控、可管理、可软件定义,我们整个云数据中心安全是智能化的,面向可被分析的大数据安全。”

针对不同的客户需求,华为还会提供弹性的适配业务,发放过程中的业务链条逻辑也能灵活编排。“在数据中心内、网络边界、租户与租户之间,甚至是租户内三层的防御,会运用大量的虚拟化软件安全的技术,包括虚拟防火墙等。”刘立柱说,“我们是要实现智能全站式的数据中心安全,涉及主机系统监控、启发式捕获、应用级安全,以及数据安全。”

华为云数据中心SDN安全方案的“大不同”

未来的世界将是软件定义的,那么华为基于SDN的安全解决方案有着哪些特点呢?刘立柱表示,华为做的SDN数据中心安全解决方案,最大不同就是SDN控制器,其实现了全资源的管理,真正做到了“安全无处不在”,并且有很多的全网协同性。

“安全方面,我们会独立发展基于大数据的智能化检测,以及分析技术和相应系统产品。把这些形成我们在安全方面的独特控制点和价值点,与整个SDN实现全网的协同和联动,真正的软件定义是智能化的软件定义。”刘立柱表示。据了解,华为的安全设备兼具开放性,支持与其他厂商的SDN控制器组合。

目前,华为SDN安全解决方案已经落地使用,服务于全球各地的客户。刘立柱举例称,华为在葡萄牙有一个金融客户,部署了其防火墙,与APT检测做了组合联动,“我们帮客户筛查了300多万个恶意文件渗透,查出160多个高危的恶意文件,其中的45个在威胁情报系统之后发现的。我们在防御上做了98次阻断,效果很不错。”

华为企业网络产品线安全产品规划部总监谈晶谈到,挪威的一家私有云数据中心也采用了华为的方案,主要是软件控制器做自动化安全应用的发放,包括策略统一配置和自动生效。客户反馈称,整个安全业务的上线速度提升显著。

结语

最后,刘立柱谈到了大数据安全,除了底层技术的积累,华为还成立了专门的研究实验室——华为未然实验室,探索对恶意威胁检测模型的算法。此外,华为还与很多行业机构达成合作,在欧洲等多地设立研究中心,招募大批安全专家。

“大数据的分析要基于启发式的行为方式,以人工智能为例,这种技术正处于发展初期,过去的所有安全积累都是提取样本特征定义出来的,真正做启发式的检测预算,做行为方面的分析都是刚起步。”刘立柱表示,“我们应该在技术方面走得快一些,也希望与业界更多的安全从业者合作。”