華為企業(yè)網(wǎng)絡(luò )產(chǎn)品線(xiàn)安全產(chǎn)品管理部 張強
企業(yè)信息化迅猛發(fā)展,傳統網(wǎng)絡(luò )的短板越來(lái)越不可接受,尤其是網(wǎng)絡(luò )安全問(wèn)題。傳統網(wǎng)絡(luò )安全遵循“安全性與可用性的平衡”,CIO/CTO就是走鋼絲的平衡大師,要讓網(wǎng)絡(luò )與IT在為企業(yè)業(yè)務(wù)提供最大程度支撐的同時(shí),確保網(wǎng)絡(luò )與信息安全事件不傷及企業(yè)根本。但當網(wǎng)絡(luò )安全遭遇移動(dòng)性、云計算、社交網(wǎng)絡(luò )和APT這些新挑戰,就如同把鋼索架設到天塹之上、而且平衡大師還背了一個(gè)重要人物,對面就是彼岸、是通途,走不走?誰(shuí)敢走?怎么走?
似乎有點(diǎn)危言聳聽(tīng),但根據專(zhuān)業(yè)機構對全球500強企業(yè)CIO/CTO的訪(fǎng)談顯示,BYOD、社交網(wǎng)絡(luò )、公有云大規模用于企業(yè)核心業(yè)務(wù)的最大障礙正是安全性顧慮。
SDN(軟件定義網(wǎng)絡(luò ))架構的提出,為這些新興業(yè)務(wù)所必需的彈性、高可用和低成本網(wǎng)絡(luò )平臺帶來(lái)了全新的思路,但截至目前,業(yè)界廠(chǎng)商所發(fā)布的SDN網(wǎng)絡(luò )方案大多缺乏對安全性的創(chuàng )新性思考,仍然試圖以傳統思路解決SDN時(shí)代的網(wǎng)絡(luò )安全威脅。這就出現了本文一開(kāi)始提到的場(chǎng)景和問(wèn)題:在A(yíng)PT、新興DDoS、未知惡意軟件、零日漏洞的虎視眈眈之下,沒(méi)有將安全融入其中的解決之道永遠只能是風(fēng)雨中的鋼絲繩:可以把鋼絲設計到最結實(shí),怎么都不會(huì )斷;可以給平衡大師穿上特制的裝備,粘在鋼絲上怎么都掉不下去、多大的風(fēng)都迷不了眼、多低的溫度都寒不了身……就算這樣,誰(shuí)敢走?所以現實(shí)情況就是,企業(yè)只能慢一點(diǎn)、貴一些——核心業(yè)務(wù)不移動(dòng)、關(guān)鍵業(yè)務(wù)不社交、多花點(diǎn)錢(qián)自建私有云。
要在這場(chǎng)ICT變革的風(fēng)口浪尖上持續創(chuàng )新、贏(yíng)得客戶(hù)信賴(lài),需要從最初設計、構建網(wǎng)絡(luò )時(shí)開(kāi)始考慮安全問(wèn)題。眾所周知,基于TCP/IP架構的傳統網(wǎng)絡(luò ),在安全方面本質(zhì)上是封閉、隔離、不可信的。隨著(zhù)信息化的不斷深入,雖然安全技術(shù)日新月異,企業(yè)為安全所投入的預算也越來(lái)越高,安全問(wèn)題造成的危害卻越來(lái)越大、越來(lái)越嚴重。下一代安全必須與網(wǎng)絡(luò )是一個(gè)整體,這樣才能解開(kāi)網(wǎng)絡(luò )安全問(wèn)題的癥結。
華為基于SDN架構的敏捷網(wǎng)絡(luò ),在設計之初就把網(wǎng)絡(luò )與安全作為一個(gè)整體進(jìn)行構架,徹底顛覆傳統TCP/IP網(wǎng)絡(luò )安全“缺省阻斷”、“盡力而為”的原則,從終端到網(wǎng)絡(luò ),從網(wǎng)絡(luò )到DC,全網(wǎng)自動(dòng)感知環(huán)境脆弱性,基于業(yè)務(wù)實(shí)施安全策略,智能整合安全信譽(yù)、大數據和沙箱等技術(shù)來(lái)檢測和防御未知威脅,為企業(yè)提供真正可控、可用、可信的網(wǎng)絡(luò )。
可控
安全設備能夠從“用戶(hù)、應用、內容、物理位置、時(shí)間、威脅”等多個(gè)維度感知企業(yè)ICT環(huán)境,并能夠和其它網(wǎng)絡(luò )設備一樣被共同的controller管理和調度,這意味著(zhù)企業(yè)可以定義和感知網(wǎng)絡(luò )中幾乎所有對象,包括人、部門(mén)、業(yè)務(wù)、信息等等,也可以基于各種方法去管控和保護,比如時(shí)間、地點(diǎn)、重要性、危害性等等。憑借對環(huán)境的精細化動(dòng)態(tài)感知能力,華為敏捷網(wǎng)絡(luò )甚至能夠從最終用戶(hù)網(wǎng)絡(luò )體驗的角度,對企業(yè)關(guān)鍵業(yè)務(wù)和關(guān)鍵員工的業(yè)務(wù)質(zhì)量進(jìn)行監控,提升網(wǎng)絡(luò )對業(yè)務(wù)的支撐水平。
華為目前提供超過(guò)6000種APP識別能力,居業(yè)界最高水平,能夠感知和導入企業(yè)組織結構、人員信息,檢測上百種文件類(lèi)型和文件內容,并通過(guò)終端Agent、AP等組件快速定位終端所在物理位置(公司內部或外部、總部或分支、國內或海外等),具備真正全方位、無(wú)死角的環(huán)境感知能力。可控的才是安全的,可感知才能可控,只有全網(wǎng)協(xié)同才能真正做到無(wú)漏洞的環(huán)境感知。
可用
在敏捷網(wǎng)絡(luò )中,安全不再是一個(gè)個(gè)孤立的網(wǎng)絡(luò )節點(diǎn),而是通過(guò)多層次的虛擬化技術(shù)構成一個(gè)安全資源池,再通過(guò)統一的controller在全網(wǎng)調度,形成一系列有關(guān)聯(lián)的虛擬安全網(wǎng)關(guān)。企業(yè)原有的呈地理分布的多套物理安全網(wǎng)關(guān),可通過(guò)橫向和縱向虛擬化技術(shù)形成一臺超級虛擬安全網(wǎng)關(guān),然后再根據企業(yè)自身的業(yè)務(wù)和安全訴求進(jìn)行“一虛多”重新劃分,既可以按照組織結構進(jìn)行部署,也可以按照區域進(jìn)行部署,甚至在廣域鏈路質(zhì)量比較好的地區之間實(shí)現資源整合、調度性能與功能。“多虛一”和“一虛多”技術(shù)形成的安全資源池可以實(shí)現全球安全策略與會(huì )話(huà)的自動(dòng)同步,比如在外出差的員工,其權限控制與資源控制可以根據物理位置的感知自動(dòng)遷移到最近的安全網(wǎng)關(guān)上,真正做到隨時(shí)隨地、一致體驗。除此之外,基于華為多層次“多虛一”技術(shù)實(shí)現的安全云,同樣具備多層次的彈性擴展能力,宏觀(guān)上可以向任何一個(gè)節點(diǎn)擴容物理安全網(wǎng)關(guān),來(lái)增強全網(wǎng)安全處理能力;微觀(guān)上也可以對網(wǎng)絡(luò )中的安全網(wǎng)關(guān)、交換機和路由器進(jìn)行安全擴展,包括業(yè)務(wù)處理板、CPU內核、接口和安全特性。
真正可用的安全必然包括安全能力、安全部署和安全擴展等多個(gè)方面的可用性,缺一不可。可用的安全是可用網(wǎng)絡(luò )的基本要素,也是核心要素。
可信
傳統網(wǎng)絡(luò )安全最基本的原則就是“不可信”,比如防火墻,首先定義Trust、Untrust域,所有來(lái)自Untrust域的訪(fǎng)問(wèn)都缺省禁止,管理威脅的時(shí)候缺省懷疑所有對象、檢測所有對象,只能通過(guò)管理員手工配置才能讓安全網(wǎng)關(guān)只監控指定對象、放行指定對象。造成這個(gè)現象的根本原因在于傳統安全屬于“事后防御”——根據已發(fā)生的安全事件定義威脅特征,然后基于特征檢測和阻斷威脅,無(wú)法“事先”發(fā)現新威脅。“不可知”導致“不可信”,不可信則帶來(lái)效率下降、成本上升,但安全威脅仍然無(wú)法徹底杜絕。
