云数据中心面临安全问题，华为SDN解决方案有一个安全大脑

CNET科技资讯网 9月23日 北京消息（文/周雅）：当越来越多的企业开始采用云服务，安全问题往往成为待考虑的问题。在传统IT环境中，企业默认的逻辑架构是可信的，数据在自己手里，系统部署在自己的数据中心，有自己很清晰的网络安全边界，边界之间会有一个相对比较清晰的防火墙做隔离，有可控的安全策略的管理。

然而一旦云化之后，企业云数据中心面临3个安全挑战：第一，企业接触云之后，基础设施供应方发生了变化，无论是公有云、混合云还是私有云，原有的网络边界越来越模糊，不同业务之间有着不同的访问权限和控制规则；第二，业务模式也在变化，以往的业务是静态的，重构整合之后，业务需要重新部署在共享的技术架构上，静态安全已经无法适应业务的动态变化；此外，威胁在与时俱进，随着大量的信息处理、联接、存储在云中，意味着未来将有大量不可靠的节点通过网络连接到云上，最终威胁云，带来极大的安全风险。

那么，企业如何应对这些数据安全挑战？

SDN（软件定义网络）是关键

在华为全联接大会（HUAWEI CONNECT 2016）期间，华为发布了云数据中心SDN安全解决方案。华为企业网络产品线安全网关领域总经理刘立柱介绍，华为希望通过SDN的技术和方式，让安全解决方案面向云数据中心架构时，是软件定义的。

华为企业网络产品线安全网关领域总经理刘立柱

华为在考虑安全架构的时候，首先是安全资源池化，以前安全是一个整体，只能做一种功能，现在在SDN的框架下，安全可以被灵活地调度，可能同时服务于很多业务，可能又会被用于加固不同的安全策略。

其次，不同业务的安全防护策略是可定义的，安全策略随业务实时迁移，动态感知业务变化，自动匹配策略。

华为云数据中心SDN安全解决方案的重要特点还体现在弹性上。“这个SDN的云数据中心安全解决方案会把它感知到的威胁通过我们的连接送到智能分析系统，它是一个运用大数据系统构筑的一个自动分析系统，让它变成一个安全反馈的大脑，通过这个大脑找出所感知的问题，判断出机体是不是得病的，是什么病，是感冒还是重度肺炎。再把这个结果告诉给SDN软件定义的控制器，控制器会通知下面它控制的策略及安全资源，实时做出动态响应。”刘立柱说。

因为不同的业务要求的安全等级不一样，要求的安全特点也不一样，比如A业务，业务行为比较简单，可能只需要很简单的防护控制就可以了。B业务可能需要有更多的检测服务，IPS、DDoS防护等，这些安全功能和策略可以按照业务的类别自行订购和发放，同时发放的方式，业务链条的逻辑可以灵活编排。

这是华为云数据中心SDN安全解决方案三方面弹性——可控、可管理、可软件定义，此外，华为云数据中心SDN安全解决方案又是面向智能化的，面向可被分析的大数据安全。

从智能的角度来讲，有3个特征:第一，它一定是全网络安全态势可感知的，它要跟下面所有的安全产品、安全设备，安全的资源池可以联动，可以探测感知所有的数据；第二，整个的是可控可管理的，会有一个我们不断的通过继续学习，通过认知学习完善不断的检测算法，分析算法，不断地可以叠加上去；最后，它会跟数据中心内的安全要素产生联动，实现联动化的防御。

三重防护的特点，意味着在整个数据中心内、在数据中心的网络边界、在数据中心的租户与租户之间、甚至租户内三层的防御，会运用大量的虚拟化软件安全的技术。华为要实现智能全站式的数据中心安全，于是提出四层安全工事构建SDN构架可信云平台——虚拟逃逸的控制、相应的底层安全芯片做TPM的可信计算、主机系统的监控、启发式捕获，还有应用级的安全。还有就是数据的安全，做数据的加密等等这样一些四层的安全等级。

华为云数据中心SDN安全解决方案有何不同？

当然，SDN本身是一种新型的网络创新的架构，华为所做的又有什么不同？

“华为做的SDN数据中心安全解决方案，最大的不同就是SDN的控制器，实现的是一个全资源的管理。可以对整体网络，无论是DC、还是园区、还是边缘以及安全，做全站的、全系列的资源管理。这样真正实现安全的无处不在，就有非常多的全网的协同性。”刘立柱说，能具备这样能力的厂商其实不多，因为产品线很长，华为在业界可能屈指可数。

华为还会在安全方面独立发展基于大数据的智能化检测和分析技术等相应的系统产品，形成独特的控制点和价值点，反过来跟整个SDN实现全网的协同和联动，让真正的软件定义是智能化的软件定义，从而让软件定义具备真正可落地性，让整个数据中心的架构变得非常弹性，同时在安全方面具备非常强的自免疫能力。

华为云数据中心SDN安全方案是基于华为敏捷数据中心网络解决方案实现的端到端的安全解决方案，该方案可消除企业租户把业务托管到云端后的安全顾虑，以敏捷控制器为核心，将传统安全硬件转换为虚拟化软件，为租户提供丰富的在线订购服务，通过自适应的部署提升云业务的防护效率，具体体现在：

1、租户通过敏捷控制器（Agile Controller）灵活编排和自动化开通安全服务，可获得12种虚拟化安全能力，安全资源可大可小，云数据中心实现业界最大2.5Tbps软件安全集群能力。同时，整个开通过程免人工干预，减少了90%手工配置工作量，实现业务分钟级上线。避免了虚拟化环境下各种业务快速发展时，租户调度使用的资源缺乏及时保护的问题。

2、租户通过敏捷控制器（Agile Controller）的智能感知，实现安全策略随业务实时迁移，对虚拟机提供2-7层深度的安全防护，支持5种虚拟化平台，兼容2种API北向接口，可对接公有云已有的OpenStack云平台，实现可视化统一运维，提升业务管理效率。

3、租户通过敏捷控制器（Agile Controller）统一调度，实现边界-租户-虚拟机三重防护，对业务逐级过滤。租户通过大数据智能分析平台CIS系统，对虚拟化环境中的日志、文件、流量的采集和分析，实现异常行为识别准确度大于99%，解决了威胁手段升级下传统检测效率低下的问题。