对于旧IP网络,安全是由部署在边缘的设备来实施。然而在云时代,数据中心和网络相融合而且访问变得日趋移动化,边界的概念消失了。但是,好消息是新一代IP(New IP)强调开放、自动化、软件定义等元素,以增加敏捷性并降低成本,实现的安全部署可以让网络遍布警戒。
安全性借助网络虚拟化得到提高
以虚拟网络功能(VNF)的方式部署服务是一种简单但强大的方法。路由、负载平衡、应用交付和安全、Web和网络防火墙以及VPN等服务可以通过远程管理进行实时地移动,不需要物理上的部署和人力资源,极大节省了运营支出和资本支出。成本节约为更加恰当地分发功能提供了灵活性,却保持了同样的性能。安全可以被分发到需要的地方,或者所有地方。而且当不再需要的时候可以移除服务。这实现了根据地理位置、功能、组、个人或应用的真正自定义安全。
这种嵌入式安全态势使企业能够确保合规:从站点到云、员工到应用资源,以及通过虚拟路由器和虚拟应用交付控制器中嵌入的IPsec加密、远程访问VPNs、有状态的防火墙和Web应用安全对安全进行分层。
SDN控制器上的安全
借助底层的网络矩阵,用户可以创建一个扁平、可感知虚拟机的简化网络拓扑结构,在设计时就在内部提升安全性。使用流量技术和可编程的SDN控制器,这能够实现网络行为的集中视图、能够针对基础架构内的安全威胁立即采取行动,并实时地将政策推入网络。可以利用先进的信息功能,网络中的每一元素都能够自动生成自己的状态和条件,并将之推送入集中的资源库进行实时的分析,由机器学习实现的安全能力。
加密移动中的数据
由于网络经常遭受攻击,来自数据中心、LAN和WAN的网络设备的本地数据加密能够保护穿越链路的数据。这可以在不影响性能、不产生将流量送回专用设备的成本或复杂度的情况下实现。当网络链路不在企业的物理控制中时尤为重要——例如数据中心之间、站点之间以及站点与云之间。
针对客户到应用安全的应用和用户感知
随着从企业到用户的互动日益需要更安全地访问Web应用,应用流量也在日益增多,访问关键的业务应用需要多层的保护。需要能够使用集成的Web应用防火墙处理日益增长的SSL流量的应用交付控制器,也需要灵活地针对每个应用的独特安全要求而定位个人用户或客户群。
安全是开放的,不是封闭的
对于旧IP网络,防火墙、IPS/IDS、DPI、分析工具、静态加密和动态加密等,每种点安全应用都解决具体的安全挑战。它们之间不存在信息交换和协作,也没有利用来自所有源的重要知识的安全服务抽象层。
但新一代IP,包含了混合的硬件和软件的实施,提供了一种通过SDN控制器与任何设备或传感器(物理的或虚拟的)进行互动的标准化方法。来自传感器的所有数据能够被收集起来并提交给分析引擎,以进行可视化、鉴别并采取行动。任何设备的行为都可以被改变,因为你可以沟通、编程以及写入设备。这产生了从网络中提取数据并将其作为一个系统进行理解的能力,开放式安全架构,多厂商生态系统内的安全数据交换,以及允许同各种安全元素进行互动的API,以获得更加广泛的安全数据收集、关联和执行。
安全是基于行为,而不仅仅是身份
新一代IP网络在实施安全政策时能够考虑行为,并不仅仅是身份。借助基于行为的安全,该系统可以更深入地洞察典型和非典型的动作,以及攻击过程中的预备步骤,使其不仅能够缓解已经发生的攻击,而且能够预防潜在的攻击。考虑到大部分数据泄漏都存在内因,因而不能依赖身份管理来检测攻击。用户也需要一种检测内部人攻击的方法,保护该系统免受已经获得合法访问权限人员的攻击。风险因素的行为分析,反常行动的指标,以及不符合上下文的行为的检测都至关重要。
安全是自学,不是静止不变
新一代IP架构中的安全系统在持续地学习并自我优化,与传统系统不同,后者依靠与定期更新的数据库进行模式匹配。在这种情况下,如果一个漏洞利用不符合任何模式,该安全系统将不认为它是一个威胁。新一代IP架构更加敏捷,而且能够自我改进。将大数据和机器学习概念应用到网络行为,实现了从被动到主动的安全保护、从描述性到预测性分析,并最终从静态到自我学习或自适应网络的改变。
——博科中国系统工程师总监 张宇峰