華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線安全產(chǎn)品管理部 張強(qiáng)

　　企業(yè)信息化迅猛發(fā)展，傳統(tǒng)網(wǎng)絡(luò)的短板越來越不可接受，尤其是網(wǎng)絡(luò)安全問題。傳統(tǒng)網(wǎng)絡(luò)安全遵循“安全性與可用性的平衡”，CIO/CTO就是走鋼絲的平衡大師，要讓網(wǎng)絡(luò)與IT在為企業(yè)業(yè)務(wù)提供最大程度支撐的同時，確保網(wǎng)絡(luò)與信息安全事件不傷及企業(yè)根本。但當(dāng)網(wǎng)絡(luò)安全遭遇移動性、云計算、社交網(wǎng)絡(luò)和APT這些新挑戰(zhàn)，就如同把鋼索架設(shè)到天塹之上、而且平衡大師還背了一個重要人物，對面就是彼岸、是通途，走不走？誰敢走？怎么走？

　　似乎有點危言聳聽，但根據(jù)專業(yè)機(jī)構(gòu)對全球500強(qiáng)企業(yè)CIO/CTO的訪談顯示，BYOD、社交網(wǎng)絡(luò)、公有云大規(guī)模用于企業(yè)核心業(yè)務(wù)的最大障礙正是安全性顧慮。

　　SDN（軟件定義網(wǎng)絡(luò)）架構(gòu)的提出，為這些新興業(yè)務(wù)所必需的彈性、高可用和低成本網(wǎng)絡(luò)平臺帶來了全新的思路，但截至目前，業(yè)界廠商所發(fā)布的SDN網(wǎng)絡(luò)方案大多缺乏對安全性的創(chuàng)新性思考，仍然試圖以傳統(tǒng)思路解決SDN時代的網(wǎng)絡(luò)安全威脅。這就出現(xiàn)了本文一開始提到的場景和問題：在APT、新興DDoS、未知惡意軟件、零日漏洞的虎視眈眈之下，沒有將安全融入其中的解決之道永遠(yuǎn)只能是風(fēng)雨中的鋼絲繩：可以把鋼絲設(shè)計到最結(jié)實，怎么都不會斷；可以給平衡大師穿上特制的裝備，粘在鋼絲上怎么都掉不下去、多大的風(fēng)都迷不了眼、多低的溫度都寒不了身……就算這樣，誰敢走？所以現(xiàn)實情況就是，企業(yè)只能慢一點、貴一些——核心業(yè)務(wù)不移動、關(guān)鍵業(yè)務(wù)不社交、多花點錢自建私有云。

　　要在這場ICT變革的風(fēng)口浪尖上持續(xù)創(chuàng)新、贏得客戶信賴，需要從最初設(shè)計、構(gòu)建網(wǎng)絡(luò)時開始考慮安全問題。眾所周知，基于TCP/IP架構(gòu)的傳統(tǒng)網(wǎng)絡(luò)，在安全方面本質(zhì)上是封閉、隔離、不可信的。隨著信息化的不斷深入，雖然安全技術(shù)日新月異，企業(yè)為安全所投入的預(yù)算也越來越高，安全問題造成的危害卻越來越大、越來越嚴(yán)重。下一代安全必須與網(wǎng)絡(luò)是一個整體，這樣才能解開網(wǎng)絡(luò)安全問題的癥結(jié)。

　　華為基于SDN架構(gòu)的敏捷網(wǎng)絡(luò)，在設(shè)計之初就把網(wǎng)絡(luò)與安全作為一個整體進(jìn)行構(gòu)架，徹底顛覆傳統(tǒng)TCP/IP網(wǎng)絡(luò)安全“缺省阻斷”、“盡力而為”的原則，從終端到網(wǎng)絡(luò)，從網(wǎng)絡(luò)到DC，全網(wǎng)自動感知環(huán)境脆弱性，基于業(yè)務(wù)實施安全策略，智能整合安全信譽(yù)、大數(shù)據(jù)和沙箱等技術(shù)來檢測和防御未知威脅，為企業(yè)提供真正可控、可用、可信的網(wǎng)絡(luò)。

　　可控

　　安全設(shè)備能夠從“用戶、應(yīng)用、內(nèi)容、物理位置、時間、威脅”等多個維度感知企業(yè)ICT環(huán)境，并能夠和其它網(wǎng)絡(luò)設(shè)備一樣被共同的controller管理和調(diào)度，這意味著企業(yè)可以定義和感知網(wǎng)絡(luò)中幾乎所有對象，包括人、部門、業(yè)務(wù)、信息等等，也可以基于各種方法去管控和保護(hù)，比如時間、地點、重要性、危害性等等。憑借對環(huán)境的精細(xì)化動態(tài)感知能力，華為敏捷網(wǎng)絡(luò)甚至能夠從最終用戶網(wǎng)絡(luò)體驗的角度，對企業(yè)關(guān)鍵業(yè)務(wù)和關(guān)鍵員工的業(yè)務(wù)質(zhì)量進(jìn)行監(jiān)控，提升網(wǎng)絡(luò)對業(yè)務(wù)的支撐水平。

　　華為目前提供超過6000種APP識別能力，居業(yè)界最高水平，能夠感知和導(dǎo)入企業(yè)組織結(jié)構(gòu)、人員信息，檢測上百種文件類型和文件內(nèi)容，并通過終端Agent、AP等組件快速定位終端所在物理位置（公司內(nèi)部或外部、總部或分支、國內(nèi)或海外等），具備真正全方位、無死角的環(huán)境感知能力�？煽氐牟攀前踩�的，可感知才能可控，只有全網(wǎng)協(xié)同才能真正做到無漏洞的環(huán)境感知。

　　可用

　　在敏捷網(wǎng)絡(luò)中，安全不再是一個個孤立的網(wǎng)絡(luò)節(jié)點，而是通過多層次的虛擬化技術(shù)構(gòu)成一個安全資源池，再通過統(tǒng)一的controller在全網(wǎng)調(diào)度，形成一系列有關(guān)聯(lián)的虛擬安全網(wǎng)關(guān)。企業(yè)原有的呈地理分布的多套物理安全網(wǎng)關(guān)，可通過橫向和縱向虛擬化技術(shù)形成一臺超級虛擬安全網(wǎng)關(guān)，然后再根據(jù)企業(yè)自身的業(yè)務(wù)和安全訴求進(jìn)行“一虛多”重新劃分，既可以按照組織結(jié)構(gòu)進(jìn)行部署，也可以按照區(qū)域進(jìn)行部署，甚至在廣域鏈路質(zhì)量比較好的地區(qū)之間實現(xiàn)資源整合、調(diào)度性能與功能。“多虛一”和“一虛多”技術(shù)形成的安全資源池可以實現(xiàn)全球安全策略與會話的自動同步，比如在外出差的員工，其權(quán)限控制與資源控制可以根據(jù)物理位置的感知自動遷移到最近的安全網(wǎng)關(guān)上，真正做到隨時隨地、一致體驗。除此之外，基于華為多層次“多虛一”技術(shù)實現(xiàn)的安全云，同樣具備多層次的彈性擴(kuò)展能力，宏觀上可以向任何一個節(jié)點擴(kuò)容物理安全網(wǎng)關(guān)，來增強(qiáng)全網(wǎng)安全處理能力；微觀上也可以對網(wǎng)絡(luò)中的安全網(wǎng)關(guān)、交換機(jī)和路由器進(jìn)行安全擴(kuò)展，包括業(yè)務(wù)處理板、CPU內(nèi)核、接口和安全特性。

　　真正可用的安全必然包括安全能力、安全部署和安全擴(kuò)展等多個方面的可用性，缺一不可�？捎玫陌踩�是可用網(wǎng)絡(luò)的基本要素，也是核心要素。

　　可信

　　傳統(tǒng)網(wǎng)絡(luò)安全最基本的原則就是“不可信”，比如防火墻，首先定義Trust、Untrust域，所有來自Untrust域的訪問都缺省禁止，管理威脅的時候缺省懷疑所有對象、檢測所有對象，只能通過管理員手工配置才能讓安全網(wǎng)關(guān)只監(jiān)控指定對象、放行指定對象。造成這個現(xiàn)象的根本原因在于傳統(tǒng)安全屬于“事后防御”——根據(jù)已發(fā)生的安全事件定義威脅特征，然后基于特征檢測和阻斷威脅，無法“事先”發(fā)現(xiàn)新威脅。“不可知”導(dǎo)致“不可信”，不可信則帶來效率下降、成本上升，但安全威脅仍然無法徹底杜絕。