華為企業(yè)網絡產品線安全產品管理部 張強

　　企業(yè)信息化迅猛發(fā)展，傳統網絡的短板越來越不可接受，尤其是網絡安全問題。傳統網絡安全遵循“安全性與可用性的平衡”，CIO/CTO就是走鋼絲的平衡大師，要讓網絡與IT在為企業(yè)業(yè)務提供最大程度支撐的同時，確保網絡與信息安全事件不傷及企業(yè)根本。但當網絡安全遭遇移動性、云計算、社交網絡和APT這些新挑戰(zhàn)，就如同把鋼索架設到天塹之上、而且平衡大師還背了一個重要人物，對面就是彼岸、是通途，走不走？誰敢走？怎么走？

　　似乎有點危言聳聽，但根據專業(yè)機構對全球500強企業(yè)CIO/CTO的訪談顯示，BYOD、社交網絡、公有云大規(guī)模用于企業(yè)核心業(yè)務的最大障礙正是安全性顧慮。

　　SDN（軟件定義網絡）架構的提出，為這些新興業(yè)務所必需的彈性、高可用和低成本網絡平臺帶來了全新的思路，但截至目前，業(yè)界廠商所發(fā)布的SDN網絡方案大多缺乏對安全性的創(chuàng)新性思考，仍然試圖以傳統思路解決SDN時代的網絡安全威脅。這就出現了本文一開始提到的場景和問題：在APT、新興DDoS、未知惡意軟件、零日漏洞的虎視眈眈之下，沒有將安全融入其中的解決之道永遠只能是風雨中的鋼絲繩：可以把鋼絲設計到最結實，怎么都不會斷；可以給平衡大師穿上特制的裝備，粘在鋼絲上怎么都掉不下去、多大的風都迷不了眼、多低的溫度都寒不了身……就算這樣，誰敢走？所以現實情況就是，企業(yè)只能慢一點、貴一些——核心業(yè)務不移動、關鍵業(yè)務不社交、多花點錢自建私有云。

　　要在這場ICT變革的風口浪尖上持續(xù)創(chuàng)新、贏得客戶信賴，需要從最初設計、構建網絡時開始考慮安全問題。眾所周知，基于TCP/IP架構的傳統網絡，在安全方面本質上是封閉、隔離、不可信的。隨著信息化的不斷深入，雖然安全技術日新月異，企業(yè)為安全所投入的預算也越來越高，安全問題造成的危害卻越來越大、越來越嚴重。下一代安全必須與網絡是一個整體，這樣才能解開網絡安全問題的癥結。

　　華為基于SDN架構的敏捷網絡，在設計之初就把網絡與安全作為一個整體進行構架，徹底顛覆傳統TCP/IP網絡安全“缺省阻斷”、“盡力而為”的原則，從終端到網絡，從網絡到DC，全網自動感知環(huán)境脆弱性，基于業(yè)務實施安全策略，智能整合安全信譽、大數據和沙箱等技術來檢測和防御未知威脅，為企業(yè)提供真正可控、可用、可信的網絡。

　　可控

　　安全設備能夠從“用戶、應用、內容、物理位置、時間、威脅”等多個維度感知企業(yè)ICT環(huán)境，并能夠和其它網絡設備一樣被共同的controller管理和調度，這意味著企業(yè)可以定義和感知網絡中幾乎所有對象，包括人、部門、業(yè)務、信息等等，也可以基于各種方法去管控和保護，比如時間、地點、重要性、危害性等等。憑借對環(huán)境的精細化動態(tài)感知能力，華為敏捷網絡甚至能夠從最終用戶網絡體驗的角度，對企業(yè)關鍵業(yè)務和關鍵員工的業(yè)務質量進行監(jiān)控，提升網絡對業(yè)務的支撐水平。

　　華為目前提供超過6000種APP識別能力，居業(yè)界最高水平，能夠感知和導入企業(yè)組織結構、人員信息，檢測上百種文件類型和文件內容，并通過終端Agent、AP等組件快速定位終端所在物理位置（公司內部或外部、總部或分支、國內或海外等），具備真正全方位、無死角的環(huán)境感知能力�？煽氐牟攀前踩�的，可感知才能可控，只有全網協同才能真正做到無漏洞的環(huán)境感知。

　　可用

　　在敏捷網絡中，安全不再是一個個孤立的網絡節(jié)點，而是通過多層次的虛擬化技術構成一個安全資源池，再通過統一的controller在全網調度，形成一系列有關聯的虛擬安全網關。企業(yè)原有的呈地理分布的多套物理安全網關，可通過橫向和縱向虛擬化技術形成一臺超級虛擬安全網關，然后再根據企業(yè)自身的業(yè)務和安全訴求進行“一虛多”重新劃分，既可以按照組織結構進行部署，也可以按照區(qū)域進行部署，甚至在廣域鏈路質量比較好的地區(qū)之間實現資源整合、調度性能與功能。“多虛一”和“一虛多”技術形成的安全資源池可以實現全球安全策略與會話的自動同步，比如在外出差的員工，其權限控制與資源控制可以根據物理位置的感知自動遷移到最近的安全網關上，真正做到隨時隨地、一致體驗。除此之外，基于華為多層次“多虛一”技術實現的安全云，同樣具備多層次的彈性擴展能力，宏觀上可以向任何一個節(jié)點擴容物理安全網關，來增強全網安全處理能力；微觀上也可以對網絡中的安全網關、交換機和路由器進行安全擴展，包括業(yè)務處理板、CPU內核、接口和安全特性。

　　真正可用的安全必然包括安全能力、安全部署和安全擴展等多個方面的可用性，缺一不可。可用的安全是可用網絡的基本要素，也是核心要素。

　　可信

　　傳統網絡安全最基本的原則就是“不可信”，比如防火墻，首先定義Trust、Untrust域，所有來自Untrust域的訪問都缺省禁止，管理威脅的時候缺省懷疑所有對象、檢測所有對象，只能通過管理員手工配置才能讓安全網關只監(jiān)控指定對象、放行指定對象。造成這個現象的根本原因在于傳統安全屬于“事后防御”——根據已發(fā)生的安全事件定義威脅特征，然后基于特征檢測和阻斷威脅，無法“事先”發(fā)現新威脅。“不可知”導致“不可信”，不可信則帶來效率下降、成本上升，但安全威脅仍然無法徹底杜絕。