倡導良性競合，共建安全的SDN和NFV

華為企業(yè)網絡產品線安全網關領域總經理 劉立柱

倡導良性競合，共建安全的SDN和NFV

華為企業(yè)網絡產品線安全網關領域總經理 劉立柱

SDN（軟件定義網絡）和NFV（網絡功能虛擬化）帶來的既是一場變革，也是不可避免的趨勢。SDN和NFV可以隨時根據業(yè)務需求變化，將網絡結構和功能進行快速重新配置，其開放性、敏捷性、可編排和虛擬化等眾多特性，使之成為未來云數據中心的首選解決方案。

但是，SDN和NFV給云數據中心帶來巨大機遇的同時，其復雜的編排和調度、VM（虛擬機）之間不經過硬件網絡設備轉發(fā)等種種特性，使得安全面臨著巨大的困難，傳統(tǒng)架構已經無法滿足云數據中心的安全需求。在這一背景下，安全產業(yè)的傳統(tǒng)和新興廠商以及Hypervisor等提出了不同層次的安全解決方案。以虛擬化安全為例，安全解決方案包含6個層次：第一層是物理網絡防火墻，也就是傳統(tǒng)防火墻；第二層是容器層，目前大多還停留在IP包過濾階段；第三層是內核防火墻，通常是一個對vNIC進出流量進行簡單狀態(tài)檢測的防火墻；第四層是普通虛擬防火墻，用于VLAN之間的安全防護；第五層是VM之間的防火墻，功能與傳統(tǒng)防火墻類似，承擔多種防火墻或IPS功能；第六層是虛擬機的端點安全防火墻，提供各種端點和業(yè)務安全防護。

由此可見，虛擬化安全與傳統(tǒng)安全有著巨大差異，傳統(tǒng)安全更注重主機和網絡的安全，也就是第一層和第六層，中間的4層在傳統(tǒng)安全中是看不到的。對于傳統(tǒng)安全廠商而言，其優(yōu)勢在于第一層的物理防火墻，基于此優(yōu)勢，在第四、第五層的VM之間的防火墻上也大有可為，因為基礎的防火墻和IPS能力在這一層同樣適用。

在虛擬化系統(tǒng)中，VM之間的東西向流量沒有經過實體防火墻，第一層的傳統(tǒng)防火墻無法得知此流量是否具有威脅和風險，自然無計可施。雖然傳統(tǒng)安全廠商相繼推出了第四、第五層可用的虛擬防火墻，但虛擬化流量的引流和調度都掌握在第三、第四層的Hypervisor和vSwitch手中，安全廠商的虛擬防火墻無法獨立發(fā)揮作用。

在SDN和NFV演進的趨勢下，安全架構發(fā)生了重大變化，類似于虛擬化安全解決方案這樣的例子還有很多，例如通過云安全資源池來解決不同租戶/不同業(yè)務的安全需求、IPS/負載均衡等業(yè)務的適配，以及SDN控制器與安全管理的協(xié)同等，大多都難以明確定義是安全廠商負責還是Hypervisor負責，各方都在試圖尋找良好的SDN和NFV安全解決方案。

Gartner分析師Eric Ahlm認為：未來一段時間可能都不會有非常清晰的云數據中心SDN和NFV自動化解決方案的演進路線。相應的，適配云數據中心的SDN和NFV安全解決方案也尚無定論，當前各廠商推出的解決方案紛繁復雜，在一定程度上體現了安全產業(yè)鏈競合關系的變化。

虛擬化安全出現了兩個方面的競爭變化。首先，產業(yè)鏈的劃分更加細致，參與者更多。有的廠商依舊專注于硬件防火墻，有的廠商專注于虛擬防火墻，有的廠商則專注于容器層安全；第二，產業(yè)鏈之間相互滲透。傳統(tǒng)安全廠商通過提供虛擬防火墻進入云數據中心市場，Hypervisor也不遑多讓，通過在內核層和vSwitch層直接提供安全解決方案進入到安全市場。

推而廣之，在SDN和NFV發(fā)展的趨勢下，所有與其相關的安全都有上述兩個方面的變化。在產業(yè)鏈更加細分方面，安全廠商在芯片、硬件平臺、硬件防火墻、軟件防火墻、應用安全和數據安全等各方面提供適配SDN和NFV的安全解決方案；在產業(yè)鏈相互滲透方面，芯片廠商、硬件廠商、Hypervisor、軟件廠商和系統(tǒng)集成商紛紛提供安全特性、安全產品和安全解決方案，意圖在SDN和NFV市場分得更多的一杯羹。

同時，SDN和NF V安全也不僅僅是競爭，更多的是合作。安全不是單純靠幾個設備和軟件就能確保萬無一失的，它是一個系統(tǒng)工程。安全廠商有著自己的優(yōu)勢和積累，例如網絡安全廠商對網絡協(xié)議的理解、分析、監(jiān)控和快速處理能力，例如防病毒廠商多年來長期積累的惡意文件識別能力，例如數據防泄漏廠商在進出向數據監(jiān)測中的算法模型，這些都是Hypervisor所不具備的；反過來，Hypervisor能夠對CPU、內存和IO進行隔離，能夠提供云OS的指令優(yōu)先級管理，能夠對VM訪問虛擬化內存進行精細化的控制，這些關鍵能力也是安全廠商短期內無法超越、但卻又對安全有著至關重要的意義。因此合作成為最好的選擇。

SDN和NFV安全產業(yè)良性的競爭與合作，應當充分繼承和發(fā)展SDN和NFV的理念：構建開放、靈活和彈性的網絡。

開放的具體含義是： 安全廠商與Hypervisor、硬件廠商、芯片廠商以及用戶共同探索SDN與NFV安全的多種需求場景，構建完整、可靠的安全解決方案，并促成產業(yè)鏈各方達成廣泛理解與共識；明確相關安全和ICT基礎設施之間軟硬件的接口，推動形成事實標準。

靈活與彈性的具體建議是：產業(yè)鏈共同在SDN與NFV的協(xié)同、適配SDN控制器的調度和管理，以及適配云OS下的敏捷策略編排等方面加大技術投資，共同搭建統(tǒng)一的集成互通測試平臺，匯集產業(yè)各界力量開展互聯(lián)互通測試，提高SDN整體安全解決方案的準備度，支撐業(yè)務快速創(chuàng)新和靈活部署。

在安全產業(yè)界，云安全聯(lián)盟（Cloud Security Alliance）組織是一個成功合作的典范， 其成員包括I T 服務商（Google、Microsoft等）、電信運營商（AT&T、Orange等）、安全廠商（CA、McAfee、Symantec等）和設備商（Cisco、Citrix、Huawei等），廠商之間在競爭的同時保持著良好的合作。云安全聯(lián)盟最重要的工作之一就是集體討論和構建云、SDN和NFV安全相關的標準和規(guī)范等，涉及到架構、管理、合規(guī)、應用和數據等各方面，為SDN和NFV安全未來的可持續(xù)發(fā)展創(chuàng)造條件。

競爭與合作，是商業(yè)社會的常態(tài)。良性的競爭與合作，能夠充分促使安全和ICT產業(yè)鏈取長補短，提升技術水平和效率，最終為用戶提供優(yōu)質的解決方案，共同建設面向未來的安全的SDN和NFV。