從RSA 2017看華為的安全生態

在RSA 2017大會上，華為不僅展示了自己在安全產品和技術方面的創新能力，更重要的是讓全球的合作伙伴和客戶認識到，華為打造“開放、協作、共贏”的云安全生態系統，建立全聯接立體防護體系的信心和能力。

美國時間2月13至17日，全球IT人的目光都投向了美國舊金山，一年一度的RSA全球信息安全大會在這里召開，它被喻為全球信息安全行業發展的風向標。今年大會的主題是“Power of opportUNITY”，直譯為“機會的力量”，在IT基礎設施全面云化，安全風險無處不在的今天，找到破解云安全這道難題的方法，建立全面、立體的安全防護體系對所有安全廠商來說既是挑戰，更是機會。

今年大會的主題還一語雙關，UNITY的中文意思是團結一致、統一、完整。這是不是意味著，統一完整的安全解決方案，以及健全開放的安全生態體系是解決云時代安全問題的關鍵和機會？

已經是第六次參加RSA大會的華為，不僅在會上展示具有創新性和突破性的安全新產品和解決方案，而且描繪了一幅波瀾壯闊的安全大生態圖景。華為與Avira簽署合作備忘錄則是這幅圖景中濃墨重彩的一筆。

安全向云端延伸

Avira公司是全球領先的內容安全整體解決方案廠商。很多大客戶都通過Avira基于云的針對惡意軟件等的防護技術解決了其防火墻內容安全防護方面面臨的挑戰。華為與Avira通力合作，可為客戶提供增強型防病毒能力，并能保證系統高性能運轉。

目前，用戶對于防火墻內容安全防護能力的需求越來越迫切。華為在中國和全球防火墻市場的占有率不斷提升。華為與Avira公司簽署合作備忘錄，雙方將幫助客戶更高效地實現內容安全防護，提高客戶滿意度，同時提升華為防火墻產品和方案的整體競爭力。

安全業界已經達成共識，網絡攻擊威脅無法由單一廠商完全解決，大家必須攜手共建安全生態圈。華為與Avira的合作對于提升企業用戶的網絡安全整體水平，甚至對于整個安全業界未來的發展都有著非常重大的意義。

從表面看，華為與Avira的合作只是針對下一代防火墻產品的一次合作創新，但其背后反映出，為應對云安全新挑戰，廠商之間合縱連橫、共建安全新體系的大趨勢。

時至今日，全聯接已經成為一種新常態。統計數據顯示，到2020年，全球80%的企業計劃采用云計算服務。各種網絡平臺、IT系統甚至企業應用，都可以從云上直接部署或者訂購。IT架構、企業應用的全面云化，意味著企業的業務繞過傳統網絡設備的監管直接連接到云上，系統更多地直接暴露出來，傳統的安全結構將土崩瓦解。因為云具有彈性架構，傳統的以硬件為主的安全防護手段已經無法滿足業務敏捷化的需求。安全必須從“靜態物理環境”防護變為“動態虛擬化環境”防護，傳統的網絡安全防護體系將被打破并重建。這難道不是一個新的機會嗎？

華為把握住了這次機會，致力于打造安全的全聯接立體防護體系，主要包含四個方面，即彈性云基礎設施安全、全球DDoS情報中心、精細化應用級網絡安全、深度IoT終端安全。

具體來看，華為彈性云基礎設施安全可以實現三重防御，智能聯動本地防火墻、AntiDDoS與云沙箱服務可以實現安全風險的精確抵御，保證基礎設施安全。通過和SDN控制器聯動，租戶可以彈性自動部署虛擬安全服務，讓安全策略隨需而動，實現業務分鐘級上線。

華為的全球DDoS情報中心能夠呈現全球安全態勢，讓客戶清晰掌握攻擊事件TOPN、攻擊路徑，以及真實攻擊源分布。近源DDoS清洗能力高達2T+，結合真實源IP信譽庫，可高效防御DDoS攻擊。

華為精細化的應用級網絡安全能夠對云化業務進行更加細粒度、多維度的管控。用戶可以在下一代防火墻上輕松訂閱云沙箱服務，并輕松開啟APT防御功能抵御未知威脅攻擊，勒索軟件與惡意行為將無處遁形。

華為深度IoT終端安全，可以幫助用戶防仿冒、防竊聽、防篡改，提供從芯片到云端的E2E安全解決方案。華為通過LiteOS和兼容多平臺的安全插件，可為物聯終端提供從芯片、系統到應用的多層次保護。

華為無處不在的安全理念的核心是，網絡安全需要延伸到終端安全和云安全領域，安全策略則要從靜態物理環境防護變為動態虛擬化環境的防護，安全從購買設備與維保走向云安全服務，安全防護手段從單一的傳統防御走向沙箱、大數據安全分析。總之，企業用戶應該兼顧網絡安全與云安全，構建云管端的全面安全能力。

安全是一個生態

提升覆蓋云管端的全面安全防護能力，不僅僅要提供豐富的安全產品和解決方案，更重要的是建立一個完善、開放的安全新生態。在云時代，沒有任何一個廠商能夠單獨提供一個完整的產品堆棧，必須借助生態體系中上下游合作伙伴的力量，這也是“全聯接”時代提出的必然要求。

在安全方面，華為同樣致力于構建“開放、協作、共贏”的生態系統，與合作伙伴共同帶給客戶最佳的安全方案和服務。上文提到的華為與Avira的合作只是冰山一角，華為與安全領域廠商的合作已經深入到各個層面。

在威脅情報領域，華為廣泛地與威脅情報合作伙伴進行合作，通過交換和訂閱等方式獲取最新的威脅情報、安全知識庫、安全信譽庫，確保華為安全產品和整體解決方案在威脅出現時，第一時間具備威脅檢測能力。

在大數據安全領域，華為的大數據安全分析平臺CIS通過與Intel Security等終端廠商，以及半導體廠商的開放合作，實時獲取各種安全事件和網絡行為數據，通過大數據關聯分析，實現對APT、零日攻擊等高級威脅的精準發現，并通過與合作伙伴的聯動及時阻斷和清除其惡意行為和文件。

在安全管理和運維方面，華為的下一代防火墻NGFW系列產品通過與FireMon、AlgoSec等國際頂級安全策略管理廠商合作，開發出防火墻策略管理聯合解決方案，為用戶提供對防火墻策略的全面分析和管理手段，幫助用戶優化安全策略，提升運維效率，降低運維成本。華為廣泛地與半導體和SOC類廠商合作，提供可管理、可運營、可視化的安全管控解決方案，滿足客戶的安全運維管理需要。

在應用安全方面，華為通過與安恒和帕拉迪等廠商的合作，在WAF和UMA等領域為用戶提供面向應用層的安全解決方案和產品。

在移動辦公安全領域，通過構建華為BYOD聯盟，華為和移動辦公產業終端廠商廣泛合作，為企業移動化打造一站式解決方案供應市場，已累計發展伙伴220家，其聯合解決方案在金融、政府等行業落地并實現了規模復制。華為每年定期舉辦華為BYOD聯盟大會，以及開發者培訓和開發大賽，并作為主席成員推動中國企業級HTML5聯盟發展和相關標準的制定。

構建像亞馬遜河自然生態一樣生機勃勃、開放的云生態，這是華為ICT業務蓬勃發展的基礎，也是始終不變的戰略。在安全領域，華為一直堅定地執行這一戰略，任何能夠推動安全產業發展、技術進步、能夠給客戶帶來價值的合作都是華為推崇和要全力實現的目標。

打造云安全立體防護體系

近年來，企業持續將IT基礎設施云化，并將業務向云遷移，2017年這一趨勢將進一步加快。企業的網絡邊界擴展到云端，再加上云的開放、復雜和分散的特性，使得安全的防護難度急劇上升。不可否認，云安全風險是企業業務遷移到云上的最大顧慮。

當前，用戶面臨的安全挑戰主要表現在：虛擬化環境打破業務邊界，傳統安全防護逐漸失效；企業失去（或部分失去）了對業務應用的控制；針對云上多租戶的個性化、細粒度定制防護的手段缺失。企業也意識到了這一點，正逐漸加大在云安全領域的投資，越來越多行之有效的安全產品和解決方案陸續上市。

在本次RSA大會上，華為的另一個驚艷之舉是發布了業界首款T級云綜合安全網關，它可以幫助用戶構建安全的高性能云數據中心。USG9000V旨在為客戶提供高性能、易管理的全面軟件化的虛擬網絡安全防護，滿足客戶對安全業務簡單部署、快速上線、靈活擴容、高效運維的訴求，全面提升企業云化安全的能力。

USG9000V通過資源的集中調度實現了彈性擴展，達到資源的最優利用率，同時可自動化運維，能進行故障自檢測和自恢復，為虛擬化網絡提供可靠的安全防護。

作為云化部署的軟件產品，USG9000V支持業界主流云平臺，可以部署在云數據中心邊界，為客戶虛擬網絡提供豐富的安全業務防護。它采用控制和轉發分離的云化架構，基于網元自身的分布式負載均衡能力，實現單網元靈活擴縮，一個集群最多可管理128個VM（虛擬機），轉發性能達2.5T，同時支持業務處理單元間的狀態備份，滿足企業對高性能和高可靠的需求。在業務變化時，USG9000V通過與MANO聯動，可以觸發設備自動調整資源配置，實現業務分鐘級擴縮容和自助配置，減少90%以上的手工配置工作量。總之，USG9000V既能滿足云化業務的彈性需求，又能有效降低運營成本。

云的發展給企業帶來了低成本、高效率等收益，但同時也帶來了新的挑戰，比如業務的云化對自動化部署、性能的可伸縮性、運維管理智能化、系統的安全性提出了更高的要求。與傳統IT架構不同，分散的邊界、主機防護理念在云中不完全適用，彈性網絡中大量的東西向、南北向流量，以及數據和應用的大規模集中，使得云成為深度復雜的系統。如果不能對整個云的安全態勢進行感知，那么良好的防護就無從談起。

大數據、深度學習、人工智能等新技術不斷與安全融合，可以進一步豐富云安全的手段。除了技術上推陳出新以外，更重要的是建立全面、主動、立體的安全防護體系，這需要所有安全廠商與用戶的共同努力。

從華為的角度看，在安全云服務方面，華為與中國電信、青松創建了云清聯盟，搭建DDoS云清洗產業合作平臺，制訂安全云服務技術標準，為企業與企業、企業與行業之間的協同合作搭建橋梁，構建安全云服務產業生態鏈。華為不僅打造了端到端的安全解決方案，而且善于借助生態和合作伙伴之力，構建產業鏈上下游伙伴合作平臺，快速、安全地交付解決方案。

在本次RSA大會上，華為不僅展示了自己在安全產品和技術方面的創新能力，更重要的是讓全球的合作伙伴和客戶認識到，華為打造“開放、協作、共贏”的云安全生態系統，建立全聯接立體防護體系的信心和能力。