SDN架構的基礎是控制平面和數(shù)據(jù)平面的分離,以及通過一個外部軟件控制器對網(wǎng)絡從邏輯上集中控制��,該控制器能夠通過開放的API與底層網(wǎng)絡通信����。業(yè)界普遍認為�����,SDN是網(wǎng)絡和安全行業(yè)的一個重大轉變�,其影響將擴展到數(shù)據(jù)中心以外更廣的范圍�,超出今天的很多預測。
瞻博網(wǎng)絡亞太區(qū)高級技術副總裁Andy Miller在接受ZDNet采訪時表示���,“芯片支撐網(wǎng)絡中的控制點在大規(guī)模的范圍內(nèi)保證服務的質量���,軟件來定義��、控制及管理網(wǎng)絡�,所以這實際上是軟件和硬件的一個完美的結合。在這兩者的中間部分需要一套系統(tǒng)�,通過這些系統(tǒng)來提供基于SDN的服務。”
瞻博網(wǎng)絡亞太區(qū)高級技術副總裁Andy Miller
Andy Miller補充到�����,客戶需要非�����?焖俚男袆樱坏┏霈F(xiàn)問題�,SDN能夠快速的部署安全策略。舉個簡單的例子�,比如說如果我們能夠在虛擬存儲器上安裝一個設備,或者在網(wǎng)絡上安裝一個設備����,這相對來說是非常簡單的。但是如果要真正地配置整體的網(wǎng)絡�,一般是非常的漫長和困難。所以如果能夠利用SDN�,在虛擬網(wǎng)絡上進行工作的話,可以極大地提高效率��。
瞻博網(wǎng)絡在SDN的過程中�����,遵循的主要原則是:“怎么能夠更好地利用現(xiàn)有的網(wǎng)絡架構和網(wǎng)絡設施��,也就說在現(xiàn)有的網(wǎng)絡架構上����,安全使用SDN功能����。換句話講�����,我們要在現(xiàn)有的網(wǎng)絡架構上更好地利用已有的協(xié)議�����,和已有的這些能力����,這個是我們設計SDN重要的考量因素。”Andy Miller告訴記者�。
可以看出,安全是瞻博網(wǎng)絡SDN戰(zhàn)略考量的重要因素之一����。Andy Miller指出�����,首先安全業(yè)務流在不斷發(fā)生變化,過去業(yè)務流從一個數(shù)據(jù)中心到另一個數(shù)據(jù)中心��,向現(xiàn)在的“東西流量”演進�。另外,基于應用的威脅不斷涌現(xiàn)���,目前有73%的攻擊是針對網(wǎng)絡應用��。在SDN包括云計算的這些變化中��,當前的一代的安全措施�,已不足以防御這些攻擊����。
瞻博網(wǎng)絡-下一代數(shù)據(jù)中心安全:Spotlight Secure全球攻擊者情報服務
瞻博網(wǎng)絡發(fā)布了Junos Spotlight Secure全球攻擊者情報服務,它為客戶提供廣泛的網(wǎng)絡和瞻博網(wǎng)絡安全產(chǎn)品中有關威脅���、攻擊和單個設備的準確情報�����。Junos Spotlight Secure是一種基于云的新型威脅情報解決方案����,它能夠基于設備來識別每個攻擊者,并在一個全球數(shù)據(jù)庫中對他們進行跟蹤���。在與Junos WebApp Secure配合使用時����,Junos Spotlight Secure將為攻擊者創(chuàng)建一個永久性指紋�����,其中包含了200多個特征����,能夠以此準確地識別攻擊者,由于不會誤報而不會對合法用戶造成影響�����。用戶在使用JunosWebApp Secure后����,一旦通過指紋技術發(fā)現(xiàn)自己的網(wǎng)絡上出現(xiàn)了一位攻擊者,全球攻擊者情報解決方案就會立即將該攻擊者的相關信息與其它用戶共享�,并在多個網(wǎng)絡上實施一種先進的實時安全保護解決方案�����。
Andy Miller認為,要應對新一代數(shù)據(jù)中心安全威脅��,我們需要以全新的方式來思考網(wǎng)絡防護���。公司應該專注于早期檢測和分析攻擊者及其攻擊行為(而非攻擊點)�����,并確保在安全架構中更好地集成相關情報(這與缺乏信息共享的單點產(chǎn)品明顯不同)��。今天市面上的絕大多數(shù)安全產(chǎn)品都企圖在攻擊發(fā)起的瞬間就要檢測到威脅�����。遺憾的是�����,這只適用于已知的攻擊�,其中只有一次機會來檢測和消除威脅��。為了有效地保護數(shù)據(jù)中心的安全�����,公司必須了解攻擊設備的信息(而不僅僅是IP地址),并將相關的情報快速分發(fā)給所有的數(shù)據(jù)中心接入控制點�����。
另外����,在談到攻擊的時候,我們會想到大量的洪水攻擊或者一些業(yè)務流堵塞了我們的網(wǎng)絡����,這是一種非常快速并且奏效的攻擊�����。但是現(xiàn)在一些新型的攻擊��,它的攻擊時間會更長一些��,慢慢滲透達到攻擊的目的�。
Andy Miller表示,利用Junos Spotlight Secure與Junos WebApp Secure的協(xié)同工作����,瞻博網(wǎng)絡能夠幫助客戶在早期跟蹤和阻止攻擊者的行動,避免他們造成任何破壞�。作為第一步,Junos WebApp Secure使用最新的入侵誘騙技術來準確地早期檢測���、甚至誤導攻擊者���。Junos WebApp Secure綜合使用大量的數(shù)據(jù),通過指紋技術來識別和監(jiān)測黑客�,具有極高的準確性,能夠盡早(甚至在漏洞受到攻擊之前)采取對策來阻止攻擊�����。
同時�����,利用運行在硬件中的保護屏幕和過濾器����,以及用戶和控制平面分離這一特性,瞻博網(wǎng)絡SRX系列業(yè)務網(wǎng)關能夠保護最大規(guī)模的網(wǎng)絡�����,以防御DoS/DDoS攻擊,惡意流量�����,偵察搜尋�,充斥信令網(wǎng)絡、欺詐應用����。Andy Miller表示,總的說來��,我們希望通過自動的方式把SDN與安全連接起來����,通過SDN的控制器和SDN技術,以及一個集中式的全球網(wǎng)絡推送命令來自動實現(xiàn)安全防護�。
Andy Miller最后談到了SDN的安全機會,安全變得越來越分散化����,而且變得越來越復雜。這是一個大數(shù)據(jù)的時代�,SDN可以作為一個控制的機制��,來對這些數(shù)據(jù)進行管理�。SDN讓你有一個集中化的管理和控制���,并且把它的更新推送到不同的分散性的一些點上。我們使用的是大數(shù)據(jù)來進行收集和分析�,一部分實際上不止在數(shù)據(jù)中心中進行管理,而是作為全球的跨云的安全的解決方案���。
如果像Juniper這種方式�,我們會得到很多的連接性��,包括在虛擬環(huán)境���、以及物理環(huán)境的連接性���。其中一個挑戰(zhàn),就是你如果過去不知道網(wǎng)絡中的問題出現(xiàn)在哪兒����,找到這些問題和故障的節(jié)點,SDN的這種集中管理和控制能夠完成這個任務��。
