软件定义安全2016年版
2017-09-05
2015年小鱼儿30码期期必准发布了《2015小鱼儿30码期期必准软件定义安全SDS白皮书》[1],阐述了软件定义安全的起源与发展。那么2016年业界在软件定义安全领域发生了什么变化,又有什么新的动态呢?本文将以去年的白皮书作为背景,重点阐述了2016年软件定义安全这一理念在行业内的发展情况,以及具体在落地过程中的实践。
软件定义安全本质上是一种理念,即数据与控制分离,安全管理与控制集中化,从这个意义上看其与所在环境关系不大。在《2015 SDS白皮书》中,我们主要关注面向云环境的软件定义安全,是因为软件定义安全的理念可能最早会在云计算系统的安全防护中得到体现,原因有如下四点:
第一, 云计算系统具备开放的应用接口(Application Programming Interface,API),安全控制平台容易与云平台对接,获取或操作云计算系统的资源,这使得安全控制平台做较少的定制,就可以演化为一个面向云环境的安全运营中心(Cloud SOC),支持面向云租户的各种安全应用;
第二, 云平台借助虚拟化技术,具备了敏捷、弹性的资源池能力,可以快速准备好(Provision)虚拟化的安全设备,也可灵活地调度底层的为安全功能服务的计算、存储、网络资源,为安全功能服务;
第三, 软件定义网络(Software Defined-Networking,SDN)近年来变得越来越热,很多云计算系统在规划时就加入了对SDN的支持,有些在实施时已部署了具有SDN能力的软硬件基础设施,具备了快速调度南北向和东西向流量的能力,为安全应用调整安全防护策略提供了更便捷的手段,为云环境中可实现的安全功能提供了更大的想象空间;
第四, 使用云计算的租户很多是中小型企业(Small and Midsize Business,SMB),不具备规范的安全管理流程和专业的安全运营水平,无法制定完整的防护方案或管理复杂专业的安全设备。这些用户在安全方面的投入往往是防护目的驱动,而非合规性,这样会更关注安全防护系统的有效性、便捷性和灵活性。软件定义安全、安全即服务(Security as a Service,Sec-aaS)天然地匹配到了这些用户的需求。
需要明确的是,软件定义安全与云计算安全无论从逻辑上还是架构上都没有必然的联系。软件定义的安全方案同样也可以部署在传统IT环境,如果能做到开放接口,通过软件驱动底层安全设备,通过软件编排上层应用,那么这套安全防护体系也是软件定义的。相反,即使在云环境中部署了大量的安全机制,但如果仅是简单堆砌,那并不是软件定义安全。
本篇白皮书仍会重点讨论软件定义安全体系在云环境中应用,着眼于其落地交付过程,此外也会讨该体系在BYOD、传统IT环境等场景可能的应用。