軟件定義安全(軟件 Defined Security,SDS)是一種基于軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)思想發(fā)展而來的網(wǎng)絡(luò)安全防護方法。其核心理念在于將物理及虛擬的網(wǎng)絡(luò)安全設(shè)備及其接入模式、部署方式、實現(xiàn)功能解耦,底層抽象為安全資源池內(nèi)的資源,而頂層則通過軟件編程方式進行智能、自動化的業(yè)務(wù)編排和管理,以實現(xiàn)相應(yīng)安全功能。
產(chǎn)生背景
傳統(tǒng)的網(wǎng)絡(luò)安全防護方法通常是根據(jù)網(wǎng)絡(luò)拓?fù)淝闆r,手工在安全域邊界串聯(lián)或旁路部署安全設(shè)備,對進出安全域的流量進行監(jiān)控。然而,當(dāng)這種方法應(yīng)用于復(fù)雜的網(wǎng)絡(luò)環(huán)境時,如物理與虛擬網(wǎng)絡(luò)共存的數(shù)據(jù)中心,會出現(xiàn)多種不適應(yīng)性問題,包括安全設(shè)備部署繁瑣、無法精細(xì)處理流量、安全防護范圍僵化以及安全設(shè)備易成單點故障。因此,借鑒SDN的理念,SDS作為一種更靈活的網(wǎng)絡(luò)安全防護方法應(yīng)運而生,它在應(yīng)對復(fù)雜網(wǎng)絡(luò)的安全防護上表現(xiàn)出了更強的適應(yīng)性。
工作模型
SDS的工作機制可分為軟件定義流量、軟件定義資源、軟件定義威脅模型三個方面,它們相互關(guān)聯(lián),形成了一個動態(tài)、閉環(huán)的工作模型。- 軟件定義流量:通過軟件編程實現(xiàn)網(wǎng)絡(luò)流量的精細(xì)化定義及轉(zhuǎn)發(fā)控制管理,將目標(biāo)網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至安全設(shè)備,實現(xiàn)安全設(shè)備的邏輯部署和使用。- 軟件定義資源:管理中心對安全資源進行統(tǒng)一注冊、池化管理、彈性分配;在虛擬計算環(huán)境中,還支持虛擬安全設(shè)備模板的分發(fā)和設(shè)備的創(chuàng)建。- 軟件定義威脅模型:自動采集、分析和挖掘網(wǎng)絡(luò)流量、網(wǎng)絡(luò)行為、安全事件等信息,實現(xiàn)實時分析和建模未知威脅,建立動態(tài)、閉環(huán)的安全防護。
層次框架
SDS的具體實現(xiàn)框架包含四個層次:安全資源層、轉(zhuǎn)發(fā)層、控制層、管理編排層。- 安全資源層:由不同形態(tài)的網(wǎng)絡(luò)安全設(shè)備構(gòu)成,兼容多廠商產(chǎn)品,接受統(tǒng)一部署、管理和調(diào)度,實現(xiàn)安全功能。- 轉(zhuǎn)發(fā)層:即SDN網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施層,負(fù)責(zé)根據(jù)控制器指令進行數(shù)據(jù)包轉(zhuǎn)發(fā)。- 控制層:集中管理轉(zhuǎn)發(fā)層和安全資源,根據(jù)業(yè)務(wù)安全策略下發(fā)調(diào)度命令。- 管理編排層:將安全功能需求轉(zhuǎn)化為具體的資源調(diào)度策略,通過控制層下發(fā),實現(xiàn)安全防護的智能化、自動化和服務(wù)化。
特點分析
SDS通過軟件編程方式調(diào)配安全設(shè)備資源,實現(xiàn)了靈活的網(wǎng)絡(luò)安全防護框架。相較于傳統(tǒng)方法,SDS具有以下特點:- 安全功能部署靈活簡單- 細(xì)粒度區(qū)分流量- 安全防護范圍動態(tài)調(diào)整- 維護網(wǎng)絡(luò)高可靠性- 安全功能易于創(chuàng)新
技術(shù)支撐
SDS的技術(shù)實現(xiàn)依賴于SDN/Openflow技術(shù)和虛擬計算平臺接口編排技術(shù)。前者適用于開源虛擬計算平臺上的虛擬網(wǎng)絡(luò)以及特定物理網(wǎng)絡(luò)的安全防護,后者則適用于閉源虛擬計算平臺上的虛擬網(wǎng)絡(luò)防護。
發(fā)展現(xiàn)狀
隨著虛擬化、SDN網(wǎng)絡(luò)在數(shù)據(jù)中心的快速發(fā)展和完善,傳統(tǒng)網(wǎng)絡(luò)安全防護方法已顯現(xiàn)出不適應(yīng)性。為了滿足新的網(wǎng)絡(luò)安全需求,業(yè)界和學(xué)界正在積極開展SDS的研究和實踐。
參考資料 >
軟件定義安全策略.renrendoc..2024-11-03
《軟件定義安全》之四:什么是軟件定義安全.csdn.2024-11-03
軟件定義安全.ijsun..2024-11-03