SDN架構(gòu)的基礎(chǔ)是控制平面和數(shù)據(jù)平面的分離����,以及通過一個(gè)外部軟件控制器對網(wǎng)絡(luò)從邏輯上集中控制,該控制器能夠通過開放的API與底層網(wǎng)絡(luò)通信�����。業(yè)界普遍認(rèn)為�,SDN是網(wǎng)絡(luò)和安全行業(yè)的一個(gè)重大轉(zhuǎn)變,其影響將擴(kuò)展到數(shù)據(jù)中心以外更廣的范圍�����,超出今天的很多預(yù)測。
瞻博網(wǎng)絡(luò)亞太區(qū)高級技術(shù)副總裁Andy Miller在接受ZDNet采訪時(shí)表示��,“芯片支撐網(wǎng)絡(luò)中的控制點(diǎn)在大規(guī)模的范圍內(nèi)保證服務(wù)的質(zhì)量�,軟件來定義、控制及管理網(wǎng)絡(luò)��,所以這實(shí)際上是軟件和硬件的一個(gè)完美的結(jié)合���。在這兩者的中間部分需要一套系統(tǒng)���,通過這些系統(tǒng)來提供基于SDN的服務(wù)。”
瞻博網(wǎng)絡(luò)亞太區(qū)高級技術(shù)副總裁Andy Miller
Andy Miller補(bǔ)充到���,客戶需要非��?焖俚男袆����,一旦出現(xiàn)問題����,SDN能夠快速的部署安全策略���。舉個(gè)簡單的例子�����,比如說如果我們能夠在虛擬存儲器上安裝一個(gè)設(shè)備�,或者在網(wǎng)絡(luò)上安裝一個(gè)設(shè)備,這相對來說是非常簡單的���。但是如果要真正地配置整體的網(wǎng)絡(luò)�����,一般是非常的漫長和困難�。所以如果能夠利用SDN���,在虛擬網(wǎng)絡(luò)上進(jìn)行工作的話�,可以極大地提高效率����。
瞻博網(wǎng)絡(luò)在SDN的過程中,遵循的主要原則是:“怎么能夠更好地利用現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)設(shè)施����,也就說在現(xiàn)有的網(wǎng)絡(luò)架構(gòu)上�,安全使用SDN功能�。換句話講,我們要在現(xiàn)有的網(wǎng)絡(luò)架構(gòu)上更好地利用已有的協(xié)議�,和已有的這些能力,這個(gè)是我們設(shè)計(jì)SDN重要的考量因素�����。”Andy Miller告訴記者�。
可以看出,安全是瞻博網(wǎng)絡(luò)SDN戰(zhàn)略考量的重要因素之一��。Andy Miller指出���,首先安全業(yè)務(wù)流在不斷發(fā)生變化����,過去業(yè)務(wù)流從一個(gè)數(shù)據(jù)中心到另一個(gè)數(shù)據(jù)中心����,向現(xiàn)在的“東西流量”演進(jìn)。另外���,基于應(yīng)用的威脅不斷涌現(xiàn)��,目前有73%的攻擊是針對網(wǎng)絡(luò)應(yīng)用����。在SDN包括云計(jì)算的這些變化中�,當(dāng)前的一代的安全措施,已不足以防御這些攻擊����。
瞻博網(wǎng)絡(luò)-下一代數(shù)據(jù)中心安全:Spotlight Secure全球攻擊者情報(bào)服務(wù)
瞻博網(wǎng)絡(luò)發(fā)布了Junos Spotlight Secure全球攻擊者情報(bào)服務(wù),它為客戶提供廣泛的網(wǎng)絡(luò)和瞻博網(wǎng)絡(luò)安全產(chǎn)品中有關(guān)威脅�����、攻擊和單個(gè)設(shè)備的準(zhǔn)確情報(bào)�����。Junos Spotlight Secure是一種基于云的新型威脅情報(bào)解決方案��,它能夠基于設(shè)備來識別每個(gè)攻擊者���,并在一個(gè)全球數(shù)據(jù)庫中對他們進(jìn)行跟蹤�����。在與Junos WebApp Secure配合使用時(shí)�����,Junos Spotlight Secure將為攻擊者創(chuàng)建一個(gè)永久性指紋����,其中包含了200多個(gè)特征,能夠以此準(zhǔn)確地識別攻擊者��,由于不會誤報(bào)而不會對合法用戶造成影響��。用戶在使用JunosWebApp Secure后�����,一旦通過指紋技術(shù)發(fā)現(xiàn)自己的網(wǎng)絡(luò)上出現(xiàn)了一位攻擊者�����,全球攻擊者情報(bào)解決方案就會立即將該攻擊者的相關(guān)信息與其它用戶共享��,并在多個(gè)網(wǎng)絡(luò)上實(shí)施一種先進(jìn)的實(shí)時(shí)安全保護(hù)解決方案����。
Andy Miller認(rèn)為����,要應(yīng)對新一代數(shù)據(jù)中心安全威脅��,我們需要以全新的方式來思考網(wǎng)絡(luò)防護(hù)�。公司應(yīng)該專注于早期檢測和分析攻擊者及其攻擊行為(而非攻擊點(diǎn))���,并確保在安全架構(gòu)中更好地集成相關(guān)情報(bào)(這與缺乏信息共享的單點(diǎn)產(chǎn)品明顯不同)���。今天市面上的絕大多數(shù)安全產(chǎn)品都企圖在攻擊發(fā)起的瞬間就要檢測到威脅。遺憾的是�,這只適用于已知的攻擊,其中只有一次機(jī)會來檢測和消除威脅�。為了有效地保護(hù)數(shù)據(jù)中心的安全,公司必須了解攻擊設(shè)備的信息(而不僅僅是IP地址)�����,并將相關(guān)的情報(bào)快速分發(fā)給所有的數(shù)據(jù)中心接入控制點(diǎn)�����。
另外,在談到攻擊的時(shí)候����,我們會想到大量的洪水攻擊或者一些業(yè)務(wù)流堵塞了我們的網(wǎng)絡(luò),這是一種非��?焖俨⑶易嘈У墓�。但是現(xiàn)在一些新型的攻擊,它的攻擊時(shí)間會更長一些�,慢慢滲透達(dá)到攻擊的目的。
Andy Miller表示���,利用Junos Spotlight Secure與Junos WebApp Secure的協(xié)同工作�,瞻博網(wǎng)絡(luò)能夠幫助客戶在早期跟蹤和阻止攻擊者的行動��,避免他們造成任何破壞���。作為第一步����,Junos WebApp Secure使用最新的入侵誘騙技術(shù)來準(zhǔn)確地早期檢測�、甚至誤導(dǎo)攻擊者。Junos WebApp Secure綜合使用大量的數(shù)據(jù)�,通過指紋技術(shù)來識別和監(jiān)測黑客��,具有極高的準(zhǔn)確性���,能夠盡早(甚至在漏洞受到攻擊之前)采取對策來阻止攻擊。
同時(shí)�,利用運(yùn)行在硬件中的保護(hù)屏幕和過濾器,以及用戶和控制平面分離這一特性��,瞻博網(wǎng)絡(luò)SRX系列業(yè)務(wù)網(wǎng)關(guān)能夠保護(hù)最大規(guī)模的網(wǎng)絡(luò)�����,以防御DoS/DDoS攻擊����,惡意流量�,偵察搜尋,充斥信令網(wǎng)絡(luò)�����、欺詐應(yīng)用��。Andy Miller表示��,總的說來,我們希望通過自動的方式把SDN與安全連接起來�����,通過SDN的控制器和SDN技術(shù)��,以及一個(gè)集中式的全球網(wǎng)絡(luò)推送命令來自動實(shí)現(xiàn)安全防護(hù)��。
Andy Miller最后談到了SDN的安全機(jī)會�����,安全變得越來越分散化�,而且變得越來越復(fù)雜。這是一個(gè)大數(shù)據(jù)的時(shí)代��,SDN可以作為一個(gè)控制的機(jī)制���,來對這些數(shù)據(jù)進(jìn)行管理���。SDN讓你有一個(gè)集中化的管理和控制,并且把它的更新推送到不同的分散性的一些點(diǎn)上�。我們使用的是大數(shù)據(jù)來進(jìn)行收集和分析,一部分實(shí)際上不止在數(shù)據(jù)中心中進(jìn)行管理,而是作為全球的跨云的安全的解決方案��。
如果像Juniper這種方式���,我們會得到很多的連接性�����,包括在虛擬環(huán)境���、以及物理環(huán)境的連接性。其中一個(gè)挑戰(zhàn)��,就是你如果過去不知道網(wǎng)絡(luò)中的問題出現(xiàn)在哪兒��,找到這些問題和故障的節(jié)點(diǎn)�����,SDN的這種集中管理和控制能夠完成這個(gè)任務(wù)��。
