雲計算幫助企業以相對低廉的成本擁有了較高的算力,而SDN的應用又讓企業在網絡部署上更加靈活。兩者疊加後,企業在IT上擁有了更高效、更靈活、更低成本的運營能力。然而,在企業有更強IT能力支撐的同時,卻有了新的問題:在虛擬化的服務器環境(雲環境)以及對SDN環境下,如何能有效地對安全產品進行管控?尤其是對於運營商、銀行等大流量、高安全、穩定性要求的企業環境中,未來使用網絡功能虛擬化的NFV結構時,又如何能在低成本的情況下進行安全能力從硬件資源到計算資源的平滑演進過渡?
即使在現階段,將安全結合入雲、SDN環境中,依然面臨了三大結合困難:
1. 不同類型的虛擬化網絡功能(virtual network function, VNF)難以批量化部署,在企業快速發展的過程中在線擴容也成為難題。
2. 大部分企業都會選擇不同廠家生產的網元。但是,不同廠家、網元之間的故障定位困難,同時由於標準化低,難以進行統一的管理,在對接時又無法做到高效化。
注:網元可以理解為網絡管理中可以監視和管理的最小單位
3. 由於難以進行統一的管理,往往需要大量定製化,從而產生配置失誤、操作失誤等問題。
如果仔細思考這三大問題,可以發現:如果從傳統的設備對應資源直接進行管理,那麼就會由於環境的複雜性使得結合面臨困難。那麼,假如我們換一個角度思考解決方案:正如將網絡能力、計算能力虛擬化,再進行管控一般。將安全能力也虛擬化以後,通過中間層進行管控呢?這其中必然會有大量的難點,比如安全中間件與雲平臺、SDN產生的對接問題。但是,如果,有一家廠商有一件產品,恰恰可以解決這個問題呢?
在4月18日舉辦的 “2019年•中國SDN/NFV/AI大會” 上,山石網科憑藉 “雲網融合異構安全解決方案” 榮獲 “優秀案例獎”,同時發佈了自己的新產品 “山石雲•集” ——國內首個面向NFV標準的安全網元解決方案。
作為老牌的防火牆廠商,山石網科也是最早進入雲安全領域的安全廠商:率先發布了支持雲架構的虛擬防火牆 “山石雲•界”,以及國內首款針對雲內東西向流量的微隔離產品 “山石雲•格”;同時,早在2017年年底,山石網科就已經具備了NFV的自動化編排能力。在過去一年中,山石網科繼續積累了大量的經驗,在解決實際問題的過程中,總結出了在雲和SDN環境下更有效達成安全需求的產品—— “山石雲•集”。
“山石雲•集” 可以理解為一個安全中間件,以軟件+服務的方式將安全能力虛擬化以後,再在雲以及SDN環境中進行相對應的部署應用。通過在雲平臺部署輕量級插件,運維人員可以快速通過 “山石雲•集” 將軟硬件的安全能力虛擬化後,與雲平臺進行對接,可以有效幫助企業解決以下問題:
1. 從硬件資源到計算資源的演進過渡:一旦安全能力隨著網絡能力虛擬化了,對企業而言,如果未來希望採用全VNF的方式部署安全服務,享受VNF帶來的彈性擴展性好處,可以通過安全中間件的部署,可以將硬件的安全能力虛擬化並重新部署,幫助企業低成本過渡的同時,確保安全能力。
2. 更靈活的安全部署能力:在硬件安全能力虛擬化以後,硬件防火牆也不再受限於單一防火牆應對大量不同防禦目標的情況。通過將硬件防火牆的能力虛擬化以後,可以建立起多個虛擬防火牆,從而跟隨不同業務進行防護。
3. 增強運維的效率與便利性:運維人員不再需要將安全設備或者安全服務與業務進行對接,而是可以通過中間件,將虛擬化以後的 “安全能力” 與業務對接進行防護。同時,“山石雲•集”提供智能對接排障、配置檢測等功能,幫助運維人員快速定位並解決問題。
4. 標準化結合多雲、SDN環境:“山石雲•集” 遵循歐洲電信標準化協會定義的NFV框架及標準,使用REST API方式提供服務以方便第三方進行集成,同時兼容多個廠家的雲計算和SDN產品。另外,兼容標準OpenStack的API和插件進行對接,減少定製化的需求。
NFV由於其更高效的資源使用率,在即將到來的5G時代,必然會成為運營商、大型金融、政府、能源等組織和企業的網絡結構。在新的架構下,安全能力也需要隨之跟上。符合NFV標準的 “山石雲•集” 在這一方向走在了前面。
在會後的採訪中,山石網科的資深營銷總監賈彬表示,今年年底和明年上半年將會是5G網絡非常重要的發展點。今後,當我們絕大部分通信活動都要在5G網絡上實現的時候,5G網絡的安全就尤為重要。對於5G這樣的新技術應用,如果能在建設之初就將安全融入到整個體系與能力的建設之中,則能將安全完全融入整個網絡結構之中,成為網絡的DNA,而不是附加組件;這樣,無論是對於今後安全能力的升級,還是安全與業務能力的契合度,都能做到事半功倍的效果。另一方面,在5G網絡環境中,通過網絡切片,不同領域的企業能獲得最適合自身業務的網絡功能;因此,5G的安全需求也不再侷限於運營商,對於各類行業用戶,提前為5G以及5G安全佈局,也會為未來自身適應5G網絡,從而獲得5G網絡最大的優勢和價值,就顯得尤為重要。
隨著SDN的普及,網絡配置變得更加靈活。在這個基礎上,如果網絡能用軟件定義,那安全能力能否也用軟件定義呢?“山石雲•集” 可以看作山石網科向SDSec(軟件定義安全)的一次嘗試。通過增加安全中間件,以一個控制平臺的方式幫助企業進行安全能力的虛擬化與使用。山石網科通過大量在實際環境中幫助客戶解決的問題,綜合經驗,打造出了自己的解決方案。在即將來臨的5G時代,運營商、大型金融企業等為了更有效地享受到5G網絡的優勢,轉型NFV是必然。在國內外各個運營商、標準化組織都在推進5G與5G安全標準的趨勢下,山石網科能率先推出滿足NFV標準的安全網元解決方案,無疑為運營商與各行業的大企業在使用5G網絡時增加了一重重要的防護。