[[171782]]

對于舊IP網(wǎng)絡，安全是由部署在邊緣的設備來實施。然而在云時代，數(shù)據(jù)中心和網(wǎng)絡相融合而且訪問變得日趨移動化，邊界的概念消失了。但是，好消息是新一代IP(New IP)強調(diào)開放、自動化、軟件定義等元素，以增加敏捷性并降低成本，實現(xiàn)的安全部署可以讓網(wǎng)絡遍布警戒。

安全性借助網(wǎng)絡虛擬化得到提高

以虛擬網(wǎng)絡功能(VNF)的方式部署服務是一種簡單但強大的方法。路由、負載平衡、應用交付和安全、Web和網(wǎng)絡防火墻以及VPN等服務可以通過遠程管理進行實時地移動，不需要物理上的部署和人力資源，極大節(jié)省了運營支出和資本支出。成本節(jié)約為更加恰當?shù)胤职l(fā)功能提供了靈活性，卻保持了同樣的性能。安全可以被分發(fā)到需要的地方，或者所有地方。而且當不再需要的時候可以移除服務。這實現(xiàn)了根據(jù)地理位置、功能、組、個人或應用的真正自定義安全。

這種嵌入式安全態(tài)勢使企業(yè)能夠確保合規(guī)：從站點到云、員工到應用資源，以及通過虛擬路由器和虛擬應用交付控制器中嵌入的IPsec加密、遠程訪問VPNs、有狀態(tài)的防火墻和Web應用安全對安全進行分層。

SDN控制器上的安全

借助底層的網(wǎng)絡矩陣，用戶可以創(chuàng)建一個扁平、可感知虛擬機的簡化網(wǎng)絡拓撲結(jié)構(gòu)，在設計時就在內(nèi)部提升安全性。使用流量技術(shù)和可編程的SDN控制器，這能夠?qū)崿F(xiàn)網(wǎng)絡行為的集中視圖、能夠針對基礎架構(gòu)內(nèi)的安全威脅立即采取行動，并實時地將政策推入網(wǎng)絡?？梢岳孟冗M的信息功能，網(wǎng)絡中的每一元素都能夠自動生成自己的狀態(tài)和條件，并將之推送入集中的資源庫進行實時的分析，由機器學習實現(xiàn)的安全能力。

加密移動中的數(shù)據(jù)

由于網(wǎng)絡經(jīng)常遭受攻擊，來自數(shù)據(jù)中心、LAN和WAN的網(wǎng)絡設備的本地數(shù)據(jù)加密能夠保護穿越鏈路的數(shù)據(jù)。這可以在不影響性能、不產(chǎn)生將流量送回專用設備的成本或復雜度的情況下實現(xiàn)。當網(wǎng)絡鏈路不在企業(yè)的物理控制中時尤為重要——例如數(shù)據(jù)中心之間、站點之間以及站點與云之間。

針對客戶到應用安全的應用和用戶感知

隨著從企業(yè)到用戶的互動日益需要更安全地訪問Web應用，應用流量也在日益增多，訪問關(guān)鍵的業(yè)務應用需要多層的保護。需要能夠使用集成的Web應用防火墻處理日益增長的SSL流量的應用交付控制器，也需要靈活地針對每個應用的獨特安全要求而定位個人用戶或客戶群。

安全是開放的，不是封閉的

對于舊IP網(wǎng)絡，防火墻、IPS/IDS、DPI、分析工具、靜態(tài)加密和動態(tài)加密等，每種點安全應用都解決具體的安全挑戰(zhàn)。它們之間不存在信息交換和協(xié)作，也沒有利用來自所有源的重要知識的安全服務抽象層。

但新一代IP，包含了混合的硬件和軟件的實施，提供了一種通過SDN控制器與任何設備或傳感器(物理的或虛擬的)進行互動的標準化方法。來自傳感器的所有數(shù)據(jù)能夠被收集起來并提交給分析引擎，以進行可視化、鑒別并采取行動。任何設備的行為都可以被改變，因為你可以溝通、編程以及寫入設備。這產(chǎn)生了從網(wǎng)絡中提取數(shù)據(jù)并將其作為一個系統(tǒng)進行理解的能力，開放式安全架構(gòu)，多廠商生態(tài)系統(tǒng)內(nèi)的安全數(shù)據(jù)交換，以及允許同各種安全元素進行互動的API，以獲得更加廣泛的安全數(shù)據(jù)收集、關(guān)聯(lián)和執(zhí)行。

安全是基于行為，而不僅僅是身份

新一代IP網(wǎng)絡在實施安全政策時能夠考慮行為，并不僅僅是身份。借助基于行為的安全，該系統(tǒng)可以更深入地洞察典型和非典型的動作，以及攻擊過程中的預備步驟，使其不僅能夠緩解已經(jīng)發(fā)生的攻擊，而且能夠預防潛在的攻擊?？紤]到大部分數(shù)據(jù)泄漏都存在內(nèi)因，因而不能依賴身份管理來檢測攻擊。用戶也需要一種檢測內(nèi)部人攻擊的方法，保護該系統(tǒng)免受已經(jīng)獲得合法訪問權(quán)限人員的攻擊。風險因素的行為分析，反常行動的指標，以及不符合上下文的行為的檢測都至關(guān)重要。

安全是自學，不是靜止不變

新一代IP架構(gòu)中的安全系統(tǒng)在持續(xù)地學習并自我優(yōu)化，與傳統(tǒng)系統(tǒng)不同，后者依靠與定期更新的數(shù)據(jù)庫進行模式匹配。在這種情況下，如果一個漏洞利用不符合任何模式，該安全系統(tǒng)將不認為它是一個威脅。新一代IP架構(gòu)更加敏捷，而且能夠自我改進。將大數(shù)據(jù)和機器學習概念應用到網(wǎng)絡行為，實現(xiàn)了從被動到主動的安全保護、從描述性到預測性分析，并最終從靜態(tài)到自我學習或自適應網(wǎng)絡的改變。

——博科中國系統(tǒng)工程師總監(jiān) 張宇峰