应对NFV环境下的三大安全结合挑战

云计算帮助企业以相对低廉的成本拥有了较高的算力,而SDN的应用又让企业在网络部署上更加灵活。两者叠加后,企业在IT上拥有了更高效、更灵活、更低成本的运营能力。然而,在企业有更强IT能力支撑的同时,却有了新的问题:在虚拟化的服务器环境(云环境)以及对SDN环境下,如何能有效地对安全产品进行管控?尤其是对于运营商、银行等大流量、高安全、稳定性要求的企业环境中,未来使用网络功能虚拟化的NFV结构时,又如何能在低成本的情况下进行安全能力从硬件资源到计算资源的平滑演进过渡?

即使在现阶段,将安全结合入云、SDN环境中,依然面临了三大结合困难:

1. 不同类型的虚拟化网络功能(virtual network function, VNF)难以批量化部署,在企业快速发展的过程中在线扩容也成为难题。

2. 大部分企业都会选择不同厂家生产的网元。但是,不同厂家、网元之间的故障定位困难,同时由于标准化低,难以进行统一的管理,在对接时又无法做到高效化。

注:网元可以理解为网络管理中可以监视和管理的最小单位

3. 由于难以进行统一的管理,往往需要大量定制化,从而产生配置失误、操作失误等问题。

如果仔细思考这三大问题,可以发现:如果从传统的设备对应资源直接进行管理,那么就会由于环境的复杂性使得结合面临困难。那么,假如我们换一个角度思考解决方案:正如将网络能力、计算能力虚拟化,再进行管控一般。将安全能力也虚拟化以后,通过中间层进行管控呢?这其中必然会有大量的难点,比如安全中间件与云平台、SDN产生的对接问题。但是,如果,有一家厂商有一件产品,恰恰可以解决这个问题呢?

在4月18日举办的 “2019年•中国SDN/NFV/AI大会” 上,山石网科凭借 “云网融合异构安全解决方案” 荣获 “优秀案例奖”,同时发布了自己的新产品 “山石云•集” ——国内首个面向NFV标准的安全网元解决方案。

作为老牌的防火墙厂商,山石网科也是最早进入云安全领域的安全厂商:率先发布了支持云架构的虚拟防火墙 “山石云•界”,以及国内首款针对云内东西向流量的微隔离产品 “山石云•格”;同时,早在2017年年底,山石网科就已经具备了NFV的自动化编排能力。在过去一年中,山石网科继续积累了大量的经验,在解决实际问题的过程中,总结出了在云和SDN环境下更有效达成安全需求的产品—— “山石云•集”。

“山石云•集” 可以理解为一个安全中间件,以软件+服务的方式将安全能力虚拟化以后,再在云以及SDN环境中进行相对应的部署应用。通过在云平台部署轻量级插件,运维人员可以快速通过 “山石云•集” 将软硬件的安全能力虚拟化后,与云平台进行对接,可以有效帮助企业解决以下问题:

1. 从硬件资源到计算资源的演进过渡:一旦安全能力随着网络能力虚拟化了,对企业而言,如果未来希望采用全VNF的方式部署安全服务,享受VNF带来的弹性扩展性好处,可以通过安全中间件的部署,可以将硬件的安全能力虚拟化并重新部署,帮助企业低成本过渡的同时,确保安全能力。

2. 更灵活的安全部署能力:在硬件安全能力虚拟化以后,硬件防火墙也不再受限于单一防火墙应对大量不同防御目标的情况。通过将硬件防火墙的能力虚拟化以后,可以建立起多个虚拟防火墙,从而跟随不同业务进行防护。

3. 增强运维的效率与便利性:运维人员不再需要将安全设备或者安全服务与业务进行对接,而是可以通过中间件,将虚拟化以后的 “安全能力” 与业务对接进行防护。同时,“山石云•集”提供智能对接排障、配置检测等功能,帮助运维人员快速定位并解决问题。

4. 标准化结合多云、SDN环境:“山石云•集” 遵循欧洲电信标准化协会定义的NFV框架及标准,使用REST API方式提供服务以方便第三方进行集成,同时兼容多个厂家的云计算和SDN产品。另外,兼容标准OpenStack的API和插件进行对接,减少定制化的需求。

NFV由于其更高效的资源使用率,在即将到来的5G时代,必然会成为运营商、大型金融、政府、能源等组织和企业的网络结构。在新的架构下,安全能力也需要随之跟上。符合NFV标准的 “山石云•集” 在这一方向走在了前面。

在会后的采访中,山石网科的资深营销总监贾彬表示,今年年底和明年上半年将会是5G网络非常重要的发展点。今后,当我们绝大部分通信活动都要在5G网络上实现的时候,5G网络的安全就尤为重要。对于5G这样的新技术应用,如果能在建设之初就将安全融入到整个体系与能力的建设之中,则能将安全完全融入整个网络结构之中,成为网络的DNA,而不是附加组件;这样,无论是对于今后安全能力的升级,还是安全与业务能力的契合度,都能做到事半功倍的效果。另一方面,在5G网络环境中,通过网络切片,不同领域的企业能获得最适合自身业务的网络功能;因此,5G的安全需求也不再局限于运营商,对于各类行业用户,提前为5G以及5G安全布局,也会为未来自身适应5G网络,从而获得5G网络最大的优势和价值,就显得尤为重要。

随着SDN的普及,网络配置变得更加灵活。在这个基础上,如果网络能用软件定义,那安全能力能否也用软件定义呢?“山石云•集” 可以看作山石网科向SDSec(软件定义安全)的一次尝试。通过增加安全中间件,以一个控制平台的方式帮助企业进行安全能力的虚拟化与使用。山石网科通过大量在实际环境中帮助客户解决的问题,综合经验,打造出了自己的解决方案。在即将来临的5G时代,运营商、大型金融企业等为了更有效地享受到5G网络的优势,转型NFV是必然。在国内外各个运营商、标准化组织都在推进5G与5G安全标准的趋势下,山石网科能率先推出满足NFV标准的安全网元解决方案,无疑为运营商与各行业的大企业在使用5G网络时增加了一重重要的防护。


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注