新一代IP為網路安全設定高標杆

博科中國系統工程師總監 張宇峰

對於舊IP網路，安全是由部署在邊緣的裝置來實施。然而在雲時代，資料中心和網路相融合而且訪問變得日趨移動化，邊界的概念消失了。但是，好訊息是新一代IP（New IP）強調開放、自動化、軟體定義等元素，以增加敏捷性並降低成本，實現的安全部署可以讓網路遍佈警戒。

安全性藉助網路虛擬化得到提高

以虛擬網路功能（VNF）的方式部署服務是一種簡單但強大的方法。路由、負載平衡、應用交付和安全、Web和網路防火牆以及VPN等服務可以通過遠端管理進行實時地移動，不需要物理上的部署和人力資源，極大節省了運營支出和資本支出。成本節約為更加恰當地分發功能提供了靈活性，卻保持了同樣的效能。安全可以被分發到需要的地方，或者所有地方。而且當不再需要的時候可以移除服務。這實現了根據地理位置、功能、組、個人或應用的真正自定義安全。

這種嵌入式安全態勢使企業能夠確保合規：從站點到雲、員工到應用資源，以及通過虛擬路由器和虛擬應用交付控制器中嵌入的IPsec加密、遠端訪問VPNs、有狀態的防火牆和Web應用安全對安全進行分層。

SDN控制器上的安全

藉助底層的網路矩陣，使用者可以建立一個扁平、可感知虛擬機器的簡化網路拓撲結構，在設計時就在內部提升安全性。使用流量技術和可程式設計的SDN控制器，這能夠實現網路行為的集中檢視、能夠針對基礎架構內的安全威脅立即採取行動，並實時地將政策推入網路。可以利用先進的資訊功能，網路中的每一元素都能夠自動生成自己的狀態和條件，並將之推送入集中的資源庫進行實時的分析，由機器學習實現的安全能力。

加密移動中的資料

由於網路經常遭受攻擊，來自資料中心、LAN和WAN的網路裝置的本地資料加密能夠保護穿越鏈路的資料。這可以在不影響效能、不產生將流量送回專用裝置的成本或複雜度的情況下實現。當網路鏈路不在企業的物理控制中時尤為重要——例如資料中心之間、站點之間以及站點與雲之間。

針對客戶到應用安全的應用和使用者感知

隨著從企業到使用者的互動日益需要更安全地訪問Web應用，應用流量也在日益增多，訪問關鍵的業務應用需要多層的保護。需要能夠使用整合的Web應用防火牆處理日益增長的SSL流量的應用交付控制器，也需要靈活地針對每個應用的獨特安全要求而定位個人使用者或客戶群。

安全是開放的，不是封閉的

對於舊IP網路，防火牆、IPS/IDS、DPI、分析工具、靜態加密和動態加密等，每種點安全應用都解決具體的安全挑戰。它們之間不存在資訊交換和協作，也沒有利用來自所有源的重要知識的安全服務抽象層。

但新一代IP，包含了混合的硬體和軟體的實施，提供了一種通過SDN控制器與任何裝置或感測器（物理的或虛擬的）進行互動的標準化方法。來自感測器的所有資料能夠被收集起來並提交給分析引擎，以進行視覺化、鑑別並採取行動。任何裝置的行為都可以被改變，因為你可以溝通、程式設計以及寫入裝置。這產生了從網路中提取資料並將其作為一個系統進行理解的能力，開放式安全架構，多廠商生態系統內的安全資料交換，以及允許同各種安全元素進行互動的API，以獲得更加廣泛的安全資料收集、關聯和執行。

安全是基於行為，而不僅僅是身份

新一代IP網路在實施安全政策時能夠考慮行為，並不僅僅是身份。藉助基於行為的安全，該系統可以更深入地洞察典型和非典型的動作，以及攻擊過程中的預備步驟，使其不僅能夠緩解已經發生的攻擊，而且能夠預防潛在的攻擊。考慮到大部分資料洩漏都存在內因，因而不能依賴身份管理來檢測攻擊。使用者也需要一種檢測內部人攻擊的方法，保護該系統免受已經獲得合法訪問許可權人員的攻擊。風險因素的行為分析，反常行動的指標，以及不符合上下文的行為的檢測都至關重要。

安全是自學，不是靜止不變

新一代IP架構中的安全系統在持續地學習並自我優化，與傳統系統不同，後者依靠與定期更新的資料庫進行模式匹配。在這種情況下，如果一個漏洞利用不符合任何模式，該安全系統將不認為它是一個威脅。新一代IP架構更加敏捷，而且能夠自我改進。將大資料和機器學習概念應用到網路行為，實現了從被動到主動的安全保護、從描述性到預測性分析，並最終從靜態到自我學習或自適應網路的改變。

作者介紹：

張宇峰先生憑藉其十六年來在中美兩國網路，通訊，資料中心，雲端計算領域從事技術服務，產品管理，和市場戰略的資深經驗加盟博科，被任命為博科中國系統工程師總監，負責博科中國新IP（New IP），SDN, NFV, 雲網路等創新技術的發展工作，並將加速博科中國卓越的系統工程師隊伍的建設。他豐富的技術產品行業經驗與對市場的洞察將幫助博科的使用者在將其網路轉向新IP程式中獲取更多的優勢。

====================================分割線================================

本文轉自d1net（轉載）