倡导良性竞合，共建安全的SDN和NFV

华为企业网络产品线安全网关领域总经理 刘立柱

倡导良性竞合，共建安全的SDN和NFV

华为企业网络产品线安全网关领域总经理 刘立柱

SDN（软件定义网络）和NFV（网络功能虚拟化）带来的既是一场变革，也是不可避免的趋势。SDN和NFV可以随时根据业务需求变化，将网络结构和功能进行快速重新配置，其开放性、敏捷性、可编排和虚拟化等众多特性，使之成为未来云数据中心的首选解决方案。

但是，SDN和NFV给云数据中心带来巨大机遇的同时，其复杂的编排和调度、VM（虚拟机）之间不经过硬件网络设备转发等种种特性，使得安全面临着巨大的困难，传统架构已经无法满足云数据中心的安全需求。在这一背景下，安全产业的传统和新兴厂商以及Hypervisor等提出了不同层次的安全解决方案。以虚拟化安全为例，安全解决方案包含6个层次：第一层是物理网络防火墙，也就是传统防火墙；第二层是容器层，目前大多还停留在IP包过滤阶段；第三层是内核防火墙，通常是一个对vNIC进出流量进行简单状态检测的防火墙；第四层是普通虚拟防火墙，用于VLAN之间的安全防护；第五层是VM之间的防火墙，功能与传统防火墙类似，承担多种防火墙或IPS功能；第六层是虚拟机的端点安全防火墙，提供各种端点和业务安全防护。

由此可见，虚拟化安全与传统安全有着巨大差异，传统安全更注重主机和网络的安全，也就是第一层和第六层，中间的4层在传统安全中是看不到的。对于传统安全厂商而言，其优势在于第一层的物理防火墙，基于此优势，在第四、第五层的VM之间的防火墙上也大有可为，因为基础的防火墙和IPS能力在这一层同样适用。

在虚拟化系统中，VM之间的东西向流量没有经过实体防火墙，第一层的传统防火墙无法得知此流量是否具有威胁和风险，自然无计可施。虽然传统安全厂商相继推出了第四、第五层可用的虚拟防火墙，但虚拟化流量的引流和调度都掌握在第三、第四层的Hypervisor和vSwitch手中，安全厂商的虚拟防火墙无法独立发挥作用。

在SDN和NFV演进的趋势下，安全架构发生了重大变化，类似于虚拟化安全解决方案这样的例子还有很多，例如通过云安全资源池来解决不同租户/不同业务的安全需求、IPS/负载均衡等业务的适配，以及SDN控制器与安全管理的协同等，大多都难以明确定义是安全厂商负责还是Hypervisor负责，各方都在试图寻找良好的SDN和NFV安全解决方案。

Gartner分析师Eric Ahlm认为：未来一段时间可能都不会有非常清晰的云数据中心SDN和NFV自动化解决方案的演进路线。相应的，适配云数据中心的SDN和NFV安全解决方案也尚无定论，当前各厂商推出的解决方案纷繁复杂，在一定程度上体现了安全产业链竞合关系的变化。

虚拟化安全出现了两个方面的竞争变化。首先，产业链的划分更加细致，参与者更多。有的厂商依旧专注于硬件防火墙，有的厂商专注于虚拟防火墙，有的厂商则专注于容器层安全；第二，产业链之间相互渗透。传统安全厂商通过提供虚拟防火墙进入云数据中心市场，Hypervisor也不遑多让，通过在内核层和vSwitch层直接提供安全解决方案进入到安全市场。

推而广之，在SDN和NFV发展的趋势下，所有与其相关的安全都有上述两个方面的变化。在产业链更加细分方面，安全厂商在芯片、硬件平台、硬件防火墙、软件防火墙、应用安全和数据安全等各方面提供适配SDN和NFV的安全解决方案；在产业链相互渗透方面，芯片厂商、硬件厂商、Hypervisor、软件厂商和系统集成商纷纷提供安全特性、安全产品和安全解决方案，意图在SDN和NFV市场分得更多的一杯羹。

同时，SDN和NF V安全也不仅仅是竞争，更多的是合作。安全不是单纯靠几个设备和软件就能确保万无一失的，它是一个系统工程。安全厂商有着自己的优势和积累，例如网络安全厂商对网络协议的理解、分析、监控和快速处理能力，例如防病毒厂商多年来长期积累的恶意文件识别能力，例如数据防泄漏厂商在进出向数据监测中的算法模型，这些都是Hypervisor所不具备的；反过来，Hypervisor能够对CPU、内存和IO进行隔离，能够提供云OS的指令优先级管理，能够对VM访问虚拟化内存进行精细化的控制，这些关键能力也是安全厂商短期内无法超越、但却又对安全有着至关重要的意义。因此合作成为最好的选择。

SDN和NFV安全产业良性的竞争与合作，应当充分继承和发展SDN和NFV的理念：构建开放、灵活和弹性的网络。

开放的具体含义是： 安全厂商与Hypervisor、硬件厂商、芯片厂商以及用户共同探索SDN与NFV安全的多种需求场景，构建完整、可靠的安全解决方案，并促成产业链各方达成广泛理解与共识；明确相关安全和ICT基础设施之间软硬件的接口，推动形成事实标准。

灵活与弹性的具体建议是：产业链共同在SDN与NFV的协同、适配SDN控制器的调度和管理，以及适配云OS下的敏捷策略编排等方面加大技术投资，共同搭建统一的集成互通测试平台，汇集产业各界力量开展互联互通测试，提高SDN整体安全解决方案的准备度，支撑业务快速创新和灵活部署。

在安全产业界，云安全联盟（Cloud Security Alliance）组织是一个成功合作的典范， 其成员包括I T 服务商（Google、Microsoft等）、电信运营商（AT&T、Orange等）、安全厂商（CA、McAfee、Symantec等）和设备商（Cisco、Citrix、Huawei等），厂商之间在竞争的同时保持着良好的合作。云安全联盟最重要的工作之一就是集体讨论和构建云、SDN和NFV安全相关的标准和规范等，涉及到架构、管理、合规、应用和数据等各方面，为SDN和NFV安全未来的可持续发展创造条件。

竞争与合作，是商业社会的常态。良性的竞争与合作，能够充分促使安全和ICT产业链取长补短，提升技术水平和效率，最终为用户提供优质的解决方案，共同建设面向未来的安全的SDN和NFV。