《软件定义安全》之八：软件定义安全案例

第8章 软件定义安全案例

1.国外案例

1.1 Fortinet：传统安全公司的软件定义方案

Fortinet的软件定义安全架构强调与数据中心的结合，旨在将安全转型为软件定义的模式，使安全运维能够与数据中心的其他部分一样灵活、弹性。在Fortinet看来，安全本身就应该作为IT架构的一个功能层面。与SDN控制器或平台的结合能保障安全运维的灵活性，同时安全运维也要与Hypervisor和云平台管理相结合。

数据平面

主要实现设备和服务抽象，目的是通过灵活利用虚拟化的安全设备和服务，增强执行的安全性。除防火墙和其他网络安全设施向更大、更快的硬件演化之外，安全引擎和功能同样需要通过虚拟设施来呈现。虚拟设施主要是指将L4~L7的服务，如防火墙或负载均衡设备，在虚拟机中封装成软件引擎。虚拟防火墙可以向下部署到虚拟交换层，即离虚拟机工作更近的地方，以得到虚拟机东西向流量和数据更高的可视性。硬件设施虽然仍需要提前部署，但其部署可以通过虚拟域（VDOM）和VLAN而变得更灵活。

控制平面

即平台编排和自动化，主要实现平台的协作和自动化，通过与底层网络和平台架构的协作体现系统的灵活性和弹性。安全平台需要支持运算、网络和其他基础设施层的动态变化。

管理平面

利用物理设备、虚拟设备和云平台架构提供统一的管理策略和分析。无论工作负载在何处运行，以何种方式运行，安全管理需要提供安全策略和事件的统一的显现窗口。更进一步，安全管理自身也可以更多地作为一种服务来呈现。例如，在虚拟机上运行策略和日志引擎，甚至作为云中的SaaS应用。

Fortinet的软件定义安全架构认为软件定义安全中安全应用和管理产品不应完全与其他基础设施孤立，而要使安全应用与管理能够实时掌握数据中心的变化，安全运维必须建立在一个可扩展的平台上。可扩展性具体体现在：
❋ 通过可编程API与其他交互点和其他基础设施整合与交互。但目前用于扩展的API接口是使用开放的标准化接口还是私有的接口尚存争议，它们在互用性、上市时间和其他因素上各有利弊。
❉ 供应商需要致力于让它们的平台更灵活，以便服务提供商、企业和其他技术伙伴能够将其他SDN控制器、编排平台、云管理和可视化分析工具整合进来。
✺ 安全供应商及其合作方必须为先进的基础设施平台提供开箱即用的安全解决方案，使大多数公司不需要本地编程和其他附着措施就可完