軟件定義安全2016年版

2017-09-05

發布者：綠盟科技

2015年綠盟科技發布了《2015綠盟科技軟件定義安全SDS白皮書》[1]，闡述了軟件定義安全的起源與發展。那么2016年業界在軟件定義安全領域發生了什么變化，又有什么新的動態呢？本文將以去年的白皮書作為背景，重點闡述了2016年軟件定義安全這一理念在行業內的發展情況，以及具體在落地過程中的實踐。

軟件定義安全本質上是一種理念，即數據與控制分離，安全管理與控制集中化，從這個意義上看其與所在環境關系不大。在《2015 SDS白皮書》中，我們主要關注面向云環境的軟件定義安全，是因為軟件定義安全的理念可能最早會在云計算系統的安全防護中得到體現，原因有如下四點：

第一，云計算系統具備開放的應用接口（Application Programming Interface，API），安全控制平臺容易與云平臺對接，獲取或操作云計算系統的資源，這使得安全控制平臺做較少的定制，就可以演化為一個面向云環境的安全運營中心（Cloud SOC），支持面向云租戶的各種安全應用；

第二，云平臺借助虛擬化技術，具備了敏捷、彈性的資源池能力，可以快速準備好（Provision）虛擬化的安全設備，也可靈活地調度底層的為安全功能服務的計算、存儲、網絡資源，為安全功能服務；

第三，軟件定義網絡（Software Defined-Networking，SDN）近年來變得越來越熱，很多云計算系統在規劃時就加入了對SDN的支持，有些在實施時已部署了具有SDN能力的軟硬件基礎設施，具備了快速調度南北向和東西向流量的能力，為安全應用調整安全防護策略提供了更便捷的手段，為云環境中可實現的安全功能提供了更大的想象空間；

第四，使用云計算的租戶很多是中小型企業（Small and Midsize Business，SMB），不具備規范的安全管理流程和專業的安全運營水平，無法制定完整的防護方案或管理復雜專業的安全設備。這些用戶在安全方面的投入往往是防護目的驅動，而非合規性，這樣會更關注安全防護系統的有效性、便捷性和靈活性。軟件定義安全、安全即服務（Security as a Service，Sec-aaS）天然地匹配到了這些用戶的需求。

需要明確的是，軟件定義安全與云計算安全無論從邏輯上還是架構上都沒有必然的聯系。軟件定義的安全方案同樣也可以部署在傳統IT環境，如果能做到開放接口，通過軟件驅動底層安全設備，通過軟件編排上層應用，那么這套安全防護體系也是軟件定義的。相反，即使在云環境中部署了大量的安全機制，但如果僅是簡單堆砌，那并不是軟件定義安全。

本篇白皮書仍會重點討論軟件定義安全體系在云環境中應用，著眼于其落地交付過程，此外也會討該體系在BYOD、傳統IT環境等場景可能的應用。

軟件定義安全2016年版下載