解决方案

个计算节点上，租户间没有物理上的明确边界。再次，企业的         访问的互联网应用程序的风险，在连接网络前对设备和用户进
Wi-Fi接入、咖啡馆热点接入、机场热点接入、家庭接入都存在      行身份验证。
众多的“最后一公里”网络，有众多的数据中心和应用程序网
络接口，没有明确的安全边界，造成信任缺失。                     SDP采用机密网络模型来保护应用程序，传统边界已经迅速
                                    成为设备在网络内部移动以及应用程序从网络边界迁移到云计
      安全问题泛在化与安全边界模糊化是扁平化趋势带来的新     算的障碍。通常在机密或高度安全网络，每台服务器被隐藏在
的安全课题，在安全架构的构建中，需要重点考虑这两方面的         远程接入网关后面，用户在查看和访问授权服务之前必须进行
问题。                                 身份验证。

     2.安全技术发展趋势                           SDP保留了“需要知道”模型的优势，同时消除了对远程访
      2.1利用SDN架构特性解决安全问题            问网关设备的缺点，SDP要求端点在获取对受保护的服务器的网
      SDN本身会引入一些安全问题，但同时也可以借助SDN架构  络访问之前，必须进行身份验证以及获得授权，然后在请求系
解决安全问题：                             统和应用程序基础设施之间会实时创建加密连接。请求系统可
      ·SDN能够基于流模式提供端到端、面向业务的连接模型，   以是移动设备，如智能手机、计算机或者传感器。
并且不受到传统路由的约束，可以实现基于流的控制。
      ·集中控制的特点有助于建立全网视野，可以在整网监控           SDP采用了标准安全工具，如公钥基础设施、可信分层安
威胁。                                 全、IPsec和安全断言标记语言(SAML)以及地理位置等概念，来
      ·安全策略的粒度管理可以基于应用、服务、组织、地域     实现任何设备到任何基础设施的连接。SDP外围可以部署在任何
等，不取决于物理配置。                         位置，例如互联网、云计算中、托管中心、企业私有网络中，
      ·基于资源的安全策略可以紧凑地实现多种威胁的防御措     也可以跨网络部署。
施，增强管理。
      ·通过编排可以动态、灵活地调整安全策略。                2.4构建可信体系
      ·灵活的路径管理，快速封装以及隔离入侵可以不冲击到           传统的安全解决思路立足于防，防火墙、IDS/IPS和AV构成
其他网络用户。                             了传统信息安全系统，并且以防外为重点，在物理边界上对非
      2.2利用大数据特性解决安全问题              法用户和越权访问进行封堵，捕捉攻击和入侵的特征信息。由
      可以借助大数据的特性解决扁平化趋势下的安全问题：      于其特征是已发生过的滞后信息，这样导致防总是落后于攻，
      ·网络吞吐的倍增以及攻击的泛在化，导致攻击数据隐蔽     也不能根据已有的可疑特征预测未来的攻击和入侵。
在海量业务数据中，这极易触及安全设备的性能瓶颈，因此有           图3 可信体系的启动机制
必要引入大数据分析方法。
      ·可以基于大数据分析方法进行安全管理平台（SOC）的海         有别于传统的安全技术，可信体系的思路是消除恶意代码、
量系统日志分析，netflow/IPfix流量分析、安全策略分析、审  病毒等攻击行为的作用空间。可信技术的根本机制如图3所示。
计分析。
      ·传统的安全防护手段如深度包检测（DPI）、深度/           如图3所示，在系统启动过程中，有两个流按序串行进行：
动态流检测（DFI）、入侵检测系统（IDS）、入侵防御系统       度量流和执行流。这两个流遵循先度量后执行的原则，保证了下
（IPS）、防病毒等都是基于特定规则进行匹配运算，符合大数       一步执行的执行体是经过严格度量的可信任实体。
据处理特性。
      ·攻击手段的隐蔽化，尤其是APT攻击的发展，使得单个安         可信体系由可信计算、可信存储、可信网络组成，并且在单
全设备仅能获取部分攻击片段而防护失效，大数据技术可以汇         个系统启动过程中进行逐级验证，形成网络中一个可信节点，与
总完整的攻击数据从而进行综合分析。                   其他可信节点之间形成一个可信网络，从根本上提高整个系统的
      2.3软件定义边界                     安全性。其中可信存储框架由TCG/T10/T13定义。
      如图2所示，软件定义边界（SDP）通过利用云计算，在任
何IP可寻址实体间创建高度安全的、终端到终端网络，缓解可

  图2 SDP模型

                                                                       结束语

                                                                                              当前，对于物理设备、网络部署以及流程管理的扁平化，无论
                                                                                        是理念还是技术，都已经具备实现的可行性。未来，M-ICT时代将是
                                                                                        一个全面扁平化的时代，是一个端到端效率极大提升的时代。

62 网络电信 二零一六年一、二月