自從著名咨詢機(jī)構(gòu)Gartner在《The Impact of Software-Defined Data Centers on Information Security》[1]一文中提出軟件定義安全(Software Defined Security，SDS)的概念后，軟件定義與安全的結(jié)合已成為業(yè)界的前沿發(fā)展熱點。背后的原因很直觀：軟件定義安全強(qiáng)調(diào)了安全控制平面與數(shù)據(jù)平面分離，從而在控制平面上可靈活調(diào)整應(yīng)用策略，快速變更安全業(yè)務(wù)。

SDS創(chuàng)新沙盒10中有3

各大廠商都開始做相關(guān)的研究和研發(fā)工作，RSA大會一直是廠商們展現(xiàn)自己最新工作的舞臺。如Check Point在RSA 2014大會上宣布推出軟件定義防護(hù)(Software Defined Protection，SDP)革新性安全架構(gòu)，可在當(dāng)今日新月異的IT和威脅環(huán)境中為企業(yè)提供虛擬化的邊界防護(hù)。賽門鐵克也在RSA 2015提出使用軟件定義網(wǎng)絡(luò)技術(shù)對APT攻擊進(jìn)行取證的話題也提供了一種安全事件事后快速分析的新思路。

而RSA 2016到了第25個年頭時，我們驚喜地發(fā)現(xiàn)更多的公司在展示在軟件定義安全的領(lǐng)域的工作，特別是在體現(xiàn)創(chuàng)新的Innovation Sandbox(創(chuàng)新沙盒)競賽中，10家經(jīng)過專業(yè)評審的公司，居然有3家與這個話題有關(guān)，分別在不同的方面做出了開創(chuàng)性的工作。

Versa Networks

如Versa Networks公司，強(qiáng)調(diào)在軟件定義廣域網(wǎng)(SD-WAN)和分支(Branch)網(wǎng)絡(luò)的環(huán)境中，通過虛擬化網(wǎng)絡(luò)功能(VNF)技術(shù)，將各種各樣異構(gòu)的網(wǎng)絡(luò)功能編程通用的組件，可快速在相應(yīng)的網(wǎng)絡(luò)中部署，大大減少了企業(yè)部署相應(yīng)業(yè)務(wù)的開銷，提高了整個過程的敏捷程度。

[[163448]]

Versa Networks: Network and security functions in software

Skyport Systems

Skyport Systems公司同樣也是為企業(yè)提供高效的安全計算基礎(chǔ)設(shè)施，但按照傳統(tǒng)建立邊界思維，攻擊者在進(jìn)入系統(tǒng)內(nèi)部后就容易進(jìn)一步攻擊內(nèi)部其他重要資源。該公司的邏輯是，所有的資源都是零信任，這樣即便內(nèi)部某資源被攻破，那么從該點作為跳板進(jìn)一步攻擊也是困難的。那么這里就涉及到軟件定義的訪問控制，例如如何做到“零信任”條件下各處的訪問控制策略快速調(diào)整。該公司在B輪融資中獲得3000萬美元。

Phantom Cyber

再如Phantom Cyber公司認(rèn)為在大量出現(xiàn)攻擊的場景下，花費大量的人力去發(fā)現(xiàn)解決問題已不太現(xiàn)實。與前兩個公司不同，Phantom Cyber從應(yīng)用層入手，構(gòu)建自動化、可編排的安全應(yīng)用體系。它支持多種主流的數(shù)據(jù)分析平臺，可利用較為高層的腳本實現(xiàn)安全運(yùn)維自動化。

SDS敏捷彈性受人追捧

在安全可被軟件定義后，新的安全業(yè)務(wù)可在企業(yè)網(wǎng)絡(luò)中可快速上線，特別是在數(shù)據(jù)中心中，可實現(xiàn)計算、存儲、網(wǎng)絡(luò)和安全的彈性控制，實現(xiàn)軟件定義的數(shù)據(jù)中心SDDC。正是因為這些優(yōu)秀的特性，解決了企業(yè)客戶長期面臨的安全管理和運(yùn)營“痛點”，軟件定義安全自從開始就引起了學(xué)術(shù)界和工業(yè)界極大的關(guān)注。

SDS受RSA 2016關(guān)注的原因

創(chuàng)新沙盒中10個產(chǎn)品中出現(xiàn)了三個能體現(xiàn)SDS的產(chǎn)品，筆者認(rèn)為其背后的原因有幾個：

• 其一，作為軟件定義安全的支撐技術(shù)，如VNF/NFV、SDN方案，在國外已經(jīng)有一些成熟的應(yīng)用，如NSX已經(jīng)代替Vsphere成為VMWare成長最快的產(chǎn)品，Cisco的ACI方案也與很多安全廠商有合作;

• 其二，企業(yè)的高效安全運(yùn)營需求，直接催生了安全編排這些應(yīng)用層面的創(chuàng)新;

• 其三，也是最重要的，出于企業(yè)對降低成本的天然需求，軟件定義的理念轉(zhuǎn)換為實際產(chǎn)品的動力十足。

RSA大會的創(chuàng)新沙盒一直是硅谷安全行業(yè)的風(fēng)向標(biāo)，今年的沙盒競賽體現(xiàn)了軟件定義安全確實不只是一些實驗室的原型系統(tǒng)，一些初創(chuàng)企業(yè)已經(jīng)開始將其作為重點，根據(jù)企業(yè)在安全運(yùn)營方面出現(xiàn)的存在各種問題，有針對性的提出了自己的解決方案。我們有理由做出判斷，軟件定義安全恐怕離真正的產(chǎn)品化和商用已經(jīng)不遠(yuǎn)了。

企業(yè)也在積極行動

當(dāng)然除了這些初創(chuàng)公司，還有很多公司也在基于自身產(chǎn)品做相關(guān)的工作。如在29日的Session環(huán)節(jié)，VMWare的安全產(chǎn)品部門SVP Tom Corn就演示了在NSX的環(huán)境中，如何可按需定義微分段(Micro Segmentation)，并對任意APP間快速添加加密處理。

廠商展示區(qū)域，Catbird公司的軟件定義安全架構(gòu)[3]通過微分區(qū)(Micro-Segmentation)在虛擬環(huán)境中劃分不同的區(qū)域，并通過編排將安全策略下發(fā)給多種類型的安全設(shè)備，并作用在區(qū)域級別或虛擬機(jī)級別。這些工作都體現(xiàn)了各家在成熟產(chǎn)品線通過軟件定義做了很多延展性的工作。

綠盟科技自2013年開始研究SDN和軟件定義安全，研發(fā)了包括軟件定義的抗DDoS、流量異常檢測和Web安全等原型系統(tǒng)，并在2015年發(fā)布了軟件定義安全的白皮書，探討在該領(lǐng)域的進(jìn)展。