《软件定义安全》之四：什么是软件定义安全-优快云博客

第4章什么是软件定义安全

1.软件定义安全的含义

1.1 软件定义安全的提出

虚拟化、云计算、软件定义架构的出现，对安全体系提出了新的挑战。如果要跟上网络演进的步伐和业务快速创新的速度，安全体系应该朝以下方向演变。

𝟭 安全机制软件化

安全防护机制的部署应提升到软件层面的调度、下发和远程快速版本更新，更多地由软件完成自动分析、按需调度和动态部署。系统应该有能力根据多种因素，自适应地自动调度和部署安全防护机制，以提供快速响应能力和按需动态防护。

𝟮 接口开放，易扩展

提供开放接口，以支持快速的安全能力创新，便于扩展新的安全服务，对业务需求的变化作出快速响应。

𝟯 架构功能分离

安全功能不应被禁锢在一个个封闭的黑盒中，安全产品不应实现全功能栈。很多定制开发的功能可以独立于安全产品之外的组件形态，调用安全产品的应用接口，即可实现多种复杂的组合功能。

Gartner于2012年最先提出软件定义安全，通过分离安全数据平面与控制平面，将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦，在底层将物理及虚拟的网络安全设备抽象为安全资源池，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现灵活的安全防护机制，以应对软件定义数据中心和新型IT系统的安全防护需求。

1.2 软件定义安全的不同结构

➊ AMQ方案：SDN控制器上的安全应用

AMQ：Automated Malware Quarantine，恶意软件自动隔离

AMQ可在SDN控制器中增添相应的功能模块，并向用户接入端口或设备交换机端口动态、自动下发策略，实现恶意软件自动隔离。这种过程减少了对安全威胁的响应时间，极大地降低了网络接入管理难度。该方案只需要交换机支持控制器指令，可减少操作开销。AMQ主要是利用SDN架构控制平面的可编程性，通过应用开发对控制器的功能进行扩展。AMQ安全应用可在存在安全隐患的设备对网络造成影响前发现该设备的安全问题并进行隔离。AMQ一旦发现潜藏的安全威胁，就分析并自动下载补丁解决隐患，之后允许消除安全隐患的设备重新加入网络。
系统共包含两种安全防护，BotHunter用于实时检测发现网络中的Rootkit；威胁响应则用于在发现Rootkit攻击时利用控制器对感染主机进行隔离。
在实际应用时，用户单击了附带Rootkit的URL或附件，Rootkit嵌入用户系统后寻找网络中的其他主机，试图控制网络。BotHunter用端口扫描等手段监测被感染主机Rootkit产生的流，通过分析主机的通信对象可以让BotHunter确定主机中是否存在恶意软件。经过详细分析，BotHunter生成一个感染描述，给控制器下达隔离感染主机的命令。控制器将收到的命令转换成低层协议下发给数据平面，实现对感染主机的隔离。接着根据下发给数据平面的指令，所有的DNS和页面数据都重定向交付于Web Proxy Notifier，最后用户可以得到Web Proxy Notifier产生的一个URL来下载补丁，解决安全攻击问题。当主机安全问题得到解决时，就可以重新接入网络。

在这里插入图片描述