第5章 软件定义的安全架构
1.软件定义安全架构
安全控制平台,主要负责安全设备的资源池化管理、各类安全信息源的收集和分析、与客户业务系统对接,以及相应安全应用的策略解析和执行。
安全应用是根据特定的安全需求所开发的程序,它利用安全控制平台的开放API实现相应的安全功能。
开放安全设备就是传统的网络和主机安全设备,如防火墙、IPS等,它们逻辑上都会在安全控制平台的管理下,形成各类资源池,对外提供相应的安全能力。
1.1 安全应用
安全应用的种类多种多样,如Web安全、访问控制或DDoS防护等;交付形态也呈现出多样性,如一个Web服务,或一个Web管理系统,甚至可以是一段Shell脚本。这些应用可以由安全企业开发,通过互联网下载到安全控制平台上;也可以由有开发能力的用户企业的运维团队开发。
因为安全控制平台提供了开放接口,所以安全应用可以调用安全控制平台的北向API。利用平台开发的接口,应用开发就比较方便,当平台提供的接口丰富而强大时,开发者很容易就拼装出可实现复杂逻辑的安全功能。
应用本身也可以对外提供接口,这样一个应用可以调用其他多个应用的功能,形成服务的编排,完成更复杂的业务流程。
1.2 安全控制平台
安全控制平台在软件定义安全架构中可以被看作一个安全操作系统,北向提供应用接口,南向提供设备资源池,隐藏了底层各类不同厂商的安全设备。东西向可以松耦合的方式,与IT系统对接,获得资产及其他知识信息,并管理各类主体。
上述的不同功能通常是由独立的模块实现的,这些模块可以分布式地部署在多个物理节点上,安全控制平台负责调度、管理和这些模块间的通信。
1.3 开放安全设备
由于安全设备类型多种多样(硬件或者虚拟机),功能特点、部署模式和工作方式也各有不同,因此不太可能抽象出如OpenFlow的控制协议。但至少可以做以下两件事情。
- 总结不同产品功能需求的共性,列出通用的应用接口
1)基本信息接口:获得设备的基本信息,如版本号、主机名等。
2)配置接口:获取或设置设备的某些配置值,如网络接口、工作模式等。
3)策略接口:获取或下发设备发挥作用的某些安全策略,如防火墙的五元组、WAF的防护规则等。
4)日志接口:存储和获取设备上传的日志和告警信息。
- 针对特定的一类设备,可以制定统一的协议标准。如防火墙,可以规定访问控制策略五元组的下发接口。