《软件定义安全》之五：软件定义的安全架构

第5章 软件定义的安全架构

1.软件定义安全架构

安全控制平台，主要负责安全设备的资源池化管理、各类安全信息源的收集和分析、与客户业务系统对接，以及相应安全应用的策略解析和执行。
安全应用是根据特定的安全需求所开发的程序，它利用安全控制平台的开放API实现相应的安全功能。
开放安全设备就是传统的网络和主机安全设备，如防火墙、IPS等，它们逻辑上都会在安全控制平台的管理下，形成各类资源池，对外提供相应的安全能力。

1.1 安全应用

安全应用的种类多种多样，如Web安全、访问控制或DDoS防护等；交付形态也呈现出多样性，如一个Web服务，或一个Web管理系统，甚至可以是一段Shell脚本。这些应用可以由安全企业开发，通过互联网下载到安全控制平台上；也可以由有开发能力的用户企业的运维团队开发。
因为安全控制平台提供了开放接口，所以安全应用可以调用安全控制平台的北向API。利用平台开发的接口，应用开发就比较方便，当平台提供的接口丰富而强大时，开发者很容易就拼装出可实现复杂逻辑的安全功能。
应用本身也可以对外提供接口，这样一个应用可以调用其他多个应用的功能，形成服务的编排，完成更复杂的业务流程。

1.2 安全控制平台

安全控制平台在软件定义安全架构中可以被看作一个安全操作系统，北向提供应用接口，南向提供设备资源池，隐藏了底层各类不同厂商的安全设备。东西向可以松耦合的方式，与IT系统对接，获得资产及其他知识信息，并管理各类主体。
上述的不同功能通常是由独立的模块实现的，这些模块可以分布式地部署在多个物理节点上，安全控制平台负责调度、管理和这些模块间的通信。

1.3 开放安全设备

由于安全设备类型多种多样（硬件或者虚拟机），功能特点、部署模式和工作方式也各有不同，因此不太可能抽象出如OpenFlow的控制协议。但至少可以做以下两件事情。

1. 总结不同产品功能需求的共性，列出通用的应用接口

1）基本信息接口：获得设备的基本信息，如版本号、主机名等。
2）配置接口：获取或设置设备的某些配置值，如网络接口、工作模式等。
3）策略接口：获取或下发设备发挥作用的某些安全策略，如防火墙的五元组、WAF的防护规则等。
4）日志接口：存储和获取设备上传的日志和告警信息。

2. 针对特定的一类设备，可以制定统一的协议标准。如防火墙，可以规定访问控制策略五元组的下发接口。