華為構筑軟件定義的“云網(wǎng)邊端”立體防御體系

2022年8月，IDC2022 CSO全球網(wǎng)絡安全峰會（中國站）在上海隆重開幕，本屆大會以“聚力數(shù)據(jù)安全賦能企業(yè)現(xiàn)代化”為主題，吸引了超過650位CIO、CSO以及CISO通過線上線下的形式參會。華為數(shù)據(jù)通信產(chǎn)品線安全產(chǎn)品領域副總裁王振華先生受邀出席大會主論壇高峰對話和軟件定義安全訪問分論壇，并發(fā)表《軟件定義“云網(wǎng)邊端”立體防御體系，護航企業(yè)數(shù)字化生產(chǎn)力》主題演講，分享數(shù)字化轉型加速背景下，華為在軟件定義安全訪問領域的積極探索和實踐：通過云端智能運營、全網(wǎng)縱深防御、邊緣智能運維、端側可信訪問，構筑軟件定義的“云網(wǎng)邊端”立體防御體系，構建數(shù)字化時代的網(wǎng)絡安全防線。

萬物互聯(lián)、業(yè)務上云、數(shù)據(jù)融合，

持續(xù)沖擊現(xiàn)有網(wǎng)絡安全防護體系

數(shù)字化轉型的典型特征是移動化、業(yè)務云化和數(shù)據(jù)融合：越來越多的物聯(lián)終端自由接入，連接無處不在；越來越多的業(yè)務遷移上云，應用無處不在；越來越多的數(shù)據(jù)融合，服務無處不在。所有這些都給業(yè)務系統(tǒng)安全帶來更多不確定因素。然而，現(xiàn)有安全防護體系大多表現(xiàn)為分散割據(jù)化、應用封閉化、硬件盒子化，終端、網(wǎng)絡、云、應用等場景化安全方案各自為戰(zhàn)，互相之間不兼容、不聯(lián)動，猶如散兵游勇不成陣勢，缺乏宏觀戰(zhàn)略把控和整體布控。整體安全防線岌岌可危，防御模式亟待重新定義。

軟件定義“云網(wǎng)邊端” 立體防御體系，

打造一體安全

站在新IT架構的角度思考重構安全，華為認為，通過軟件定義安全云服務實現(xiàn)安全能力即訂即用、軟件定義集約化安全資源池實現(xiàn)安全業(yè)務靈活編排、軟件定義邊緣安全實現(xiàn)多分支安全互聯(lián)、軟件定義邊界安全實現(xiàn)持續(xù)風險評估和動態(tài)逐次授權，從而構筑軟件定義的“云網(wǎng)邊端”立體防御體系，是數(shù)字化時代構建網(wǎng)絡安全防線的積極探索。

軟件定義邊界安全：

終端接入全面感知管控，構建零信任接入訪問安全體系

隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術的融入，軟件定義邊界安全不再局限于內(nèi)網(wǎng)，而是要擴展到移動辦公網(wǎng)和物聯(lián)網(wǎng)，通過軟件定義相關技術實現(xiàn)針對辦公終端、移動終端和物聯(lián)終端的安全訪問。終端側針對辦公終端、移動終端和物聯(lián)終端，采用終端標識，終端可信準入驗證，實現(xiàn)終端零信任；用戶側對訪問主體進行統(tǒng)一身份標識、可信身份驗證，實現(xiàn)身份零信任；網(wǎng)絡側采用智能檢測技術進行全面威脅檢測與防御，實現(xiàn)流量零信任；應用側采取單一應用訪問方式對應用進行集中管控，實現(xiàn)應用零信任。由此構建起終端、用戶、網(wǎng)絡、應用四維零信任，實現(xiàn)終端接入全面感知管控。

軟件定義邊緣安全：

多分支安全互聯(lián)，基于云管理平臺的全網(wǎng)自動化智能運維

華為認為，軟件定義邊緣安全，即SD-WAN的安全，關鍵在于通過云管理平臺的集中編排和管理，提供靈活的WAN組網(wǎng)、智能運維和網(wǎng)絡及安全增值服務。傳統(tǒng)WAN鏈路都是跟著線路，怎么拉就怎么連。現(xiàn)在的SD-WAN，可基于云管理平臺，智能編排每一條業(yè)務流的走勢，實現(xiàn)隨需互聯(lián)、極致體驗和智能運維。隨需互聯(lián)就是要滿足全場景入云，IaaS云互聯(lián)一站式管理，SaaS云連接優(yōu)化體驗并提供豐富的安全能力，實現(xiàn)一網(wǎng)連多云。極致體驗就是通過智能的應用體驗保障，確保關鍵業(yè)務不丟包。這就需要一個聰明的大腦，指揮不同應用各行其道，軟件定義其訪問路徑。智能運維提供策略統(tǒng)一編排、故障一鍵定位和預測性維護，幫助用戶提升運維管理效率，實現(xiàn)拓撲一站式運維、故障定界、定位和診斷。

軟件定義安全資源池：

基于SRv6的安全資源池化，網(wǎng)安一體編排，協(xié)同防護

企業(yè)業(yè)務云化甚至多云場景下，安全能力以資源池的形式統(tǒng)一部署并以服務化的形式提供給企業(yè)租戶，可節(jié)約運營商投資和企業(yè)租戶投入。在面向IPv6+演進的過程中，華為通過安全服務SID化實現(xiàn)應用與安全SID映射、基于SRv6安全資源池實現(xiàn)安全業(yè)務鏈編排和按需引流防護、基于APN6應用感知實現(xiàn)威脅精準關聯(lián)溯源到設備、通過FlexE切片等IPv6+技術實現(xiàn)確定性安全訪問，針對租戶提供差異化安全服務，實現(xiàn)安全能力一體化編排和云網(wǎng)安協(xié)同縱深防御，大幅提升安全防護效果和用戶體驗。

軟件定義安全云服務：

安全服務SaaS化，構建智能運營服務體系

華為乾坤安全云服務解決方案是華為創(chuàng)新提出的基于云邊融合架構的SaaS化安全服務模式，好比是給專線購買的一份網(wǎng)絡安全保險。在云端提供全面安全能力按需訂閱，云端專家+自動化智能精準分析；在政府各委辦局單位、學校、醫(yī)院和重點企業(yè)等接入邊緣部署天關設備，作為安全防御節(jié)點，既對進出流量進行反病毒、IPS等深度安全檢測，同時上送安全日志及取證數(shù)據(jù)至安全云服務平臺，并執(zhí)行安全云服務平臺下發(fā)的防護策略。云端安全運維專家，提供安全威脅會診，明確的安全事件直接由云端自動化處置，可疑事件經(jīng)過云端精確判斷給出處置建議。在運營層面，建議由政府統(tǒng)籌統(tǒng)建部門（如大數(shù)據(jù)局）牽頭，聯(lián)合華為、本地智慧城市運營公司、合作伙伴和運營商多方共建，實現(xiàn)安全合規(guī)建設和安全監(jiān)管訴求標準化，降低安全整體投資，構筑安全新范式。

王振華介紹，“華為早在2000年便成立了網(wǎng)絡安全產(chǎn)品線，是國內(nèi)最早布局網(wǎng)絡安全的廠商之一。華為在根技術上的不斷創(chuàng)新和持續(xù)投入為華為安全產(chǎn)品和解決方案構筑起堅固的競爭壁壘，支撐防火墻、DDoS防御、入侵檢測防御和安全態(tài)勢感知等產(chǎn)品市場份額持續(xù)領先。近年來，華為逐漸加大云上、端側和邊緣安全能力布局，逐步構建起覆蓋“云網(wǎng)邊端”的立體防御體系，為數(shù)字化轉型提供最好最可靠的安全保障?！?/p>