支撑软件定义安全架构的技术有哪些
支撑软件定义安全架构的技术有以下这些:
流信息收集和控制技术:很多异常检测的场景中,需要对网络中的访问行为进行实时分析;在安全检测、恶意攻击防护、DDoS清洗等场景中,则需要对网络的流量进行牵引、阻断和镜像。SDN技术为人们实现上述功能带来了巨大的便利性。在SDN环境中,安全控制平台可借助网络控制器,对全局范围内的网络流量进行收集。
标准化应用接口技术:随着Web应用的普及和相关开发中间件的成熟,现在谈的标准化应用接口,通常是面向Web的应用API。在很长一段时间内,如Visual Studio .NET、J2EE等大型开发环境使用Web服务(Web Service)作为组件之间的应用接口规范,Web服务主要是对远程方法调用的语法、语义进行规定,保证部署在不同主机、不同语言编译的程序都能统一、规范地进行远程调用,实现Web服务的功能。
分布式消息通信技术:分布式系统有很多类型,可以是面向计算的(如Spark和Storm),也可以是面向存储的(如Hadoop HDFS、AWS S3和OpenStack Swift)。即便是分布式计算,也分为实时的流式在线处理和非实时的批处理。但无论是哪种系统,都离不开节点间的通信,即分布式消息通信。利用分布式的消息通信机制,调用者无须关心有多少个被调用的模块,也不需要关心被调用的模块在何处,消息中间件可完成可靠路由、RPC调用和推送等功能。因此,它极大地简化了分布式系统的设计。
基于转发策略的监控策略分配技术:在众多应用场景下,转发策略和监控策略的制定会由不同的运维人员来完成,而两类策略也往往会有不同的设计目标,难以实现联合方式的分配。这类方式都是在转发策略给定的情况下,寻找监控策略在全网范围内部署的一个优化解。因此,设备原有的转发行为在策略分配过程中会保持不变,这样就避免了转发策略与监控策略联合分配方式可能引发的流量绕行所带来的带宽开销。
服务编排与服务链技术:软件定义安全的核心在于控制平面与数据平面的分离,多个安全应用的策略存在服务编排(Service Orchestration)问题。具体来说,每个应用可在独立的安全场景下下发安全策略,在控制平面形成相应的安全指令、网络指令和虚拟化指令,并分别向安全设备、网络控制器和虚拟化系统控制节点推送,这就涉及多个应用间的策略如何保证一致性的问题。那么该问题可分为3类,安全指令的一致性问题、虚拟化指令的一致性问题和网络指令的一致性问题。