软件定义安全系统架构包括哪些层次模块
软件定义安全系统架构包括以下层次模块:
资源池:资源池包含硬件资源、安全资源池以及业务资源池,硬件资源由服务器、存储设备、交换机和路由器组成,为虚拟化安全功能和业务提供虚拟资源。安全资源池由虚拟化的安全功能(即虚拟安全网元)和物理安全设备等组成。业务资源池安全设备接受来自交换机的流量并对该流量执行安全策略。虚拟安全网元可以根据业务需求,由网络控制及资源编排层的MANO实现安全功能的扩/缩容以及弹性伸缩。
网络控制及资源编排层:包含SDN控制器和MANO系统,负责对资源池的所有资源进行网络编排。SDN控制器根据来自安全控制层的策略,实现流量的编排、管理。MANO系统实现对安全功能需要的虚拟化资源的编排、管理,以及虚拟安全网元的生命周期管理。
安全数据分析层:安全分析器使用大数据、人工智能等技术,基于各虚拟网元及物理网元的安全日志、流量日志、文件、终端行为等多维度分析安全威胁,将安全分析结果转化为安全需求发送给安全编排器。另外,安全分析器可通过大数据关联威胁信息,图形化展示攻击路径,并且可以呈现个性化展示效果,例如可以基于运维视角的本地化展示,支持地图叠加、角色叠加等多种展示界面。
安全控制及编排层:根据来自安全服务层或安全数据分析层的安全需求,安全编排器将安全策略下发给相应的安全设备实现安全防护。安全编排器在向安全设备下发安全策略之前,应先将引流策略下发给SDN控制器,由SDN控制器实现流量的编排;如果现有的安全资源不能满足安全需求,安全编排器还需向MANO下发虚拟资源分配请求,以扩充所需的虚拟资源或者创建并启动满足特定安全需求的虚拟化安全网元。
安全服务层:安全服务层基于安全编排器、安全分析器提供的安全能力及安全数据向用户提供可定制化、可编程的安全服务,这些安全服务可集成在用户的最终应用中。用户可通过此功能按需购买安全服务。订购功能和服务通过API调用提交给安全控制器。安全编排器根据安全控制策略和用户需求实现安全资源的管理和编排,为用户按需提供安全服务,实现安全即服务(Security as a Service,SECaaS)。
安全管控系统:至少包含统一账号管理、认证管理、授权管理和审计管理,可将安全控制器、智能分析与可视化工具等统一纳入运营商的安全管控体系中。软件定义安全架构实现了安全设备软化、安全功能云化(池化)、安全智能化。软件定义安全改变了传统安全设备的部署和配置、安全威胁的分析和展示、安全服务及能力的开放手段。与传统安全架构相比,软件定义安全有如下优势。