瞻博网络的SDN愿景

2013-08-14 |  作者:岑义涛 |  来源:独家 |  查看原文

摘要继云计算、大数据之后,SDN已经成为了当下最炙手可热的科技词汇之一。虽然OpenFlow还有很多缺点,虽然SDN业界存在不同的意见,但是仍然无法阻止SDN的巨大浪潮。网络就此被颠覆,变革的时代已经来临。在SDN重新定义网...

访谈背景:

继云计算、大数据之后,SDN已经成为了当下最炙手可热的科技词汇之一。虽然OpenFlow还有很多缺点,虽然SDN业界存在不同的意见,但是仍然无法阻止SDN的巨大浪潮。网络就此被颠覆,变革的时代已经来临。在SDN重新定义网络的时候,却鲜有人关注SDN能够给网络安全带来的变革,亦或是其可能带来的相关安全问题。SDN不仅是硬件和软件层面的分离,更重要的优势则是其给网络带来了前所未有的灵活性。

《网络世界》总编辑高辉与瞻博网络安全产品营销副总裁Michael Callahan合影

人物简介:

瞻博网络安全产品营销副总裁 Michael Callahan

Michael Callahan现任瞻博网络安全产品营销副总裁一职。在任职瞻博网络之前,Michael曾任惠普公司企业安全产品事务部产品及解决方案营销副总裁。通过惠普公司对TippingPoint公司的收购,时任TippingPoint副总裁,负责企业、区域及产品营销工作的卡拉翰,加入了惠普公司。而供职TippingPoint之前,他曾担任过CREDANT科技公司副总裁及营销总监。 Michael还在迈克菲(McAfee)公司担任过七年的市场营销工作。他本科毕业于俄亥俄州立大学,获工科学士学位;研究生毕业于南卡罗来纳大学,获工商管理硕士(MBA)学位。

SDN改变网络安全交付方式

高辉:现在SDN是业界最热的话题,但是与之相关的安全问题仍然是少有深入探讨。您如何理解SDN,以及SDN对网络安全所带来的影响?

Michael Callahan:从整体网络行业来看,很明显我们现在位于一个行业的转折点。现在网络互联出现了一个变化,就是我们要实现软件和硬件的分离,这是我们关注的重点。从现状来看,这种变化必定会实现,只是实现的速度和时间还不确定。但是它的驱动因素就是企业的需求。

第一个驱动因素,或者企业第一个需求就是安全方面的需求。企业在部署自己的SDN网络,包括虚拟网络时,首先会有安全方面的要求。首当其冲就是我们的防火墙需要改变,要能在SDN网络的服务链中嵌入一个安全服务。这一点非常重要,必须能够使企业更快地响应不断变化的网络和安全需求。当他们上线新的服务或新的应用时,要能很好地保护自己的SDN网络。

对于网络安全产品的供应商来说,必须能够提供可以运行在SDN网络上的安全服务,而且必须要能够对这种服务虚拟化,同时还必须找到一个办法进行控制。

瞻博认为,在SDN网络中,我们提供的服务首先要完成如下四个步骤:首先是集中网络管理,其次是能够抽取服务,再次是要对控制器进行集中化,最后则是进行硬件的优化。

目前第一步我们已经做到了,就是对网络管理进行集中化,由Junos Space管理解决方案完成。通过这个系统我们实现了管理平台的统一化。第二个就是抽取服务,在一个SDN网络环境中运行。对应的产品是JunosV Firefly,我们把防火墙从硬件抽取出来,在SDN的网络当中运行。第三个就是控制器的集中化。现在有一个产品叫Juniper Contrail,这个产品目前还处于Beta版本阶段,即将推向市场。我们通过它对控制器进行统一管理,提供SDN网络的服务。

在硬件方面,由于好多软件服务已经被抽取出来了,未来会持续对硬件进行优化,使它们在SDN网络中运行得更流畅。这个就是我们瞻博网络的愿景,以及目前的执行情况。

高辉:传统网络在转变为SDN网络之后,新网络对安全的需求会发生哪些变化?这些变化哪些是传统安全产品不能满足的?

Michael Callahan:许多传统的安全产品可能是基于硬件,或者少数基于软件。但是几乎都没有办法在一个SDN网络的虚拟化环境中运行,除非兼容性很好,否则这些产品在SDN网络当中肯定是用不了的。在这方面,瞻博网络花了大量的时间和资源来保证我们的产品在SDN网络中运行的可靠性。如果传统的安全厂商也想参与SDN网络转型潮流的话,肯定要对其产品进行升级或调优兼容性。如果他们不做的话,我觉得在未来他们能占有的市场份额会越来越小。

高辉:目前有基于开放标准的SDN解决方案,也有厂商专有的解决方案。那么安全产品如何去兼容或者是如何支持不同的SDN解决方案呢?

Michael Callahan:创建开放平台是最好的方法,现在我们的产品名字叫JVAE(JunosV App Engine),也就是叫JunosV应用引擎。这是一个开放的平台,同时我们会发布它的API。这样做之后,瞻博网络的产品可以在上面直接运行,其他的安全产品供应商也可以基于这个平台去编写他们的应用。我们的合作伙伴也会基于这个平台为客户量身定制一些应用。其实JVAE有点像苹果的App Store,所有API接口都是开放的,让应用开发者可以去编写一些应用,可以在苹果的平板或者是手机上运行。

因此JVAE也是一个开放的平台,通过这个平台可以提供一些SDN网络相关的服务。包括我们自己所有的安全解决方案在JVAE平台上都可以运行,其他安全产品供应商也可以根据平台的要求编写一些程序,包括安全服务、网址过滤和杀毒软件等等。还有一些合作伙伴和服务组织可以编写一些具体的应用,比如这个应用可能是针对北京某一个制药企业的安全应用都是非常具体的,这个也可以实现。

高辉:目前SDN的南向API有一些标准和协议,但是针对北向的API没有任何标准。现在Juniper的API和大家所关心的北向API之间是什么关系?比如用户想采用Juniper的安全产品,必须针对Juniper的API进行编写应用吗?

Michael Callahan:在JVAE这个平台上,用户不用去编程,所有的应用都是由安全解决方案的供应商去编程。比如选用我们的解决方案,我们就会来帮您编,如果选McAfee,他也会帮您编,如果用JVAE的话就会直接帮您编好,包括杀毒软件。在我们产品正式版发布之后,其实大家就可以享受到其他安全服务供应商伙伴基于JVAE引擎所编写的安全产品。

高辉:现在用户还有一个比较关心的问题,就是厂商锁定的问题。比如说采用Juniper SDN的交换机,使用了Contrail,再使用Juniper的安全产品是否存在厂商锁定的问题?

Michael Callahan:我想选择权还是在用户那里,用户会选择他认为最佳的解决方案。瞻博网络在SDN网络方面有业界最优的愿景,当然其他公司也有同样的想法,最后的选择权还是在用户。另外我澄清一点,首先我们认为在SDN网络方面,瞻博网络的愿景是最正确的选择。但是在安全这一块,我们提供开放平台,所有安全解决方案供应商都可以使用这个平台。无论它提供的是杀毒防火墙,还是网址过滤的服务。

快速、灵活的未来网络将会更安全

高辉:您曾经提到SDN在很大程度上降低和缩短新网络和安全服务的交付时间。那么SDN对于解决零日攻击有没有一些帮助?

Michael Callahan:因为SDN解决方案可以非常快速地进行部署,所以响应时间非常短。这样可以非常好地应对零日攻击。还有一点很重要,就是在阻击零日攻击方面,我们是业界唯一能够做到无签名阻止攻击的公司。我们利用专有技术Junos Spotlight Secure,它有一个攻击者数据库。无论攻击者想使用什么样漏洞侵入的手段去攻击一个应用,我们都可以在侵入之前直接禁止。攻击者数据库的信息是在我们SRX类产品当中获取的,再全部传到SDN网络上。也就是说,SDN网络本身并不能阻止零日攻击,SDN网络只是提供了这样一种识别攻击者进而阻止的功能。有了瞻博的技术之后(+微信networkworldweixin),既可以在传统硬件环境阻止零日攻击,也可在SDN的环境当中更加快速地响应。

高辉:实施SDN网络之后,SDN本身是否也会成为新的攻击目标?

Michael Callahan:这是完全可能的,哪怕任何新出现的技术都可能成为潜在的攻击对象。同时,任何可以去访问应用,或者进入某一环境的渠道都可以变成攻击对象。SDN网络也不例外,也可能成为攻击的对象。其实现在许多系统里面的Hypervisor本身就遭受过攻击,但是直接攻击Hyperviser去实现入侵的数量并不是特别多。

高辉: SDN环境下安全策略如何才能实现动态化和自动化?

Michael Callahan:上线一个服务的时候,把安全策略当作一个服务链进行编写,一旦部署之后就可以自动运行。就像VMware的Vmotion解决方案一样,虚拟机在服务器间迁移时,安全策略也同时迁移。

高辉:在安全领域您认为除了下一代防火墙之外还应该关注哪些方面?

Michael Callahan:现在企业碰到的最大问题是如何保护自己的网络应用免受攻击,至少在数据中心方面还没有比较好的解决方法。下一代防火墙,包括瞻博网络的防火墙产品,主要都是提供对应用的管理和控制,但是在数据中心内如何阻止攻击,我们认为光凭签名还不够,必须要直接对攻击者身份进行识别,从源头阻止。Junos Spotlight Secure产品就可以很好地阻止攻击者进入网络环境。它相当于一个云数据库,一旦攻击者被识别出来,信息就会进入数据库。当攻击者企图进入或攻击使用我们解决方案的其他网络应用时,系统就自动将其阻止。

高辉:现在安全领域的竞争非常激烈,您认为瞻博的安全产品现在面临最大的市场挑战是什么?会采取什么相应的策略?

Michael Callahan:对于瞻博网络来说,最大的挑战就是如何把我们的愿景和创新数据中心安全解决方案更好地传达给市场。对下一代防火墙方面大家炒作比较多,但是很多下一代防火墙解决方案并不能解决数据中心的安全问题。我们要持续地教育、引导市场,因为我们的产品能够很好地解决数据中心安全问题。

现在有越来越多的用户采用瞻博网络的数据中心安全解决方案,这部分营收在持续增长。而且用户也非常理解我们对数据中心安全解决方案的想法,确实也认为我们可以解决他们数据中心的安全问题。

SDN安全将朝高度定制化的方向前行

高辉:您认为SDN能够为网络安全带来哪些新的功能或者是创新?

Michael Callahan:就像我刚才举的北京药企的例子,有了SDN网络之后,我们可以对它的安全解决方案进行高度的定制化,基于这个企业,甚至一个行业特别独特的需求进行高度定制化。另外主要的形式就是通过开放的API接口,所有的供应商或合作伙伴都可以基于开放的平台来为他们进行高度定制化服务。

高辉:用户在应用安全产品的时候,方式和传统方式是否不同?因为传统的安全产品不太需要进行一些API的编程,可能是直接通过一些配置安装到网络当中。而新的SDN之后网络安全的模式是不是必须和一些应用、解决方案捆绑在一起,或是在调试之后才能应用到用户的网络环境中?

Michael Callahan:首先SDN目前还是处于愿景阶段,我们也是在愿景下一步一步执行,还没有谈到最终的阶段。但是对于用户来说,带来最大的变化就是使用的简单性。他们现在只要选择一个单一的控制器就可以直接去部署服务。比如直接选择一个防火墙,选择一个地址的过滤,或者是杀毒的应用就可以直接上线使用。他们完全无须针对API去进行编程,编程的工作就由供应商来完成。

高辉:您对SDN安全市场有怎样的预期?

Michael Callahan:目前SDN网络的解决方案并不多,最初阶段都是防火墙类的基础型服务。随着SDN网络的普及,会有更多安全服务的需求,未来将是应用的高度定制化。目前对安全服务有几个比较粗略的分类,比如防火墙服务、终端服务、地址过滤服务。我认为未来会划分得非常细,比如针对企业和组织高度定制化,提供非常具体的服务,这会完全改变整个安全服务的市场。也就是说,在未来很难找到哪一类服务能够适用于所有客户,一定是高度定制化的。

高辉:现阶段的SDN距离应用丰富起来还有一段距离。应用不丰富的话,对于用户来说,在采用SDN时就觉得选择比较少,可能没有适合的应用,间接导致市场发展缓慢。您怎么认为?

Michael Callahan:是的,我完全赞同你的意见。这个市场在初期发展不会太快,历史上的其他阶段也是这样。任何一项创新技术和解决方案出现后,也许不一定会被市场选择,一旦发现某个创新型解决方案确实能够很好地解决问题,我想市场可以快速向那里集中。虽然初期会慢一些,但是大家最终的选择也就是两三个。

我认为,许多企业首先是看作为供应商的愿景和企业自身的愿景是否匹配。可能有点像打赌,就是觉得你这个供应商的愿景值得我信任。现在很多企业认为瞻博网络提供的高性能网络愿景和他们的想法非常匹配,所以我觉得未来他们的一些选择也会倾向于我们的解决方案。

相关文章