传统的网络安全防护方法不能完全满足未来数据中心网络安全防护需求,由此一种更为适用的防护方法——软件定义安全(SDS)应运而生。SDS是从软件定义网络(SDN)引申而来,它的核心思想是将虚拟的和物理的网络安全设备与它们的接入模式、部署位置解耦,抽象为安全资源池里的资源,统一通过软件编程的方式进行智能化、自动化的管理和使用,安全资源、网络流量、安全模型间通过开放的接口定义,灵活地实现了安全功能部署和安全能力的提供,从而完成虚拟和物理网络的整体安全防护。SDS可以分解为软件定义安全资源、软件定义流量、软件定义高级威胁模型,3个举措环环相扣,形成一个动态、闭环的工作模型。软件定义安全资源是在软件定义安全模式下,安全资源的配备由软件编程的方式管理。由管理中心对安全资源进行统一注册、管理,才能够实现后续的灵活使用。在虚拟计算环境下,管理中心还要支持虚拟安全设备模板分发和设备的创建。软件定义流量由软件编程的方式实现网络流量的转发控制,通过将目标网络流量转发到安全设备上,实现安全设备的逻辑部署和使用。软件定义高级威胁模型从各种设备上收集安全相关的事件、信息,通过预定义的算法进行自动化的整理和挖掘,实现对高级安全威胁甚至未知威胁的实时分析和建模,之后自动将分析结果通过调用流安全平台和安全资源池的相关接口再次应用于安全防护,从而实现一种动态、自动、快速的安全防护。SDS实现的关键在于如何使用安全资源池里的资源实现相应的安全功能,要全面覆盖现有的数据中心网络情况,需要采用以下两类关键技术。(1)基于SDN/Open Flow技术SDN思想将传统网络设备自带控制功能和转发功能分离,其中网络设备仅保留转发功能,构成转发层;引入全局网络控制器提供控制功能,构成控制层;并且应用程序可以调用控制器提供的API来构建网络,构成应用层。Open Flow协议是SDN架构的控制层和转发层间的第一个标准通信接口。将安全设备接入SDN的转发层,由应用层程序调用控制层API来设置转发层的转发表,基于这种流量转发的可定义性实现灵活的逻辑部署。(2)调用虚拟计算平台提供的API适用于闭源虚拟计算平台上的虚拟网络防护。这类平台上的虚拟网络设备通常采用传统的自主工作模式,不能通过设置转发表实现安全设备的部署和撤销。这里可以调用平台提供的API,通过将虚拟安全设备接入或断出虚拟交换机的方法,实现安全设备的灵活使用。通过编程的方式调用安全设备资源,SDS实现了一种灵活的网络安全防护,更加适用于情况复杂的数据中心网络。与传统的网络安全防护方法相比,SDS具有安全功能部署灵活简单、细粒度区分流量、安全防护范围动态调整、维护网络高可靠性、安全功能易于创新等特点。SDS框架能够支持物理与虚拟网络并存、多租户、易迁移、高弹性、自动化等特性需求,极大地减小了安全产品和虚拟化平台耦合度,将成为未来数据中心网络安全防护的有力支撑。同时SDS架构具备平滑升级能力,当网络层升级到SDN时,该方案能够结合SDN控制机制,实现安全能力的自适应业务编排,有力保障用户虚实结合网络环境下的安全防护要求。