对于任何现代IT组织来说,保护企业网络和在线资产的安全至关重要。如今,关键业务功能对网络的依赖性不断增加,同时导致网络威胁激增。这给网络和安全团队带来了巨大挑战,这些挑战有时还相互冲突。他们需要设计并维护一个高性能、高可靠性且永不中断的网络,于此同时,还要确保此网络的合规性且能够抵御各种入侵和其他威胁。网络管理员-
为达到这些目标,一种常见的网络安全设计是将网络分割为受信任和不受信任的区域,并在DMZ环境(两个区域之间)中部署安全和网络监控设备。通过内嵌方式,安全设备可以评估在受信任和不受信任区域之间遍历的每个数据包,并积极防御或阻止入侵。
DMZ环境工具部署之传统方法
传统上,安全团队将安全设备按顺序内嵌于生产节点之间,如下图所示:
现在看来,这种部署方式却存在着一些挑战:
如果特定设备出现故障,将影响受信任区域中所有终端节点的网络连接;网络管理员-
数据中心生产流量可能会由于生产端口(通常为G或以上)与支持低带宽(G)的设备之间的带宽不匹配而下降;
所有流量均发送到这些设备,而非仅发送设备需要的流量;
若要进行任何设备修改(添加/删除/升级),必须计划维护时段,这同样会影响网络连接;
数据中心Internet出口,一系列网络功能设备,工作在主备模式,造成资源浪费;
一台设备故障会引起者一系列设备切换,切换存在风险;
DMZ区域的出口的负载均衡,和广域网加速功能模块存在同样问题;
办公网到数据中心的出口部分,语音,数据,视频流量需要拆分,目前只能通过多台硬件设备方式实现。网络管理员-
BMF +Dell EMC开放网络交换机
SDN时代的高可用、高可靠方案
采用Dell EMC与Big Switch公司推出的SDN解决方案,即Big Tap Monitoring Fabric(BMF)软件+Dell EMC开放网络交换机,可为客户提供基于软件定义网络的网络安全解决方案。Big Tap Monitoring Fabric体系结构包含以下组件:
群集,由BMF控制器组成的群集(硬件设备HA),可使用户能够轻松完成集中式配置、监控和故障排除。
Switch Light OS,Big Switch采用SDN实现的Switch Light OS系统,运行在交换机上,可通过ONIE加以部署。
开放式以太网交换机,“开放”一词是指以太网交换机以未装有操作系统的形式交付。Dell EMC自年起就向用户提供开放式网络交换机,这类交换机中采用的商用网络芯片与大多数现有交换机供应商采用的相同,并且已在超大规模数据中心网络中广泛部署到生产环境中。这类交换机随附了开放式网络安装环境(ONIE),用于独立于供应商自动安装第三方网络操作系统。网络管理员-
采用SDN的方式后,安全设备不再通过串行的方式进行部署,而是改为旁路的方式进行部署,如下图所示:
此解决方案支持在多台同一类安全设备之间实现负载均衡,以及基于策略链合的一系列安全设备,因此该方案可以解决在DMZ中部署安全设备所面临的关键运营挑战:
使用SDN分离安全和网络基础架构管理
SDN方案可解决传统方法面临的问题,它能够让网络管理员和安全管理员在生产网络中轻松部署和管理多个内嵌式安全或分析设备。此体系结构能够在生产网络中完全分离网络管理员和安全管理员之间的角色,安全设备以及管理工作流经这些设备的流量规则由安全团队管理,网络设备和相关管理工作则由网络团队管理。网络管理员-
最佳设备利用率、负载均衡和服务链合
SDN方案支持多个设备的链合以管理进出DMZ的流量,可以有选择地选取工具以管理出入的流量。对于超额订购的情况,可在多个低带宽设备之间对流量进行负载均衡。为了更好的利用设备,管理员也可以有选择地仅将必要的流量发送到安全设备。
高可靠性结构设计支持HA部署
生产网络高可用性:DMZ中通常会部署一对SDN控制器和交换机(“主动-主动”或“主动-备用”),不受信任的流量通过SDN交换机进入网络,接受连接到SDN交换机的多个安全设备的检测,然后再进入受信任的内部网络。这样做可以提供交换机冗余、链路冗余、控制器冗余以及安全设备冗余。网络管理员-
安全设备冗余:DMZ中的安全设备通常成对部署,以满足负载均衡和可靠性要求。SDN支持安全设备“故障时打开”和“故障时关闭”的部署模式。如果一个安全设备出现故障,SDN交换机会使生产链路的故障端口停止运行,并将生产流量强制定向到所有安全设备正常运行的另一交换机。
总体来说,基于SDN的网络安全解决方案可以在DMZ中实现无处不在的安全性,化解传统解决方案面临的挑战,降低成本,并实现以SDN为中心运营带来的便利性。网络管理员-
此解决方案旨在确保在网络出现故障时,最大限度提高可靠性,并满足安全管理员和网络管理员的高可用性要求。使用基于集中、可编程的SDN控制器的设计,不仅能够支持多团队运营管理,还能实现最高效的安全设备利用。