2013年5月16日第十四届中国信息安全大会在京召开，本届大会的主题是“信息安全新机遇——大数据，BYOD，SDN，云安全”。Juniper亚太区高级技术副总裁Andy Miller在大会上介绍了下一代数据中心安全和SDN发展方向。

　　Andy Miller：大家早上好。我到北京来在过去十到十一年中经常来北京，但是我的汉语还是非常糟糕，所以我只能用英文来演讲，要靠我的翻译给大家传递信息。

　　今天我给大家讲一下我们一些情况，然后我会谈一下在SDN方面的想法和战略，目前发生了什么样变化，在安全方面我们发生了什么样变化，然后把这些联系在一起，让大家有一个感性的认识，我们到底怎么样看到SDN的，另外安全在未来发展方向是什么样的。

　　Juniper是谁？可能有人不太熟悉，我们有15年历史了，我们在美国一家公司，我们过去15年中不管是电信，ATNT，还有其他一些大的银行或者是香港的股交所，纽约的股交所，等于这样大客户都有我们的产品，我们的产品工作在世界上很大的一些网络中，我们知道现在大家都在说软件定义的网络，其实在这一方面我们已经在过去十五年中一直在研究，包括在路由方面和交换方面，我们也做了一些不同的事情，我们建立了和开发了一些网络层面上的芯片，我们知道，我们的软件是会要定义和控制以及管理网络，像今天一样虽然软件做这些工作，我们也仍然需要一些芯片来支持，来保证你有一些控制点，在网络中有一些控制点能够在大规模的范围内来保证服务的质量。在大的吞吐量和大规模的流量上来控制网络，所以这实际上是软件和硬件的一个完美的结合，也就是说在中间这一部分我们所谓的系统，通过这些系统我们能够来提供基于SDN的服务。

　　SDN是一个非常有意思的东西，有的时候我们要退一步想一想，为什么？我们为什么要谈SDN，为什么我们要用SDN，这是一个趋势，可能这个趋势很快会消失，但是我们认为这个趋势不会消失的，我们认为这是有一些背后非常重要的原因，其中有一个重要的原因，就是这种灵活性。也就是说企业需要快速的灵活的来转变他们的网络，转变他们的一些应用，以及转变这些网络上运行的服务，要非常灵活的和敏捷的来转变。在过去可能要经过几年才能推出一个新的服务，现在已经缩短到几天的时间。如果我们想一想安全，可能需要一些新的安全的政策、策略，我需要立即推出这样安全策略或者是说要快速退出一些安全方面的服务。所以这个灵敏和敏捷是我们所需要的，如果我们有了敏捷性才能有更快的创新，才能找到更多的收入来源。

还有一个背后的原因，我们在谈SDN，就是推向市场的时间，以及大数据的充分利用。我们应该能够充分的利用大数据和分析工具，来充分的发挥业务的优势，这就需要新的技术和业务的架构。我们可以告诉你什么地方有这种堵塞，什么地方有问题，这都可以通过大数据的技术来找出。

　　还有一个重要的原因，就是我们的移动性。这也是我们谈论SDN的原因之一。在我们部署SDN的时候，我们可以使用现有的网络基础设施。我们可能不希望把我们现在的设备都换掉来去适应SDN的环境，我们不需要把所有的设备都进行升级或者是来使用新的一些协议，今天的网络已经运营的比较好了，现在的这个标准和现在的协议运行的很好，也有这种互操作性。我们相信我们不应该把它全部否定，而是应该基于现在的一些好的网络元素上面来继续发展我们的SDN。

　　当然我们在所有的过程中必须要保证它的安全性，包括在数据的转移过程中，还有我们把它从一个虚拟机移到另外一个虚拟机的时候都要保证它的安全性。

　　我们所关注的一些原则是什么呢？这些原则我不会一一赘述，但是我想首先就是把数据的前转和数据的控制，以及服务和管理来分开，所以我认为有四层，对于SDN网络来说有四层，管理、服务、控制和前转，这四层。随着时间的推移会有一些硬件专门化的硬件来针对这四层，有一些在网络的层面上你可能不需要一些前转，我们会用一些虚拟机来做一些服务。

　　第二，我们可能需要一些集中化的管理，我们需要一些云的支持，我们需要一些标准化的协议，使我们能够快速推出服务。另外一个就是，很多谈的SDN说法，就是关于数据中心，他主要关注的是一个简单的问题，而针对的是有一个大的数据中心的企业，但是我们认为SDN范围更广，SDN实际上就是服务提供商，怎么样来提供服务，在网络的边缘提供服务。一个企业怎么样利用基于云的服务，而且他是用不同的网络和不同的网络位置，用不同的设备来使用这些基于云的服务。也就是说SDN它不是我们简单的一个模型，它是更宽泛的一个范围更大的概念。

　　我们看一下数据中心，我们看一下我们所经历的一些变化，可能大家现在有一些已经在变化了，还有一些将会面临着这样变化。我们从左到右看一下，我们在现在可能过去或者昨天有一些物理的服务器，然后物理的分割，会有人告诉你，我们在走向虚拟化，但是我相信这个虚拟化实际上是一个比较长的时间。

　　另外我们的业务流也在不断的变化，业务流由过去是从东到西的，从一个数据中心到另外一个数据中心的，而现在发生了很多的变化。因此我们的安全业务流不断发生变化，另外一个不断发生变化是危险和威胁的变化，也就是在安全的方面的一些变化，现在很多的威胁，都是针对于应用的攻击，我们要看到那些攻击往往是全球的，我们怎么样来保证我们的基础设施能够保护我们，在全球的范围内保护我们。

　　我们现在看一下统计数字，关于数据中心攻击的，世界上几乎每一个公司都会受到通过网络应用来受到攻击，也就是说网络应用实际上是攻击发生最多的地方。另外53%的攻击都是外部的，他们针对的就是数据中心。像LT的一些设备，还有防火墙已经不足够了，我们需要看一下整体的基础设施，这也是SDN技术可以帮助我们的。

　　Juniper正在做什么呢？我们知道这些问题，有一些技术可以解决这些问题，比如说SDN的技术，所以我们现在在做的是全球攻击者数据库，我们可以收集全球的关于攻击者的一些信息，不管这些信息是放在什么地方，是在什么样环境中，是政府的网络中还是商业网络中，我们可以收集非常详细的信息，关于全球正在进行的攻击的一些信息，以及攻击者信息，我们进行收集，并且建立全球统一的数据库，这些数据库能够使我们知道，全球发生事故或者发生攻击的签名或者是地点，这样就有一个准确率非常高的数据库，准确率非常高的信息，它可以让我们最大程度的防止零日攻击。它的好处在于我们能够细化到某一点，细化到每一个攻击者。这不是说基于IT的地址来进行阻隔，而是能够追踪到每一个单个的攻击者，我们到底怎么样做到的呢？我们回到前面谈到的这些统计数据，73%的攻击都是来自于网络应用的，所以首先一点我们所做的产品，实际上这个是放在WEB应用前面的，几乎相当于一个蜜罐，这是一个高级版本的蜜罐，实际上来引诱哪些攻击者，我们引诱，让他们进行攻击，让他们认为他们的攻击已经成功了。而在这个过程中我们就记录着攻击者的信息，我们记录着它的指纹，以及他的所有的信息，这些信息又会放到我们的全球攻击者的数据库中，同时也实时进行更新，这些信息在进行更新，并且和其他产品进行共享，在全球范围内进行共享。

　　另外还有其他的一种安全方面的产品，这个攻击已经有很多年的历史了，在我们谈到这个攻击的时候会想到很大量的洪水或者说一些业务流堵塞了我们的网络，这是一个非常快速的并且大量的一种攻击，但是我们现在看到一种新型的攻击，它的速度更慢一些，花的时间更长一些，可能会花几周的时间或者几个月的时间来进行攻击，它是慢慢的渗透的这样一些攻击，所以我们做了一些技术来检测到这种类型的攻击。而且我们是把时间延长了，我们知道能够检测出这些攻击，并且把它的信息和我们刚才所说的攻击者数据库的信息进行匹配，并且来进行输入。而且性能非常高，他可以处理40GB存储量的业务，此外还是自动更新的，从我们刚才上面讲的有一个数据库，有一个应用安全产品，，我们还有一些服务网关的产品，在数据中心中，在网络中我们在控制那些业务流，传统的来讲，通常都是有防火墙扮演这个角色的，当然你还可以把防火墙放在那，他应该是比较高级的防火墙，他可以做一些保护。另外还可以用我们前面所说的全球攻击者数据库来支持，但是仅有这些防火墙是不够的，尤其是在虚拟的环境中，这些是不够的，所以我们需要有服务的网关进行控制，实际上我们把这种保护和安全放到了虚拟机器中，因为现在很多的业务都是在数据中心中的虚拟机之间来发生的，所以我们确实需要在虚拟的环境中进一步加强它的安全，所以防火墙就不够了，我们需要有更强的，比如说我们的SRX的服务系列网，这是我们另外一种产品。

　　我来总结一下上面所说的四个，一个是攻击者数据库。一个是WEB安全产品，还有SRX的控制网关，所有这一些都是可以在虚拟环境中进行全面保护的。我们再看一下SDN的安全机会，我们在这里谈的是安全变得越来越分散化，而且变得越来越复杂。我们从全球的网络中收集数据，这是一个大数据的时代，SDN可以作为一个控制的机制，来对这些数据进行管理。SDN让你有一个集中化的管理和控制，并且把它的更新推送到不同的分散性的一些点上。我们使用的是大数据来进行收集和来进行分析，一部分实际上不止在数据中心中进行管理，而是作为全球的跨云的安全的解决方案。如果像我们Juniper这种方式，我们会得到很多的连接性，包括在虚拟环境，以及物理环境的连接性，其中一个挑战，就是如果你过去出现一个问题不知道在那儿，我们认为在网络中非常重要的问题，就是要找到这些问题和找到这些失败点，这种SDN的集中管理和控制能够完成这个任务。

　　对于很多的企业用户来说，他们有自己的数据库，还有自己的一些应用，而这些应用可能分散在多个云中，可能在谷歌的服务器上或者在你自己的数据中心中，你可以利用托管的环境，在未来数据中心将是非常分散化的，安全的控制也应该是分散化的，而适应这种环境，不光是这方面。另外还有SDN能够从用户的角度，从网络的角度，一直到云的环境中，以及数据中心来保证安全，而且建立这种连接性是端到端的连接性，包括中间的各个环节，所以实际上未来的安全部署，还有SDN，以及我们现有的一些网络之间的互相关联，而不止是在数据中心中，是所有欢迎中互相关联。

　　这里面有几个希望大家能够了解到的东西，实际上我们过去在谈到一些单一的产品，谁有最好的硬件，谁有最好的软件，谁有最好的产品，这些都是一些单一的产品，但是我们认为我们应该更全面的来看。因为安全是在各处都有的一个问题，而且是全球的问题，所以我们要做的就是来改变现在的一些安全的方法，有全局的这样一些思维考虑，要有一种端到端的安全解决方案，我们要有客户即网络，以及硬件、软件，以及虚拟环境中的全面的安全策略，还有统一的控制和统一的策略。Juniper我们正在这方面进行努力，我们已经推出了攻击者数据库，我们还有前面所讲到的一些产品，以及服务网关的产品，SDN我们认为是一个旅途，它是一个长期的过程。

　　SDN是一个更广泛的，更大的概念，他要来解决控制的问题，管理的问题，还有安全的问题。我们可以使用现在的网络设备，使用现在的协议，把它和网络以及云，以及虚拟环境联系起来，这是我们的关注重点领域，我们希望在你们的SDN的旅途中能够和我们进行合作，能够选择Juniper作为你们的合作伙伴，谢谢。