2016年10月22日，一场突如其来的DDoS攻击，使得美国半个互联网瘫痪，对互联网基础设施带来了灾难性的后果，再一次向人们敲响了警钟，在万物日趋互联的云时代，网络安全更加不容小觑!目前的技术能力无法做到预防攻击，也做不到检测所有攻击，因此我们的安全目标要聚焦在如何容忍安全攻击(Intrusion Tolerance)，在全网遭受大规模攻击情况下，互联网仍然能够提供基础服务。什么是“容忍安全”?让我们来一探究竟。

　　网络业务云化给安全带来新的挑战

　　OTT(Over The Top)业务向电信业务的侵蚀，使得运营商面临巨大的竞争压力，迫切需要面向云化转型以开辟新的市场。同时，随着大数据、云计算、5G技术的兴起，海量终端对网络的智能化、敏捷化、开放性也提出了新的诉求。新市场和新技术的发展，对运营商的网络安全也带来了新的挑战。主要表现在：

　　封闭体系向开放体系转型，安全边界模糊化

　　传统电信业务，所有组件都由厂商自定义，并提供所有的组件，安全漏洞和风险相对扩散的范围有限;网络拓扑封闭，边界非常清晰;电信业务仅供运营商内部调用，不对外提供定制化的业务。而云化场景下，组件将会由很多厂商和组织共同交付，使得整合第三方组件成为必然的主流选择，安全漏洞和风险变得无法预测，组件安全质量良莠不齐导致堡垒从内部被攻破的风险大大增加;电信业务全面迁移到云计算中心，不再通过清晰的安全边界来隔离和保护业务;电信业务会越来越开放，包括数据的开放、业务的开放都使得业务和物理接口误用、滥用的风险大增。

　　慢节奏的交付向敏捷交付转型，影响版本安全质量

　　传统电信业务普遍遵循产品开发的瀑布模型(通过设计一系列阶段顺序展开，每个阶段都会产生循环反馈)，通常按照一年2个版本的交付节奏。然而，这种交付已经难以满足云时代业务快速创新的需求。敏捷交付成为必然选择，每三个月甚至每个月就要出版本，这就增大了安全的风险，大量组件难以获得全面的测试和验证，只能在运营过程中发现漏洞，修复漏洞。

　　管理运营细粒度，故障定位、定界困难

　　传统电信业务可以通过清晰的层级模型，来定义从上到下、从大到小的模型架构，比如骨干、城域、接入等网络层次清晰，从而安全界定责任主体、位置清晰。云化业务后，运营管理的颗粒度更细，需要管理运营的实体数量(比如VM、海量物联网终端)呈指数级上升。如何快速的发现问题，快速解决问题，规避安全攻击，都给安全带来了巨大挑战。就像开篇提到的这次黑客攻击，就是黑客入侵并操控了数以百万计的摄像是等物联网终端，并组成僵尸网络发起攻击。

　　安全网络亟需演进以适应云时代转变

　　从上面我们要以看出，业务步入云时代，网络安全也要随之进步。我们认为，网络安全解决方案要从1.0时代步入2.0及3.0。

　　网络安全解决方案1.0

　　主要面对传统的电信业，由于系统是由一个一个的信息孤岛构成，因此，安全的主要目的是围绕如何减少系统漏洞，通过划定安全边界，做好系统隔离，加强认证鉴权控制，从而防止攻击的发生来进行。通常我们认为，在云计算之前的时代都属于以“保护”为目的的安全1.0时代。

　　网络安全解决方案2.0

　　在2.0时代，这个时代的代表技术就是威胁情报和安全态势感知，整个云计算流行的时代都可以认为是安全2.0时代。由于系统变得异常复杂，攻击手段层出不穷，安全保护也防不胜防。此时，核心的思想是以恢复技术为后盾，融合了保护、检测、响应、恢复四大技术，让攻击事件能够及时被发现。

　　网络安全解决方案3.0

　　网络安全3.0时代，也就是所谓“安全生存技术”时代，就是系统在攻击、故障和意外事故已发生的情况下，业务仍然具备能够提供服务的能力，能够利用“容忍”技术来解决关键系统的“生存”问题。在这个阶段，安全技术借鉴了拜占庭容错技术(Byzantine Fault tolerant)，演化成拜占庭入侵容忍(Byzantine Intrusion tolerant)安全架构。这是基于所有网络节点都不可靠的假设，但要达到最初设定的目标的技术设计。同时，伴随着SDN技术的兴起，为入侵容忍的安全生存提供了强大的技术支撑。在电信业务云化场景下，由于海量的开源和第三方组件被采用，这些组件必然存在大量的缺陷和漏洞，单个或者少数几个厂商也不可能全部消除这些缺陷。在云环境部署，攻击者的方法千差万别，任何组件都有可能成为侵入的突破口。任何组件都不能把自己的安全性建立在别人安全的假设之上。

　　理解拜占庭容错技术，有助于我们理解为什么拜占庭入侵容忍安全架构适合解决云时代的安全问题。其核心描述是拜占庭军中可能有叛徒，却要保证进攻一致，由此引申到计算领域，发展成了一种容错理论。“拜占庭假设是对现实世界的模型化，由于硬件错误、网络拥塞或断开以及遭到恶意攻击，计算机和网络可能出现不可预料的行为。拜占庭容错协议必须处理这些失效，并且这些协议还要满足所要解决问题要求的规范。”

　　因此，安全解决方案3.0正好契合了电信云化的场景，非常符合其业务特征，是解决电信业务云化的安全风险的钥匙。

　　用SDN+大数据+人工智能来建设拜占庭入侵容忍架构

　　在安全3.0的拜占庭入侵容忍安全架构中，大数据结合人工智能技术，能够智能的感知网络安全的态势，及时发现安全攻击，让整个云计算环境的安全事件透明可视。而SDN为入侵容忍提供了最完美的解决方案，SDN站在全局视角，统筹调配资源，及时部署策略，阻断攻击者与受害者的路径，引导受害者躲进安全加固的保护环境，从而保证了即使攻击发生，系统仍然能够生存，业务不会受损。

　　核心的解决思路就是，对于特征明显的攻击流量(通常是具体的协议类型、端口号、IP地址固定等，这种攻击占据了DDoS攻击流量的绝大多数)，由SDN下发策略给网络设备(路由器、交换机)直接掐断;特征不明显的慢速攻击(通常是应用层例如HTTP)， 借助基于7层协议分析的专业清洗设备掐断。

　　在这个体系架构下，核心的大数据+人工智能安全攻击检测将全网的数据汇聚在一起，完成了安全态势的感知，及时发现攻击的来源和目标。在SDN控制器、微服务治理中心的联合协同工作下，能够及时的响应攻击，从而完成了业务无损运作。

　　拜占庭入侵容忍在华为Anti-DDoS方案收益显著

　　华为一直致力于为全球2/3的人口提供网络通信服务，安全是整个网络建设最重要的核心目标。围绕着如何提供更加安全的解决方案，华为持续积累，Anti-DDoS方案也历经了从1.0到3.0的演变。

　　在网络安全1.0时代，华为提供了最强的DDoS防护设备，解决了在网络边界、入口、关键链路上的安全防护问题。在2.0时代，华为借助了大数据、人工智能技术，实现了在运营商层面的网络协同。随着安全攻击的国际化，华为的解决方案也在朝着3.0迈进，借助于SDN技术，通过运营商间的协同工作，来解决全网范围内的防攻击。

　　对比安全3.0的关键假设，我们可以看出，在新的安全架构下，假设攻击总是无处不在，任何一个网络都有可能被攻击，或者发起攻击，所以我们不会企图部署很多单点防护设备，而是让SDN控制器来协调全网防攻击行为。SDN生成的防攻击策略是全自动的，无需人为干预，效率大幅提升。由于任何网元设备都会参与到安全防攻击策略的部署，因此，哪怕某些网络或者网元被攻陷了，但是整个网络还是健康的。

　　借助于安全3.0架构，真正实现了全程全网的协同，达到了拜占庭入侵容忍系统的关键假设，那就是无论遇到什么样的攻击，整个网络不会彻底瘫痪。

　　由于摒弃了昂贵的DDoS网关型设备，而是采取网元采集数据+网元执行90%清洗任务+专业设备清洗10%清洗任务这种轻量级的方案，解决方案CAPEX比之前的安全1.0时代降低10倍以上;由于采取了全自动的安全策略编排与协同，OPEX也得到了巨大的节省。

责任编辑：hang