华为构筑软件定义的“云网边端”立体防御体系

2022年8月，IDC2022 CSO全球网络安全峰会（中国站）在上海隆重开幕，本届大会以“聚力数据安全赋能企业现代化”为主题，吸引了超过650位CIO、CSO以及CISO通过线上线下的形式参会。华为数据通信产品线安全产品领域副总裁王振华先生受邀出席大会主论坛高峰对话和软件定义安全访问分论坛，并发表《软件定义“云网边端”立体防御体系，护航企业数字化生产力》主题演讲，分享数字化转型加速背景下，华为在软件定义安全访问领域的积极探索和实践：通过云端智能运营、全网纵深防御、边缘智能运维、端侧可信访问，构筑软件定义的“云网边端”立体防御体系，构建数字化时代的网络安全防线。

万物互联、业务上云、数据融合，

持续冲击现有网络安全防护体系

数字化转型的典型特征是移动化、业务云化和数据融合：越来越多的物联终端自由接入，连接无处不在；越来越多的业务迁移上云，应用无处不在；越来越多的数据融合，服务无处不在。所有这些都给业务系统安全带来更多不确定因素。然而，现有安全防护体系大多表现为分散割据化、应用封闭化、硬件盒子化，终端、网络、云、应用等场景化安全方案各自为战，互相之间不兼容、不联动，犹如散兵游勇不成阵势，缺乏宏观战略把控和整体布控。整体安全防线岌岌可危，防御模式亟待重新定义。

软件定义“云网边端” 立体防御体系，

打造一体安全

站在新IT架构的角度思考重构安全，华为认为，通过软件定义安全云服务实现安全能力即订即用、软件定义集约化安全资源池实现安全业务灵活编排、软件定义边缘安全实现多分支安全互联、软件定义边界安全实现持续风险评估和动态逐次授权，从而构筑软件定义的“云网边端”立体防御体系，是数字化时代构建网络安全防线的积极探索。

软件定义边界安全：

终端接入全面感知管控，构建零信任接入访问安全体系

随着云计算、大数据、移动互联网、物联网等技术的融入，软件定义边界安全不再局限于内网，而是要扩展到移动办公网和物联网，通过软件定义相关技术实现针对办公终端、移动终端和物联终端的安全访问。终端侧针对办公终端、移动终端和物联终端，采用终端标识，终端可信准入验证，实现终端零信任；用户侧对访问主体进行统一身份标识、可信身份验证，实现身份零信任；网络侧采用智能检测技术进行全面威胁检测与防御，实现流量零信任；应用侧采取单一应用访问方式对应用进行集中管控，实现应用零信任。由此构建起终端、用户、网络、应用四维零信任，实现终端接入全面感知管控。

软件定义边缘安全：

多分支安全互联，基于云管理平台的全网自动化智能运维

华为认为，软件定义边缘安全，即SD-WAN的安全，关键在于通过云管理平台的集中编排和管理，提供灵活的WAN组网、智能运维和网络及安全增值服务。传统WAN链路都是跟着线路，怎么拉就怎么连。现在的SD-WAN，可基于云管理平台，智能编排每一条业务流的走势，实现随需互联、极致体验和智能运维。随需互联就是要满足全场景入云，IaaS云互联一站式管理，SaaS云连接优化体验并提供丰富的安全能力，实现一网连多云。极致体验就是通过智能的应用体验保障，确保关键业务不丢包。这就需要一个聪明的大脑，指挥不同应用各行其道，软件定义其访问路径。智能运维提供策略统一编排、故障一键定位和预测性维护，帮助用户提升运维管理效率，实现拓扑一站式运维、故障定界、定位和诊断。

软件定义安全资源池：

基于SRv6的安全资源池化，网安一体编排，协同防护

企业业务云化甚至多云场景下，安全能力以资源池的形式统一部署并以服务化的形式提供给企业租户，可节约运营商投资和企业租户投入。在面向IPv6+演进的过程中，华为通过安全服务SID化实现应用与安全SID映射、基于SRv6安全资源池实现安全业务链编排和按需引流防护、基于APN6应用感知实现威胁精准关联溯源到设备、通过FlexE切片等IPv6+技术实现确定性安全访问，针对租户提供差异化安全服务，实现安全能力一体化编排和云网安协同纵深防御，大幅提升安全防护效果和用户体验。

软件定义安全云服务：

安全服务SaaS化，构建智能运营服务体系

华为乾坤安全云服务解决方案是华为创新提出的基于云边融合架构的SaaS化安全服务模式，好比是给专线购买的一份网络安全保险。在云端提供全面安全能力按需订阅，云端专家+自动化智能精准分析；在政府各委办局单位、学校、医院和重点企业等接入边缘部署天关设备，作为安全防御节点，既对进出流量进行反病毒、IPS等深度安全检测，同时上送安全日志及取证数据至安全云服务平台，并执行安全云服务平台下发的防护策略。云端安全运维专家，提供安全威胁会诊，明确的安全事件直接由云端自动化处置，可疑事件经过云端精确判断给出处置建议。在运营层面，建议由政府统筹统建部门（如大数据局）牵头，联合华为、本地智慧城市运营公司、合作伙伴和运营商多方共建，实现安全合规建设和安全监管诉求标准化，降低安全整体投资，构筑安全新范式。

王振华介绍，“华为早在2000年便成立了网络安全产品线，是国内最早布局网络安全的厂商之一。华为在根技术上的不断创新和持续投入为华为安全产品和解决方案构筑起坚固的竞争壁垒，支撑防火墙、DDoS防御、入侵检测防御和安全态势感知等产品市场份额持续领先。近年来，华为逐渐加大云上、端侧和边缘安全能力布局，逐步构建起覆盖“云网边端”的立体防御体系，为数字化转型提供最好最可靠的安全保障。”