为期三天（8.31-9.2）的华为全联接大会（HUAWEI CONNECT 2016）已于上周圆满落幕。作为闭幕式的最后一场，华为与9月2日下午特别发布云数据中心SDN安全解决方案，以期帮助云租户提升云业务防护效率。

转向云架构，安全成短板

云计算及其应用在迅速地改变着我们的业务形态，也带来商业模式的变化。然企业数据中心在转向云架构时，不得不直面最大的风险——安全问题。传统环境中，企业逻辑上默认是可信的，数据在企业内部，系统部署在数据中心，企业有清晰的网络安全边界，并在边界部署防火墙做隔离，通过可控的安全策略进行管理。然而入云后，随着基础设施提供方的改变，原有的边界悄然崩塌，对企业来讲，更多地要考虑租户安全如何得到保证、不同业务之间的访问权限以及不同的控制边界。

同时，业务也在变化。以往的业务是静态的，重构整合中，业务能部署在共享的技术架构上，进入云时代传统的静态安全已不能很好地适应业务的动态变化。

此外，威胁更是以前所未有的速度在变化演进着，随着大量的信息处理、联接、存储在云中，这也意味着将有大量不可靠的节点通过网络连接到云上，最终威胁都会联到云上去，带来极大的安全风险。

华为云数据中心SDN安全方案：SDN是关键

据华为企业网络产品线安全网络总经理刘立柱介绍，华为在通过SDN技术和方法打造面向云数据中心架构的安全时，致力于打造一个软件定义的安全解决方案。华为云数据中心SDN安全方案是基于华为敏捷数据中心网络解决方案实现的端到端的安全解决方案，华为提供应用层、管理和编排层、控制层相关等组件，安全设备作为数据面组件通过API接口与之对接，从而实现端到端的资源及业务调度。

在应用层，提供12类安全VAS服务，全方位覆盖主机安全、网络安全、数据安全、应用安全和管理安全服务，服务采用在线超市模式，用户可按需购买。

在管理和编排和控制层，安全资源按需、按业务自动发放，基于租户按需编排安全服务次序，对安全资源进行池化，具备最大2.5Tbps软件安全集群能力，自动scale in/out，对安全策略进行自动化生成和管理，实现分钟级发放。同时以大数据智能分析实现精准检测，保持对全网安全态势的实时感知和监测，精确分析威胁渗透和黑客远程控制。

在数据面，采用边界-租户-VM微隔离三级纵深防御。在数据中心边界部署数据中心防火墙、Anti-DDoS等多种安全设备，实现大流量、多业务的安全防护。在租户边界，集中部署硬件防火墙USG6000池或软件防火墙USG6000-V池，将租户之间的南北向流量引致防火墙进行安全防护。在租户内部，基于Host分布式部署USG6000V（可基于vSYS为多个租户做内部东西向流量过滤、VM主机隔离）。

总的来讲，华为打造的SDN安全方案具备可控、可管理、可软件定义三个方面的弹性，且面向自动化、面向可被分析的大数据安全，为企业拥抱云、融入云减少后顾之忧。