SDSec平台软件产品架构设计

1.SDSec系统平台架构的设计与实现

SDSec系统平台是以提供安全能力和编排为中心的PaaS软件，由安信华基于Openstack、ODL、OVN等云技术自主研发，可作为公有云或私有云环境下的软件定义安全平台、SecDevOps安全自动化运维平台和行业安全云平台，或作为企业级的云安全管理工具。

回顾云计算产业技术的发展，IaaS层虚拟化的逐步成熟，解决了过去使用物理计算集群所面对的资源提供者和使用者之间的耦合问题，一定程度上降低了交付安全能力和创造业务价值的门槛，但在安全能力开发、提供和运维方面表现一般。

随着Vmware，Openstack，NFV等云技术日益盛行，对安全能力的虚拟化为创造和交付虚拟化安全能力铺平了道路。因此我们提出了“SDSec软件定义安全、安全能力编排管理“的概念，围绕以安全能力编排管理为中心，打造安全能力交付的PaaS产品。

2.安全能力编排管理的价值

传统的业务系统运行方式，要求企业IT搭建运行环境，考虑网络、存储、配置、负载均衡、安全等一些列基础设置管理问题，其中的安全问题的解决占据了大量的企业IT成本。各种各样的安全设备的管理，需要大量的人力物力和时间。通过在安全设备虚拟化，使我们在解决安全问题时，不再需要购置大量的硬件设备，用户无需面对网络和设备的的管理复杂性，解除了对于安全运维的依赖，而运维人员仅需在平台自动化资源管理的基础上维护资源池稳定即可。

3.安全能力管理的服务模式

安全能力管理是SDSec系统平台的核心设计思路，包括安全能力抽象管理和服务链编排管理。

安全能力抽象模型适用绝大多数企业IT系统和基础安全能力，包括互联网安全能力、行业安全能力、物理网安全能力和大数据技术安全能力等等。

当然，不同业务可能会有不同的安全能力需求，如Web防火墙、数据库审计、外网访问防火墙需求等。SDSec系统平台相应设计了安全能力编排体系，对安全能力功能进行差异化、透明式的编排和管理。

在计算资源管理方面，SDSec系统平台对不同的计算资源进行统一池化，通过软件定义的方式提供标准的安全能力服务。公有云计算资源、IDC厂商、企业私有x86-64架构计算资源均可以作为SDSec系统平台计算资源接入。

总之SDSec系统平台的服务模式可以描述为，用户将任何安全能力运行于任何计算资源之上，按需灵活组合编排，提供给最终用户。

4.以安全能力和编排为中心的产品设计

SDSec系统平台以安全能力和编排为中心的产品设计理念体现在：

安全能力编排阶段，SDSec系统平台设计上支持从各种类型安全能力构建安全生产所需的安全功能，包括WAF、防火墙、防毒墙、日志审计等，以服务链编排形式定义安全能力的调用关系；

安全能力运行阶段，SDSec系统平台以软件定义的方式管理存储、网络、计算等各种资源，并在此基础上运行安全能力，为安全能力提供统一的、丰富的服务，构建高性能架构；

安全能力服务阶段，SDSec系统平台作为交付桥梁实现安全能力的构建和使用，即使是包含上百个独立安全能力的安全应用服务。企业也可以通过SDSec系统平台交付给最终用户部署使用；

SDSec系统平台希望以产品为纽带，构建由所有安全能力组成的相辅相成的整体——在互联互通的安全能力管理生态体系中，有人创造安全能力、有人使用安全能力、有人为安全能力提供超大资源保障。

5.SDSec系统平台的技术架构

SDSec系统平台是一套完整的PaaS平台解决方案，包括由安全能力控制、服务链编排结合而成的超融合技术架构，以及跨主机的安全能力控制台和资源控制台。系统技术架构示意图如下：

SDSec系统平台重点组件包括：

SDSC（安全能力控制台）：该组件主要包括安全能力管理，安全域管理，租户管理，服务链编排等功能，用户通过控制台，实现安全能力池化管理。

SDSI（安全能力控制器）：该组件是上层控制台和底层安全能力，网络服务，云服务之间的接口。通过SDSI实现安全能力统一业务编排与管理，并实现网络与安全深度协同实现策略联动，抵御威胁。通过安全能力智能提升网络威胁检测能力，实现从被动防御变为主动防御，全面提高网络威胁防御能力；依托安全控制器，实现处置智能，全面快速消除网络威胁，实现从单点防御到全网协防，将威胁损失降低到最小；并通过运维智能化自动完成基于业务驱动的策略生成与部署。

SDN控制器：该组件主要实现网络流量分类和导入、导出SDSec系统平台。

OVN（网络虚拟化）：该组件主要实现安全能力之间网络流量智能编排与调度，OVN在OVS现有功能的基础上原生支持虚拟网络抽象，例如虚拟L2，L3网络以及安全组。

Monitor（安全能力监控）：该组件提供系统运行是安全能力监测功能，可以精确监测每个安全能力的运行状况，实现安全从人工运维到智能运维，将运维成本节省80%以上。

Openstack（基础云资源平台）：安全资源池运行基础组件，提供云服务相关功能。

CLI（命令行工具）：系统辅助运维工具，提供给运维人员使用。