软件定义安全（软件 Defined Security，SDS）是一种基于软件定义网络（Software Defined Network，SDN）思想发展而来的网络安全防护方法。其核心理念在于将物理及虚拟的网络安全设备及其接入模式、部署方式、实现功能解耦，底层抽象为安全资源池内的资源，而顶层则通过软件编程方式进行智能、自动化的业务编排和管理，以实现相应安全功能。

传统的网络安全防护方法通常是根据网络拓扑情况，手工在安全域边界串联或旁路部署安全设备，对进出安全域的流量进行监控。然而，当这种方法应用于复杂的网络环境时，如物理与虚拟网络共存的数据中心，会出现多种不适应性问题，包括安全设备部署繁琐、无法精细处理流量、安全防护范围僵化以及安全设备易成单点故障。因此，借鉴SDN的理念，SDS作为一种更灵活的网络安全防护方法应运而生，它在应对复杂网络的安全防护上表现出了更强的适应性。

SDS的工作机制可分为软件定义流量、软件定义资源、软件定义威胁模型三个方面，它们相互关联，形成了一个动态、闭环的工作模型。- 软件定义流量：通过软件编程实现网络流量的精细化定义及转发控制管理，将目标网络流量转发至安全设备，实现安全设备的逻辑部署和使用。- 软件定义资源：管理中心对安全资源进行统一注册、池化管理、弹性分配；在虚拟计算环境中，还支持虚拟安全设备模板的分发和设备的创建。- 软件定义威胁模型：自动采集、分析和挖掘网络流量、网络行为、安全事件等信息，实现实时分析和建模未知威胁，建立动态、闭环的安全防护。

SDS的具体实现框架包含四个层次：安全资源层、转发层、控制层、管理编排层。- 安全资源层：由不同形态的网络安全设备构成，兼容多厂商产品，接受统一部署、管理和调度，实现安全功能。- 转发层：即SDN网络中的基础设施层，负责根据控制器指令进行数据包转发。- 控制层：集中管理转发层和安全资源，根据业务安全策略下发调度命令。- 管理编排层：将安全功能需求转化为具体的资源调度策略，通过控制层下发，实现安全防护的智能化、自动化和服务化。

SDS通过软件编程方式调配安全设备资源，实现了灵活的网络安全防护框架。相较于传统方法，SDS具有以下特点：- 安全功能部署灵活简单- 细粒度区分流量- 安全防护范围动态调整- 维护网络高可靠性- 安全功能易于创新

SDS的技术实现依赖于SDN/Openflow技术和虚拟计算平台接口编排技术。前者适用于开源虚拟计算平台上的虚拟网络以及特定物理网络的安全防护，后者则适用于闭源虚拟计算平台上的虚拟网络防护。

随着虚拟化、SDN网络在数据中心的快速发展和完善，传统网络安全防护方法已显现出不适应性。为了满足新的网络安全需求，业界和学界正在积极开展SDS的研究和实践。