軟件定義網(wǎng)絡(luò)(SDN)給了IT團(tuán)隊(duì)一個(gè)起沖突的新理由�����,有些人想建立自動(dòng)化的、軟件定義的數(shù)據(jù)中心��,而另一些負(fù)責(zé)安全方面的人員�����,只是一味地奉行“什么人也不信”的實(shí)用主義信條��。
軟件定義網(wǎng)絡(luò)(SDN)給了IT團(tuán)隊(duì)一個(gè)起沖突的新理由����,有些人想建立自動(dòng)化的�、軟件定義的數(shù)據(jù)中心,而另一些負(fù)責(zé)安全方面的人員����,只是一味地奉行“什么人也不信”的實(shí)用主義信條。
上述觀點(diǎn)是Gartner分析公司研究主任Eric Ahlm表達(dá)的���。之前��,他在悉尼召開的IT基礎(chǔ)架構(gòu)���、運(yùn)營與數(shù)據(jù)中心峰會(huì)上做了題為“數(shù)據(jù)中心自動(dòng)化對(duì)安全的影響”的大會(huì)發(fā)言。
Ahlm表示,“我們來看一下安全技術(shù)����,安全技術(shù)的設(shè)計(jì)出發(fā)點(diǎn)是不要聽外面來的東西怎么說。這一類安全技術(shù)系統(tǒng)是分立的系統(tǒng)”�,這樣做有很多理由。 而SDN的精髓當(dāng)然是另外有一個(gè)控制平面告訴硬件做什么�,這是因?yàn)閺拿艚菪院透行У馁Y源利用方面來看這樣做常常有其可取之處。而安全團(tuán)隊(duì)習(xí)慣于采取非常 謹(jǐn)慎的做法�,更改再小的配置都是小心翼翼的,SDN因此是個(gè)挑戰(zhàn)��。
對(duì)于安全團(tuán)隊(duì)目前慢悠悠的動(dòng)作�����,支持SDN或Sdx的數(shù)據(jù)中心運(yùn)營團(tuán)隊(duì)肯定是受夠了�。因此,他們一定會(huì)要求安全工具更易于實(shí)現(xiàn)自動(dòng)化及需要更少的監(jiān)督����。
如果他們這樣做了,那么安全團(tuán)隊(duì)就需要迎頭趕上���。時(shí)下安全團(tuán)隊(duì)知道資產(chǎn)在哪�����、知道它們?cè)谧鍪裁?��、知道如何監(jiān)視他們�����,也知道如何確保它們能夠收集合規(guī) 范的、和用于鑒識(shí)目的的數(shù)據(jù)��。但是��,現(xiàn)代數(shù)據(jù)中心不時(shí)將安全控制放在另一個(gè)機(jī)器里�����,而且有必要時(shí)還會(huì)用突發(fā)容量(Burst capacity) 隔空補(bǔ)充本地容量��,會(huì)在幾個(gè)云里轉(zhuǎn)一圈���,然后回到本地的操作?����,F(xiàn)代數(shù)據(jù)中心一旦這樣做以后�����,安全團(tuán)隊(duì)就有必要學(xué)學(xué)新的技巧了�。
Ahlm認(rèn)為圍繞這種潛在的沖突有兩種解決辦法
其一,安全團(tuán)隊(duì)繼續(xù)保留其選擇和控制的作用�,但改變自己選擇的標(biāo)準(zhǔn),以確保未來的購買不會(huì)阻礙SDN和其他數(shù)據(jù)中心自動(dòng)化工具的使用���。
第二���,服務(wù)器團(tuán)隊(duì)自己選擇安全工具,安全團(tuán)隊(duì)全力以赴做監(jiān)控�����、審計(jì)和調(diào)查��。
而且�����,Ahlm還表示�,SDN為安全專家提供了一些頗有意思的�����、新的可能性����。他提出的一個(gè)設(shè)想場(chǎng)景是這樣的����,檢測(cè)到了異常活動(dòng)��,有可能是對(duì)系統(tǒng)的攻 擊��。 這時(shí)���,SDN可以容許網(wǎng)絡(luò)配置改變,攻擊者察覺不到配置有改變��,但網(wǎng)絡(luò)配置改變后將攻擊者從目標(biāo)引開��,將其引到一個(gè)蜜罐(Honeypot)系統(tǒng)��,蜜罐系 統(tǒng)則捕獲數(shù)據(jù)做鑒識(shí)取證用�。又或者�����,碰到可疑的網(wǎng)絡(luò)活動(dòng)時(shí)可以動(dòng)態(tài)地給相應(yīng)的數(shù)據(jù)包賦予網(wǎng)絡(luò)路由��,進(jìn)行附加的安全控制��,多一點(diǎn)點(diǎn)額外的處理��,能更放心一 些����。
要充分利用這一類SDN附加安全的強(qiáng)大威力�����,就必須確保安全團(tuán)隊(duì)參與SDx的討論和對(duì)話����,但Ahlm覺得,正在建立新型數(shù)據(jù)中心的部門需要確保不同團(tuán)隊(duì)的通力合作���,原因很簡(jiǎn)單���,窩里斗的話無助于大家做事���。
