如今说起软件定义网络SDN,在网络世界可谓是无人不晓。这一起源于校园网络的“创新”,如今已经在数据中心等领域全面发扬光大。然而不得不说的是,SDN给数据中心带来的不仅仅是灵活性、可编程、自动化、低成本等诸多优势,还给数据中心的IT团队带来了一场新的“争论”,其中运维管理团队被SDN带来的自动化创新深深吸引,而安全团队则对此表示担忧。
安全团队对SDN带来的改变表示担忧
近日,在悉尼召开的IT基础架构、运营与数据中心峰会上,Gartner的分析师研究主管Eric Ahlm就发表了关于“数据中心自动化对安全的影响”的主题演讲。
当前的安全技术,设计初衷不是由外部设备告诉它该做什么。Ahlm表示,出于多种因素考虑,安全系统通常被设计成为孤立的系统。然而在SDN的架构下,所有的硬件设备都要听从Controller(控制器)的指挥,旨在更敏捷、更高效地利用资源;相比之下,安全团队通常是小心翼翼,即使是很小的配置修改,也会非常谨慎。因此引入SDN,在安全团队看来是大改变、大挑战。
当然,支持SDN或SDX(软件定义一切)的数据中心运营团队肯定希望安全团队能够提速,特别是安全工具要变得更易实现自动化,并减少人的操作监管。
不过要实现这些,安全团队面临的挑战更大——当前他们可以清楚的掌控企业的资产在什么位置,这些资产在用于什么,并且可以实时监视、收集相关数据信息。但当SDN引入数据中心,安全的控制由不同的设备在不同的时间掌控,甚至在流量峰值出现时,安全的资源还回到其它数据中心“转几圈”,再回到本地...。针对这一新挑战,安全团队必须学会新的技巧。
针对上述挑战,Ahlm认为有两种解决办法:
第一,安全团队继续担当其选择和控制的角色,但要改变原来的选择标准,以便未来购买时,不会拒绝SDN或其它的数据中心自动化工具。
第二,让服务器团队去选择他们自己的安全工具,而安全团队则专注于监控、审计和调查。
当然,借助SDN,你还能看到有意思的创新解决方案,Ahlm举例谈到,当我们检测到一个针对系统的攻击时,借助SDN可以改变网络配置,而此时攻击者是无法察觉到配置变化的,这样即可将攻击者从原有目标上转移,转移到蜜罐系统之中,并保留数据以备取证;此外,针对可疑的流量,还可借助外部控制,修改其路由,从而提升安全性。
未来,SDN有望为安全带来更多创新,因此企业的IT团队应该团结一致,特别是安全团队,需要尽快了解SDN、以及SDX技术,这样才能真正提升企业的安全防护能力。