隨著軟件定義網絡(SDN)自動化的出現,某些方面的利益點得到了越來越多的關注。比如網絡功能和服務器同步配置,通過該同步配置使得應用程序能夠在短短幾分鐘之內可用,而不是過去的耗時數天甚至數周。
盡管經常被忽視,但是SDN自動化仍然增強了網絡安全態勢,特別是通過監控和隔離的方式來保證網絡安全。
隔離
想象一下以下場景:你的安全團隊擁有監控并檢測數據中心惡意流量的基礎設施。結果,你發現了一個IP地址被盜用的服務器。同時,該服務器還在橫向盜用其他服務器并逐漸擴散到整個數據中心。阻止這種攻擊的最好方法是什么?
傳統的數據中心中,服務器管理員必須手動查找并刪除網絡中的機器。但隨著SDN自動化的到來,所有的機器都可以集中管理和識別,SDN管理員可以通過分配“檢測標記”來快速隔離服務器。
SDN解決方案中調用REST API的網絡遠程編程的能力,大大提升了該功能的性能,好處是你的安全設備可以很容易的與SDN解決方案集成。反之,安全設備可以通過API調用SDN解決方案,立即隔離被盜用的服務器。
最重要的是,SDN自動化減少了網絡中的惡意行為,這對于網絡維護至關重要,不僅構建了一個安全的網絡,還提供了安全的IT基礎設施。
監控
關于SDN自動化常見的誤解是,SDN自動化會造成網絡可見性被破壞或丟失。這種誤解是基于這樣一種觀念——目前使用的SNMP、syslog、NetFlow看不到網絡,這是一個錯誤的觀念。
事實上,SDN廠商想要利用現有的工具盡可能的集成SDN監控。考慮到這一點,他們用傳統數據中心常見的技術來對你的數據中心提供監控能力。換言之,SDN自動化可以在傳統數據中心里包含相同的監控工具。
另一方面,SDN廠商也認識到自動化提供了豐富的用于可視化并保護網絡當前狀態的數據。例如,自動化可以模擬一個穿越客戶機和服務器之間網絡的數據包。SDN解決方案可以通過路由器、交換機、負載均衡和防火墻跟蹤這個數據包,根據這些跟蹤的信息,可以發現網絡連接問題并且確定哪些網絡功能導致了這些問題。
自動化還可以識別出網絡中原本允許流量通過但實際上被阻塞的網絡區域。利用擴展視圖功能,通過自動化收集的網絡數據能夠提供網絡健壯性的實時視圖。
簡而言之,不要忽視SDN提供安全的潛力。SDN自動化擁有監控和隔離帶來的巨大的優勢,應該成為整體網絡和IT安全態勢的一部分。
https://www.sdxcentral.com/articles/contributed/enhancing-network-security-sdn-automation-rob-chee/2016/05/
京公網安備 11010502049343號