在移動(dòng)互聯(lián)、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)蓬勃發(fā)展的今天，網(wǎng)絡(luò)已經(jīng)遍及社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域，但是網(wǎng)絡(luò)威脅無處不在。一連串高危漏洞寫滿了2014年的時(shí)間卷軸，但這并未讓數(shù)據(jù)中心技術(shù)在前進(jìn)的路上倒下，尤其是在“互聯(lián)網(wǎng)+”這扇時(shí)代之門已經(jīng)敞開的時(shí)候，“軟件定一切”的實(shí)現(xiàn)更顯得尤為重要。但縱觀軟件定義數(shù)據(jù)中心的整條生態(tài)，軟件定義安全（SDS）恰似一場春雨姍姍來遲。

軟件定義安全“絕非炒作”

在Gartner列出的2014數(shù)字業(yè)務(wù)安全九大熱門趨勢中，軟件定義安全排在首位。這并不是炒作，軟件定義安全是數(shù)據(jù)中心發(fā)展到一定階段的必備之物，這又是為何呢？

數(shù)據(jù)中心正處于革命性轉(zhuǎn)變階段，而這次革命將完全改寫幾十年來人們對(duì)數(shù)據(jù)中心的認(rèn)知。究其核心，這一轉(zhuǎn)變是由“軟件”基礎(chǔ)設(shè)施的崛起而驅(qū)動(dòng)的。對(duì)于數(shù)據(jù)中心三個(gè)最重要的基礎(chǔ)設(shè)施，即：服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)設(shè)備，皆一準(zhǔn)備完畢，它們會(huì)讓數(shù)據(jù)中心變得更為靈活，更自動(dòng)化。在這樣一個(gè)大背景下，達(dá)成軟件定義一切的目標(biāo)就決不能缺少安全，因?yàn)樗F(xiàn)在好像一個(gè)“掉隊(duì)者”。

“掉隊(duì)”的原因可以歸納為三點(diǎn)：

第一，無法適應(yīng)防護(hù)邊界的改變。過去的防護(hù)方法通常是根據(jù)網(wǎng)絡(luò)的物理拓?fù)浜头?wù)器安全域，以手動(dòng)方式在安全域邊界構(gòu)建流量監(jiān)控設(shè)備，偵測可能遭遇的攻擊。但虛擬數(shù)據(jù)中心解藕了這種關(guān)系，不但安全設(shè)備部署和管理過程異常復(fù)雜，網(wǎng)絡(luò)防護(hù)的對(duì)象也可能在任何位置。

第二，防護(hù)體系已經(jīng)失效。虛擬化讓服務(wù)器的安全性變得“既更安全也更為不安全”，不同虛擬機(jī)之間的通訊不再經(jīng)過網(wǎng)絡(luò)交換機(jī)，傳統(tǒng)的入侵檢測設(shè)備因此而失效。而“黑盒子”為代表的硬件安全設(shè)備包括了硬件、OS、內(nèi)置安全軟件，也只有管理員操作界面，極少有面向應(yīng)用軟件的API，這無疑把安全硬件設(shè)備和應(yīng)用割裂開了。

第三，防護(hù)間隙的產(chǎn)生與危害。一些休眠的虛擬機(jī)將會(huì)最終偏離數(shù)據(jù)中心的安全規(guī)則，并引入大量的安全漏洞。如果虛擬機(jī)在部署補(bǔ)丁或更新防病毒軟件期間，未處于聯(lián)機(jī)狀態(tài)，它將處于不受保護(hù)的休眠狀態(tài)，一旦激活、聯(lián)機(jī)后將會(huì)立即受到攻擊。

軟件定義讓攻防“重上起跑線”

還記得嗎？當(dāng)云計(jì)算和大數(shù)據(jù)技術(shù)出現(xiàn)時(shí)，很多人都表示這離實(shí)際部署很遠(yuǎn)，但現(xiàn)在這些技術(shù)都已經(jīng)漸漸“平民化”。那么，當(dāng)軟件定義一切的時(shí)代已經(jīng)來了呢？

在Infonetics Research發(fā)表的《關(guān)于2014年SDN策略：北美企業(yè)調(diào)查報(bào)告》中，45%的企業(yè)將會(huì)在2015年在其數(shù)據(jù)中心生產(chǎn)環(huán)境實(shí)現(xiàn)SDN的部署，這一數(shù)據(jù)到2016年還將上升到87%。但在技術(shù)人員部署SDN的時(shí)候，新的安全威脅也會(huì)產(chǎn)生，人們掌握一種完全不同的安全架構(gòu)會(huì)很困難，而落后的產(chǎn)品架構(gòu)可能讓安全管理人員無法應(yīng)對(duì)這些威脅。其中，有一點(diǎn)需要你清楚，相同的開放接口和已知的SDN協(xié)議，簡化了的網(wǎng)絡(luò)編程，也為攻擊者提供了機(jī)會(huì)，網(wǎng)絡(luò)入侵的攻防可能會(huì)重新站在一條起跑線上。

趨勢科技出版的《演化的數(shù)據(jù)中心安全白皮書》中，很好的解釋了軟件定義時(shí)代的數(shù)據(jù)中心，同樣需要能夠適應(yīng)軟件定義的安全產(chǎn)品，這樣才能發(fā)揮軟件定義的優(yōu)勢，并解決由此所引發(fā)的新安全問題。而趨勢科技基于軟件定義安全設(shè)計(jì)的Deep Security可以幫上忙。

Deep Security通過SDN接口技術(shù)與VMware NSX實(shí)現(xiàn)無縫對(duì)接，這可以讓安全策略自由的從內(nèi)部私有云和公有云平臺(tái)之間移動(dòng)，管理員將能夠通過快速且高水平地自動(dòng)追蹤資源的技術(shù)。其次，Deep Security對(duì)休眠的虛擬機(jī)一樣可以監(jiān)控和管理，保持企業(yè)統(tǒng)一的安全基線，并實(shí)現(xiàn)自適應(yīng)的規(guī)則改變。另外，在不影響業(yè)務(wù)中斷的環(huán)境下，以最低的成本使用緊急的虛擬補(bǔ)丁保護(hù)企業(yè)核心應(yīng)用程序，消除防護(hù)間隙，防止數(shù)據(jù)泄露事件的發(fā)生。

軟件定義安全技術(shù)和產(chǎn)品上的創(chuàng)新也許剛剛開始，趨勢科技在Deep Security上的努力也只能算是我們應(yīng)對(duì)未來危險(xiǎn)的很小一部分。而如果軟件定義安全可以支持動(dòng)態(tài)安全域、隨心所欲的構(gòu)建和拆除系統(tǒng)保護(hù)、跨系統(tǒng)一致地執(zhí)行安全政策，無論它的位置如何，但又不必?fù)?dān)心性能，這些都是讓安全可以跟上數(shù)據(jù)中心奔跑的速度。

注釋：作者童寧現(xiàn)為趨勢科技(中國區(qū))業(yè)務(wù)發(fā)展總監(jiān)。