實現軟件定義網絡安全的方法之一是對網絡管理采用“零接觸”的方法。下面讓我們了解如何實現這種方法以及在這之前需要做出什么改變。

軟件定義網絡(SDN)是比較寬泛的術語，SDN對于不同的人意味著不同的東西。其中一個原始定義偏向于流量控制，網絡虛擬化和NFV通常也被認為是SDN;另一種SDN概念則側重于設備管理和配置，而通過SDN提供軟件定義網絡安全又是另一個主題。IT顧問Kevin Beaver詳細介紹了利用零信任的概念和通過網絡虛擬化的網絡分段。在這篇文章中，我們將探討如何通過擴展SDN來實現軟件定義網絡安全，我們還將解釋SDN為何需要一種新方法來保護SDN的管理。

網絡管理安全的現狀

在我們開始談論數據包之前，讓我們討論一個實際考慮因素——管理安全。在當今的數據中心中，網絡管理并不是重點，管理安全已經在近20年沒有改變。現在，網絡管理員仍然使用傳統身份和訪問管理(IAM)工具來控制及記錄對網絡設備的訪問，在以設備為中心的模式中，這似乎過于復雜。

在以設備為中心的模式中，安全管理員通過TACACS+部署設備級權限，TACACS+可能會綁定回LDAP。高級環境可能部署基于角色的安全，以提供對網絡功能不同級別的訪問。這里的挑戰是，這種方法并不會考慮目的是什么。這里需要大量工作來綁定設備級權限以符合管理員的特定要求。例如，初級管理員有權限創建VLAN來支持通用應用，然而，初級管理員不應該有權限在相同交換機上創建從非安全區域到PCI區域的路徑。

軟件定義網絡安全

解決上述安全問題的方法之一是對網絡更改采取零接觸的設計。Facebook和谷歌等大公司已經不再通過工程師登錄到單個網絡上來進行網絡變更，畢竟這種技術并不適合企業級數據中心。為此，筆者采訪了Matt Oswalt，他正在牽頭做一個名為Testing on Demand Driven(ToDD)的開源項目，ToDD允許網絡工程師測試網絡配置更改，Oswalt將ToDD視為機器中的螺絲釘，以實現SDN自動化。

在未來，SDN控制器和配套應用及工具將支持零接觸的配置策略。基于模板的配置將取代基于設備的規則和配置，對配置的驗證將通過集中管理和安全審計工具來實現。管理員將不再通過命令行(CLI)界面來配置設備，而將通過集中編排工具進行更改，這些工具會驗證提議的更改是否符合企業數據安全策略。

在零接觸技術以及軟件定義網絡安全廣泛普及之前，我們還有大量的工作要做。除了技術挑戰，現有網絡管理員和工程師的心態也需要改變。企業將需要拋棄現有網絡變更管理和安全的概念，以完全支持自動化以及更高的安全標準。