變化帶來不確定性,企業環境中虛擬化技術也不例外。對于虛擬化技術,很多企業對安全問題持懷疑態度,很多管理員想知道軟件定義網絡和其他虛擬架構會對他們的網絡安全帶來什么影響。
SDN的安全挑戰
從歷史上看,安全技術一直是以網絡為重點。雖然我們看到過不同的安全主題(例如保護信息和應用程序),“但大多數控制都部署在網絡層,”瞻博網絡安全業務部門戰略規劃副總裁Christofer Hoff表示,“隨著網絡變得虛擬化,我們沒有相同的功能或能力來部署基于網絡的安全控制。”對于很多企業來說,轉變安全方法來適應SDN環境說起來比做起來容易,這可能需要企業作出很多努力來確保在正確的位置部署正確的措施。
另外,運營問題讓這個問題變得更加復雜。Catbird公司首席技術官Randal Asay指出了一個潛在的挑戰:“與其他技術一樣,安全總是最后才會考慮的因素。”在過去,安全措施在傳統框架內很有效,并且是部署在單一層。但現在,隨著安全團隊部署相對較新的技術,或者以新方式部署傳統技術,部署安全措施可能成為真正的挑戰。Asay表示,該領域的一些供應商正在努力協助企業過渡。
這種過渡可能是很艱巨的,但需要記住的是,很多問題都植根于現實中。那些負責網絡安全的人擔心“空中”資源的前景以及在生產環境創建政策,他們還擔心非安全人員構建防火墻規則或者部署其他網絡措施的前景。
VMWare公司網絡和安全業務部門產品營銷主管Rob Stuhlmuller表示,思維過程是很有意義的。“我擔心會失去控制,我需要這些控制來確保企業保持合規性。”失去控制(尤其是當這可能會對網絡造成負面影響)可能看起來是非常糟糕的事情。如果企業能夠更好地控制對這些虛擬環境的隔離—從底層物理基礎設施或者彼此隔離,可能幫助企業提高安全度。
除了造成運營問題和組織問題,學習完全不同的安全架構的任務可能本身也是一個挑戰。SDN承諾帶來的變化將是巨大的。Net Optics公司Net Optics Intergration高級副總裁Bob Shaw表示,他聽到業界領導在談論全新架構作為創建安全為中心的SDN模型,“不是考慮職能職責問題,或者企業設計的方式,他們會說,‘我們如何跨整個基礎設施設計安全?’,這是一個很大的問題。”
SDN如何提高安全性
虛擬化環境不只是帶來安全挑戰,它們也提供真正的解決方案。一方面,SDN帶來的自動化水平可能真正幫助改進安全態勢。很多人類所犯的措施可以通過虛擬化來避免(或者至少被緩解)。Hoffman解釋說:“你可以利用自動化幫助你獲得更好的可視性以及更簡化、優化的政策部署,無論是在物理、虛擬或兩者結合,同時,避免很多人為錯誤。”這減少了人為錯誤,還可能幫助企業減少安全泄漏事故,以及提高正常運行時間和可擴展性。
按照同樣的思路,Stuhlmuller指出了虛擬化可以通過使用配置文件來提高安全性,而不是使用政策。例如,當應用程序被停用時,與之相關的規則并沒有被刪除或修改。Stuhlmuller說道:“隨著時間的推移,這些規則會越積越多,人們并不會清理它們。”如果清除這些政策可能會帶來潛在的負面影響,IT企業很可能會保留它們。幾乎在所有時候,可用性都比安全性重要。但通過配置文件,與資產(例如虛擬機)相關的規則將會被刪除。每個變化都會在反映在整個環境,企業不再需要依賴于人員來查找和修改或刪除政策的每個實例。
如果部署正確的話,虛擬化帶來的靈活性能夠提高安全性。 Shaw表示:“你現在購買的任何安全設備,從你拆箱那一刻起,已經落后于最新技術18到24個月。”這種延遲可能帶來各種類型的安全威脅,但這也對運行虛擬化或軟件定義環境的企業是一個巨大的機會。“這讓他們能夠編寫快速新功能或新代碼,并部署它們,讓他們能夠應對新攻擊或新病毒,或者按照新方式來重新架構網絡。”
Asay強調說,虛擬化并不是全有或全無的方法。我們不能因為虛擬化進入企業環境,就丟棄經過時間考驗的硬件,例如防火墻設備。在展望未來的同時,仍然利用現在可行的技術,能夠幫助企業更好地確定他們的應用程序需求,而這反過來,會使SDN成為安全解決方案,而不是安全問題
京公網安備 11010502049343號