軟件定義網(wǎng)絡(luò)(SDN)給了IT團(tuán)隊一個起沖突的新理由,有些人想建立自動化的、軟件定義的數(shù)據(jù)中心,而另一些負(fù)責(zé)安全方面的人員,只是一味地奉行“什么人也不信”的實(shí)用主義信條。
上述觀點(diǎn)是Gartner分析公司研究主任Eric Ahlm表達(dá)的。之前,他在悉尼召開的IT基礎(chǔ)架構(gòu)、運(yùn)營與數(shù)據(jù)中心峰會上做了題為“數(shù)據(jù)中心自動化對安全的影響”的大會發(fā)言。
Ahlm表示,“我們來看一下安全技術(shù),安全技術(shù)的設(shè)計出發(fā)點(diǎn)是不要聽外面來的東西怎么說。這一類安全技術(shù)系統(tǒng)是分立的系統(tǒng)”,這樣做有很多理由。而SDN的精髓當(dāng)然是另外有一個控制平面告訴硬件做什么,這是因為從敏捷性和更有效的資源利用方面來看這樣做常常有其可取之處。而安全團(tuán)隊習(xí)慣于采取非常謹(jǐn)慎的做法,更改再小的配置都是小心翼翼的,SDN因此是個挑戰(zhàn)。
對于安全團(tuán)隊目前慢悠悠的動作,支持SDN或Sdx的數(shù)據(jù)中心運(yùn)營團(tuán)隊肯定是受夠了。因此,他們一定會要求安全工具更易于實(shí)現(xiàn)自動化及需要更少的監(jiān)督。
如果他們這樣做了,那么安全團(tuán)隊就需要迎頭趕上。時下安全團(tuán)隊知道資產(chǎn)在哪、知道它們在做什么、知道如何監(jiān)視他們,也知道如何確保它們能夠收集合規(guī)范的、和用于鑒識目的的數(shù)據(jù)。但是,現(xiàn)代數(shù)據(jù)中心不時將安全控制放在另一個機(jī)器里,而且有必要時還會用突發(fā)容量(Burst capacity) 隔空補(bǔ)充本地容量,會在幾個云里轉(zhuǎn)一圈,然后回到本地的操作。現(xiàn)代數(shù)據(jù)中心一旦這樣做以后,安全團(tuán)隊就有必要學(xué)學(xué)新的技巧了。
Ahlm認(rèn)為圍繞這種潛在的沖突有兩種解決辦法
其一,安全團(tuán)隊繼續(xù)保留其選擇和控制的作用,但改變自己選擇的標(biāo)準(zhǔn),以確保未來的購買不會阻礙SDN和其他數(shù)據(jù)中心自動化工具的使用。
第二,服務(wù)器團(tuán)隊自己選擇安全工具,安全團(tuán)隊全力以赴做監(jiān)控、審計和調(diào)查。
而且,Ahlm還表示,SDN為安全專家提供了一些頗有意思的、新的可能性。他提出的一個設(shè)想場景是這樣的,檢測到了異常活動,有可能是對系統(tǒng)的攻擊。 這時,SDN可以容許網(wǎng)絡(luò)配置改變,攻擊者察覺不到配置有改變,但網(wǎng)絡(luò)配置改變后將攻擊者從目標(biāo)引開,將其引到一個蜜罐(Honeypot)系統(tǒng),蜜罐系統(tǒng)則捕獲數(shù)據(jù)做鑒識取證用。又或者,碰到可疑的網(wǎng)絡(luò)活動時可以動態(tài)地給相應(yīng)的數(shù)據(jù)包賦予網(wǎng)絡(luò)路由,進(jìn)行附加的安全控制,多一點(diǎn)點(diǎn)額外的處理,能更放心一些。
要充分利用這一類SDN附加安全的強(qiáng)大威力,就必須確保安全團(tuán)隊參與SDx的討論和對話,但Ahlm覺得,正在建立新型數(shù)據(jù)中心的部門需要確保不同團(tuán)隊的通力合作,原因很簡單,窩里斗的話無助于大家做事。
京公網(wǎng)安備 11010502049343號