軟件定義網絡(SDN)給了IT團隊一個起沖突的新理由,有些人想建立自動化的、軟件定義的數據中心,而另一些負責安全方面的人員,只是一味地奉行“什么人也不信”的實用主義信條。
上述觀點是Gartner分析公司研究主任Eric Ahlm表達的。之前,他在悉尼召開的IT基礎架構、運營與數據中心峰會上做了題為“數據中心自動化對安全的影響”的大會發言。
Ahlm表示,“我們來看一下安全技術,安全技術的設計出發點是不要聽外面來的東西怎么說。這一類安全技術系統是分立的系統”,這樣做有很多理由。而SDN的精髓當然是另外有一個控制平面告訴硬件做什么,這是因為從敏捷性和更有效的資源利用方面來看這樣做常常有其可取之處。而安全團隊習慣于采取非常謹慎的做法,更改再小的配置都是小心翼翼的,SDN因此是個挑戰。
對于安全團隊目前慢悠悠的動作,支持SDN或Sdx的數據中心運營團隊肯定是受夠了。因此,他們一定會要求安全工具更易于實現自動化及需要更少的監督。
如果他們這樣做了,那么安全團隊就需要迎頭趕上。時下安全團隊知道資產在哪、知道它們在做什么、知道如何監視他們,也知道如何確保它們能夠收集合規范的、和用于鑒識目的的數據。但是,現代數據中心不時將安全控制放在另一個機器里,而且有必要時還會用突發容量(Burst capacity) 隔空補充本地容量,會在幾個云里轉一圈,然后回到本地的操作。現代數據中心一旦這樣做以后,安全團隊就有必要學學新的技巧了。
Ahlm認為圍繞這種潛在的沖突有兩種解決辦法
其一,安全團隊繼續保留其選擇和控制的作用,但改變自己選擇的標準,以確保未來的購買不會阻礙SDN和其他數據中心自動化工具的使用。
第二,服務器團隊自己選擇安全工具,安全團隊全力以赴做監控、審計和調查。
而且,Ahlm還表示,SDN為安全專家提供了一些頗有意思的、新的可能性。他提出的一個設想場景是這樣的,檢測到了異常活動,有可能是對系統的攻擊。 這時,SDN可以容許網絡配置改變,攻擊者察覺不到配置有改變,但網絡配置改變后將攻擊者從目標引開,將其引到一個蜜罐(Honeypot)系統,蜜罐系統則捕獲數據做鑒識取證用。又或者,碰到可疑的網絡活動時可以動態地給相應的數據包賦予網絡路由,進行附加的安全控制,多一點點額外的處理,能更放心一些。
要充分利用這一類SDN附加安全的強大威力,就必須確保安全團隊參與SDx的討論和對話,但Ahlm覺得,正在建立新型數據中心的部門需要確保不同團隊的通力合作,原因很簡單,窩里斗的話無助于大家做事。
京公網安備 11010502049343號