軟件定義網(wǎng)絡(luò)(SDN)給了IT團(tuán)隊(duì)一個(gè)起沖突的新理由，有些人想建立自動(dòng)化的、軟件定義的數(shù)據(jù)中心，而另一些負(fù)責(zé)安全方面的人員，只是一味地奉行“什么人也不信”的實(shí)用主義信條。

[[134634]]

上述觀點(diǎn)是Gartner分析公司研究主任Eric Ahlm表達(dá)的。之前，他在悉尼召開的IT基礎(chǔ)架構(gòu)、運(yùn)營(yíng)與數(shù)據(jù)中心峰會(huì)上做了題為“數(shù)據(jù)中心自動(dòng)化對(duì)安全的影響”的大會(huì)發(fā)言。

Ahlm表示，“我們來(lái)看一下安全技術(shù)，安全技術(shù)的設(shè)計(jì)出發(fā)點(diǎn)是不要聽(tīng)外面來(lái)的東西怎么說(shuō)。這一類安全技術(shù)系統(tǒng)是分立的系統(tǒng)”，這樣做有很多理由。而SDN的精髓當(dāng)然是另外有一個(gè)控制平面告訴硬件做什么，這是因?yàn)閺拿艚菪院透行У馁Y源利用方面來(lái)看這樣做常常有其可取之處。而安全團(tuán)隊(duì)習(xí)慣于采取非常謹(jǐn)慎的做法，更改再小的配置都是小心翼翼的，SDN因此是個(gè)挑戰(zhàn)。

對(duì)于安全團(tuán)隊(duì)目前慢悠悠的動(dòng)作，支持SDN或Sdx的數(shù)據(jù)中心運(yùn)營(yíng)團(tuán)隊(duì)肯定是受夠了。因此，他們一定會(huì)要求安全工具更易于實(shí)現(xiàn)自動(dòng)化及需要更少的監(jiān)督。

如果他們這樣做了，那么安全團(tuán)隊(duì)就需要迎頭趕上。時(shí)下安全團(tuán)隊(duì)知道資產(chǎn)在哪、知道它們?cè)谧鍪裁?、知道如何監(jiān)視他們，也知道如何確保它們能夠收集合規(guī)范的、和用于鑒識(shí)目的的數(shù)據(jù)。但是，現(xiàn)代數(shù)據(jù)中心不時(shí)將安全控制放在另一個(gè)機(jī)器里，而且有必要時(shí)還會(huì)用突發(fā)容量(Burst capacity) 隔空補(bǔ)充本地容量，會(huì)在幾個(gè)云里轉(zhuǎn)一圈，然后回到本地的操作?，F(xiàn)代數(shù)據(jù)中心一旦這樣做以后，安全團(tuán)隊(duì)就有必要學(xué)學(xué)新的技巧了。

Ahlm認(rèn)為圍繞這種潛在的沖突有兩種解決辦法

其一，安全團(tuán)隊(duì)繼續(xù)保留其選擇和控制的作用，但改變自己選擇的標(biāo)準(zhǔn)，以確保未來(lái)的購(gòu)買不會(huì)阻礙SDN和其他數(shù)據(jù)中心自動(dòng)化工具的使用。

第二，服務(wù)器團(tuán)隊(duì)自己選擇安全工具，安全團(tuán)隊(duì)全力以赴做監(jiān)控、審計(jì)和調(diào)查。

而且，Ahlm還表示，SDN為安全專家提供了一些頗有意思的、新的可能性。他提出的一個(gè)設(shè)想場(chǎng)景是這樣的，檢測(cè)到了異常活動(dòng)，有可能是對(duì)系統(tǒng)的攻擊。 這時(shí)，SDN可以容許網(wǎng)絡(luò)配置改變，攻擊者察覺(jué)不到配置有改變，但網(wǎng)絡(luò)配置改變后將攻擊者從目標(biāo)引開，將其引到一個(gè)蜜罐(Honeypot)系統(tǒng)，蜜罐系統(tǒng)則捕獲數(shù)據(jù)做鑒識(shí)取證用。又或者，碰到可疑的網(wǎng)絡(luò)活動(dòng)時(shí)可以動(dòng)態(tài)地給相應(yīng)的數(shù)據(jù)包賦予網(wǎng)絡(luò)路由，進(jìn)行附加的安全控制，多一點(diǎn)點(diǎn)額外的處理，能更放心一些。

要充分利用這一類SDN附加安全的強(qiáng)大威力，就必須確保安全團(tuán)隊(duì)參與SDx的討論和對(duì)話，但Ahlm覺(jué)得，正在建立新型數(shù)據(jù)中心的部門需要確保不同團(tuán)隊(duì)的通力合作，原因很簡(jiǎn)單，窩里斗的話無(wú)助于大家做事。