如今說(shuō)起軟件定義網(wǎng)絡(luò)SDN，在網(wǎng)絡(luò)世界可謂是無(wú)人不曉。這一起源于校園網(wǎng)絡(luò)的“創(chuàng)新”，如今已經(jīng)在數(shù)據(jù)中心等領(lǐng)域全面發(fā)揚(yáng)光大。然而不得不說(shuō)的是，SDN給數(shù)據(jù)中心帶來(lái)的不僅僅是靈活性、可編程、自動(dòng)化、低成本等諸多優(yōu)勢(shì)，還給數(shù)據(jù)中心的IT團(tuán)隊(duì)帶來(lái)了一場(chǎng)新的“爭(zhēng)論”，其中運(yùn)維管理團(tuán)隊(duì)被SDN帶來(lái)的自動(dòng)化創(chuàng)新深深吸引，而安全團(tuán)隊(duì)則對(duì)此表示擔(dān)憂。

 [[137164]]

安全團(tuán)隊(duì)對(duì)SDN帶來(lái)的改變表示擔(dān)憂

近日，在悉尼召開的IT基礎(chǔ)架構(gòu)、運(yùn)營(yíng)與數(shù)據(jù)中心峰會(huì)上，Gartner的分析師研究主管Eric Ahlm就發(fā)表了關(guān)于“數(shù)據(jù)中心自動(dòng)化對(duì)安全的影響”的主題演講。

當(dāng)前的安全技術(shù)，設(shè)計(jì)初衷不是由外部設(shè)備告訴它該做什么。Ahlm表示，出于多種因素考慮，安全系統(tǒng)通常被設(shè)計(jì)成為孤立的系統(tǒng)。然而在SDN的架構(gòu)下，所有的硬件設(shè)備都要聽從Controller(控制器)的指揮，旨在更敏捷、更高效地利用資源;相比之下，安全團(tuán)隊(duì)通常是小心翼翼，即使是很小的配置修改，也會(huì)非常謹(jǐn)慎。因此引入SDN，在安全團(tuán)隊(duì)看來(lái)是大改變、大挑戰(zhàn)。

當(dāng)然，支持SDN或SDX(軟件定義一切)的數(shù)據(jù)中心運(yùn)營(yíng)團(tuán)隊(duì)肯定希望安全團(tuán)隊(duì)能夠提速，特別是安全工具要變得更易實(shí)現(xiàn)自動(dòng)化，并減少人的操作監(jiān)管。

不過(guò)要實(shí)現(xiàn)這些，安全團(tuán)隊(duì)面臨的挑戰(zhàn)更大——當(dāng)前他們可以清楚的掌控企業(yè)的資產(chǎn)在什么位置，這些資產(chǎn)在用于什么，并且可以實(shí)時(shí)監(jiān)視、收集相關(guān)數(shù)據(jù)信息。但當(dāng)SDN引入數(shù)據(jù)中心，安全的控制由不同的設(shè)備在不同的時(shí)間掌控，甚至在流量峰值出現(xiàn)時(shí)，安全的資源還回到其它數(shù)據(jù)中心“轉(zhuǎn)幾圈”，再回到本地...。針對(duì)這一新挑戰(zhàn)，安全團(tuán)隊(duì)必須學(xué)會(huì)新的技巧。

針對(duì)上述挑戰(zhàn)，Ahlm認(rèn)為有兩種解決辦法：

第一，安全團(tuán)隊(duì)繼續(xù)擔(dān)當(dāng)其選擇和控制的角色，但要改變?cè)瓉?lái)的選擇標(biāo)準(zhǔn)，以便未來(lái)購(gòu)買時(shí)，不會(huì)拒絕SDN或其它的數(shù)據(jù)中心自動(dòng)化工具。

第二，讓服務(wù)器團(tuán)隊(duì)去選擇他們自己的安全工具，而安全團(tuán)隊(duì)則專注于監(jiān)控、審計(jì)和調(diào)查。

當(dāng)然，借助SDN，你還能看到有意思的創(chuàng)新解決方案，Ahlm舉例談到，當(dāng)我們檢測(cè)到一個(gè)針對(duì)系統(tǒng)的攻擊時(shí)，借助SDN可以改變網(wǎng)絡(luò)配置，而此時(shí)攻擊者是無(wú)法察覺到配置變化的，這樣即可將攻擊者從原有目標(biāo)上轉(zhuǎn)移，轉(zhuǎn)移到蜜罐系統(tǒng)之中，并保留數(shù)據(jù)以備取證;此外，針對(duì)可疑的流量，還可借助外部控制，修改其路由，從而提升安全性。

未來(lái)，SDN有望為安全帶來(lái)更多創(chuàng)新，因此企業(yè)的IT團(tuán)隊(duì)?wèi)?yīng)該團(tuán)結(jié)一致，特別是安全團(tuán)隊(duì)，需要盡快了解SDN、以及SDX技術(shù)，這樣才能真正提升企業(yè)的安全防護(hù)能力。