探索中国CIO人才现状 | 第四季调研报告
SDN如何提高安全性?
2014-01-22  作者:企业网D1Net 

  变化带来不确定性,企业环境中虚拟化技术也不例外。对于虚拟化技术,很多企业对安全问题持怀疑态度,很多管理员想知道软件定义网络和其他虚拟架构会对他们的网络安全带来什么影响。


  SDN的安全挑战


  从历史上看,安全技术一直是以网络为重点。虽然我们看到过不同的安全主题(例如保护信息和应用程序),“但大多数控制都部署在网络层,”瞻博网络安全业务部门战略规划副总裁ChristoferHoff表示,“随着网络变得虚拟化,我们没有相同的功能或能力来部署基于网络的安全控制。”对于很多企业来说,转变安全方法来适应SDN环境说起来比做起来容易,这可能需要企业作出很多努力来确保在正确的位置部署正确的措施。


  另外,运营问题让这个问题变得更加复杂。Catbird公司首席技术官RandalAsay指出了一个潜在的挑战:“与其他技术一样,安全总是最后才会考虑的因素。”在过去,安全措施在传统框架内很有效,并且是部署在单一层。但现在,随着安全团队部署相对较新的技术,或者以新方式部署传统技术,部署安全措施可能成为真正的挑战。Asay表示,该领域的一些供应商正在努力协助企业过渡。


  这种过渡可能是很艰巨的,但需要记住的是,很多问题都植根于现实中。那些负责网络安全的人担心“空中”资源的前景以及在生产环境创建政策,他们还担心非安全人员构建防火墙规则或者部署其他网络措施的前景。


  VMWare公司网络和安全业务部门产品营销主管RobStuhlmuller表示,思维过程是很有意义的。“我担心会失去控制,我需要这些控制来确保企业保持合规性。”失去控制(尤其是当这可能会对网络造成负面影响)可能看起来是非常糟糕的事情。如果企业能够更好地控制对这些虚拟环境的隔离—从底层物理基础设施或者彼此隔离,可能帮助企业提高安全度。


  除了造成运营问题和组织问题,学习完全不同的安全架构的任务可能本身也是一个挑战。SDN承诺带来的变化将是巨大的。NetOptics公司NetOpticsIntergration高级副总裁BobShaw表示,他听到业界领导在谈论全新架构作为创建安全为中心的SDN模型,“不是考虑职能职责问题,或者企业设计的方式,他们会说,‘我们如何跨整个基础设施设计安全?’,这是一个很大的问题。”


  SDN如何提高安全性


  虚拟化环境不只是带来安全挑战,它们也提供真正的解决方案。一方面,SDN带来的自动化水平可能真正帮助改进安全态势。很多人类所犯的措施可以通过虚拟化来避免(或者至少被缓解)。Hoffman解释说:“你可以利用自动化帮助你获得更好的可视性以及更简化、优化的政策部署,无论是在物理、虚拟或两者结合,同时,避免很多人为错误。”这减少了人为错误,还可能帮助企业减少安全泄漏事故,以及提高正常运行时间和可扩展性。


  按照同样的思路,Stuhlmuller指出了虚拟化可以通过使用配置文件来提高安全性,而不是使用政策。例如,当应用程序被停用时,与之相关的规则并没有被删除或修改。Stuhlmuller说道:“随着时间的推移,这些规则会越积越多,人们并不会清理它们。”如果清除这些政策可能会带来潜在的负面影响,IT企业很可能会保留它们。几乎在所有时候,可用性都比安全性重要。但通过配置文件,与资产(例如虚拟机)相关的规则将会被删除。每个变化都会在反映在整个环境,企业不再需要依赖于人员来查找和修改或删除政策的每个实例。


  如果部署正确的话,虚拟化带来的灵活性能够提高安全性。Shaw表示:“你现在购买的任何安全设备,从你拆箱那一刻起,已经落后于最新技术18到24个月。”这种延迟可能带来各种类型的安全威胁,但这也对运行虚拟化或软件定义环境的企业是一个巨大的机会。“这让他们能够编写快速新功能或新代码,并部署它们,让他们能够应对新攻击或新病毒,或者按照新方式来重新架构网络。”


  Asay强调说,虚拟化并不是全有或全无的方法。我们不能因为虚拟化进入企业环境,就丢弃经过时间考验的硬件,例如防火墙设备。在展望未来的同时,仍然利用现在可行的技术,能够帮助企业更好地确定他们的应用程序需求,而这反过来,会使SDN成为安全解决方案,而不是安全问题