軟體定義網絡(sdn)給了it團隊一個起沖突的新理由,有些人想建立自動化的、軟體定義的資料中心,而另一些負責安全方面的人員,隻是一味地奉行“什麼人也不信”的實用主義信條。
上述觀點是gartner分析公司研究主任eric ahlm表達的。之前,他在悉尼召開的it基礎架構、營運與資料中心峰會上做了題為“資料中心自動化對安全的影響”的大會發言。
ahlm表示,“我們來看一下安全技術,安全技術的設計出發點是不要聽外面來的東西怎麼說。這一類安全技術系統是分立的系統”,這樣做有很多理由。而sdn的精髓當然是另外有一個控制平面告訴硬體做什麼,這是因為從靈活性和更有效的資源利用方面來看這樣做常常有其可取之處。而安全團隊習慣于采取非常謹慎的做法,更改再小的配置都是小心翼翼的,sdn是以是個挑戰。
對于安全團隊目前慢悠悠的動作,支援sdn或sdx的資料中心營運團隊肯定是受夠了。是以,他們一定會要求安全工具更易于實作自動化及需要更少的監督。
如果他們這樣做了,那麼安全團隊就需要迎頭趕上。時下安全團隊知道資産在哪、知道它們在做什麼、知道如何監視他們,也知道如何確定它們能夠收集合規範的、和用于鑒識目的的資料。但是,現代資料中心不時将安全控制放在另一個機器裡,而且有必要時還會用突發容量(burst capacity) 隔空補充本地容量,會在幾個雲裡轉一圈,然後回到本地的操作。現代資料中心一旦這樣做以後,安全團隊就有必要學學新的技巧了。
ahlm認為圍繞這種潛在的沖突有兩種解決辦法
其一,安全團隊繼續保留其選擇和控制的作用,但改變自己選擇的标準,以確定未來的購買不會阻礙sdn和其他資料中心自動化工具的使用。
第二,伺服器團隊自己選擇安全工具,安全團隊全力以赴做監控、審計和調查。
而且,ahlm還表示,sdn為安全專家提供了一些頗有意思的、新的可能性。他提出的一個設想場景是這樣的,檢測到了異常活動,有可能是對系統的攻擊。 這時,sdn可以容許網絡配置改變,攻擊者察覺不到配置有改變,但網絡配置改變後将攻擊者從目标引開,将其引到一個蜜罐(honeypot)系統,蜜罐系統則捕獲資料做鑒識驗證用。又或者,碰到可疑的網絡活動時可以動态地給相應的資料包賦予網絡路由,進行附加的安全控制,多一點點額外的處理,能更放心一些。
要充分利用這一類sdn附加安全的強大威力,就必須確定安全團隊參與sdx的讨論和對話,但ahlm覺得,正在建立新型資料中心的部門需要確定不同團隊的通力合作,原因很簡單,窩裡鬥的話無助于大家做事。
作者:佚名
來源:51cto