軟體定義網絡安全：一種"零接觸"方法

實作軟體定義網絡安全的方法之一是對網絡管理采用“零接觸”的方法。下面讓我們了解如何實作這種方法以及在這之前需要做出什麼改變。

軟體定義網絡(sdn)是比較寬泛的術語，sdn對于不同的人意味着不同的東西。其中一個原始定義偏向于流量控制，網絡虛拟化和nfv通常也被認為是sdn;另一種sdn概念則側重于裝置管理和配置，而通過sdn提供軟體定義網絡安全又是另一個主題。it顧問kevin beaver詳細介紹了利用零信任的概念和通過網絡虛拟化的網絡分段。在這篇文章中，我們将探讨如何通過擴充sdn來實作軟體定義網絡安全，我們還将解釋sdn為何需要一種新方法來保護sdn的管理。

網絡管理安全的現狀

在我們開始談論資料包之前，讓我們讨論一個實際考慮因素——管理安全。在當今的資料中心中，網絡管理并不是重點，管理安全已經在近20年沒有改變。現在，網絡管理者仍然使用傳統身份和通路管理(iam)工具來控制及記錄對網絡裝置的通路，在以裝置為中心的模式中，這似乎過于複雜。

在以裝置為中心的模式中，安全管理者通過tacacs+部署裝置級權限，tacacs+可能會綁定回ldap。進階環境可能部署基于角色的安全，以提供對網絡功能不同級别的通路。這裡的挑戰是，這種方法并不會考慮目的是什麼。這裡需要大量工作來綁定裝置級權限以符合管理者的特定要求。例如，初級管理者有權限建立vlan來支援通用應用，然而，初級管理者不應該有權限在相同交換機上建立從非安全區域到pci區域的路徑。

軟體定義網絡安全

解決上述安全問題的方法之一是對網絡更改采取零接觸的設計。facebook和谷歌等大公司已經不再通過工程師登入到單個網絡上來進行網絡變更，畢竟這種技術并不适合企業級資料中心。為此，筆者采訪了matt oswalt，他正在牽頭做一個名為testing on demand driven(todd)的開源項目，todd允許網絡工程師測試網絡配置更改，oswalt将todd視為機器中的螺絲釘，以實作sdn自動化。

在未來，sdn控制器和配套應用及工具将支援零接觸的配置政策。基于模闆的配置将取代基于裝置的規則和配置，對配置的驗證将通過集中管理和安全審計工具來實作。管理者将不再通過指令行(cli)界面來配置裝置，而将通過集中編排工具進行更改，這些工具會驗證提議的更改是否符合企業資料安全政策。

在零接觸技術以及軟體定義網絡安全廣泛普及之前，我們還有大量的工作要做。除了技術挑戰，現有網絡管理者和工程師的心态也需要改變。企業将需要抛棄現有網絡變更管理和安全的概念，以完全支援自動化以及更高的安全标準。

本文轉自d1net（轉載）