在移動互聯(lián)、大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)蓬勃發(fā)展的今天，網(wǎng)絡(luò)已經(jīng)遍及社會經(jīng)濟的各個領(lǐng)域，但是網(wǎng)絡(luò)威脅無處不在。一連串高危漏洞寫滿了2014年的時間卷軸，但這并未讓數(shù)據(jù)中心技術(shù)在前進的路上倒下，尤其是在“互聯(lián)網(wǎng)+”這扇時代之門已經(jīng)敞開的時候，“軟件定一切”的實現(xiàn)更顯得尤為重要。但縱觀軟件定義數(shù)據(jù)中心的整條生態(tài)，軟件定義安全（SDS）恰似一場春雨姍姍來遲。

軟件定義安全“絕非炒作”

在Gartner列出的2014數(shù)字業(yè)務(wù)安全九大熱門趨勢中，軟件定義安全排在首位。這并不是炒作，軟件定義安全是數(shù)據(jù)中心發(fā)展到一定階段的必備之物，這又是為何呢？

數(shù)據(jù)中心正處于革命性轉(zhuǎn)變階段，而這次革命將完全改寫幾十年來人們對數(shù)據(jù)中心的認(rèn)知。究其核心，這一轉(zhuǎn)變是由“軟件”基礎(chǔ)設(shè)施的崛起而驅(qū)動的。對于數(shù)據(jù)中心三個最重要的基礎(chǔ)設(shè)施，即：服務(wù)器、網(wǎng)絡(luò)和存儲設(shè)備，皆一準(zhǔn)備完畢，它們會讓數(shù)據(jù)中心變得更為靈活，更自動化。在這樣一個大背景下，達(dá)成軟件定義一切的目標(biāo)就決不能缺少安全，因為它現(xiàn)在好像一個“掉隊者”。

“掉隊”的原因可以歸納為三點：

第一，無法適應(yīng)防護邊界的改變。過去的防護方法通常是根據(jù)網(wǎng)絡(luò)的物理拓?fù)浜头?wù)器安全域，以手動方式在安全域邊界構(gòu)建流量監(jiān)控設(shè)備，偵測可能遭遇的攻擊。但虛擬數(shù)據(jù)中心解藕了這種關(guān)系，不但安全設(shè)備部署和管理過程異常復(fù)雜，網(wǎng)絡(luò)防護的對象也可能在任何位置。

第二，防護體系已經(jīng)失效。虛擬化讓服務(wù)器的安全性變得“既更安全也更為不安全”，不同虛擬機之間的通訊不再經(jīng)過網(wǎng)絡(luò)交換機，傳統(tǒng)的入侵檢測設(shè)備因此而失效。而“黑盒子”為代表的硬件安全設(shè)備包括了硬件、OS、內(nèi)置安全軟件，也只有管理員操作界面，極少有面向應(yīng)用軟件的API，這無疑把安全硬件設(shè)備和應(yīng)用割裂開了。

第三，防護間隙的產(chǎn)生與危害。一些休眠的虛擬機將會最終偏離數(shù)據(jù)中心的安全規(guī)則，并引入大量的安全漏洞。如果虛擬機在部署補丁或更新防病毒軟件期間，未處于聯(lián)機狀態(tài)，它將處于不受保護的休眠狀態(tài)，一旦激活、聯(lián)機后將會立即受到攻擊。

軟件定義讓攻防“重上起跑線”

還記得嗎？當(dāng)云計算和大數(shù)據(jù)技術(shù)出現(xiàn)時，很多人都表示這離實際部署很遠(yuǎn)，但現(xiàn)在這些技術(shù)都已經(jīng)漸漸“平民化”。那么，當(dāng)軟件定義一切的時代已經(jīng)來了呢？

在Infonetics Research發(fā)表的《關(guān)于2014年SDN策略：北美企業(yè)調(diào)查報告》中，45%的企業(yè)將會在2015年在其數(shù)據(jù)中心生產(chǎn)環(huán)境實現(xiàn)SDN的部署，這一數(shù)據(jù)到2016年還將上升到87%。但在技術(shù)人員部署SDN的時候，新的安全威脅也會產(chǎn)生，人們掌握一種完全不同的安全架構(gòu)會很困難，而落后的產(chǎn)品架構(gòu)可能讓安全管理人員無法應(yīng)對這些威脅。其中，有一點需要你清楚，相同的開放接口和已知的SDN協(xié)議，簡化了的網(wǎng)絡(luò)編程，也為攻擊者提供了機會，網(wǎng)絡(luò)入侵的攻防可能會重新站在一條起跑線上。

趨勢科技出版的《演化的數(shù)據(jù)中心安全白皮書》中，很好的解釋了軟件定義時代的數(shù)據(jù)中心，同樣需要能夠適應(yīng)軟件定義的安全產(chǎn)品，這樣才能發(fā)揮軟件定義的優(yōu)勢，并解決由此所引發(fā)的新安全問題。而趨勢科技基于軟件定義安全設(shè)計的Deep Security可以幫上忙。

Deep Security通過SDN接口技術(shù)與VMware NSX實現(xiàn)無縫對接，這可以讓安全策略自由的從內(nèi)部私有云和公有云平臺之間移動，管理員將能夠通過快速且高水平地自動追蹤資源的技術(shù)。其次，Deep Security對休眠的虛擬機一樣可以監(jiān)控和管理，保持企業(yè)統(tǒng)一的安全基線，并實現(xiàn)自適應(yīng)的規(guī)則改變。另外，在不影響業(yè)務(wù)中斷的環(huán)境下，以最低的成本使用緊急的虛擬補丁保護企業(yè)核心應(yīng)用程序，消除防護間隙，防止數(shù)據(jù)泄露事件的發(fā)生。

軟件定義安全技術(shù)和產(chǎn)品上的創(chuàng)新也許剛剛開始，趨勢科技在Deep Security上的努力也只能算是我們應(yīng)對未來危險的很小一部分。而如果軟件定義安全可以支持動態(tài)安全域、隨心所欲的構(gòu)建和拆除系統(tǒng)保護、跨系統(tǒng)一致地執(zhí)行安全政策，無論它的位置如何，但又不必?fù)?dān)心性能，這些都是讓安全可以跟上數(shù)據(jù)中心奔跑的速度。