變化帶來不確定性,企業(yè)環(huán)境中虛擬化技術(shù)也不例外。對于虛擬化技術(shù),很多企業(yè)對安全問題持懷疑態(tài)度,很多管理員想知道軟件定義網(wǎng)絡和其他虛擬架構(gòu)會對他們的網(wǎng)絡安全帶來什么影響。
SDN的安全挑戰(zhàn)
從歷史上看,安全技術(shù)一直是以網(wǎng)絡為重點。雖然我們看到過不同的安全主題(例如保護信息和應用程序),“但大多數(shù)控制都部署在網(wǎng)絡層,”瞻博網(wǎng)絡安全業(yè)務部門戰(zhàn)略規(guī)劃副總裁Christofer Hoff表示,“隨著網(wǎng)絡變得虛擬化,我們沒有相同的功能或能力來部署基于網(wǎng)絡的安全控制。”對于很多企業(yè)來說,轉(zhuǎn)變安全方法來適應SDN環(huán)境說起來比做起來容易,這可能需要企業(yè)作出很多努力來確保在正確的位置部署正確的措施。
另外,運營問題讓這個問題變得更加復雜。Catbird公司首席技術(shù)官Randal Asay指出了一個潛在的挑戰(zhàn):“與其他技術(shù)一樣,安全總是最后才會考慮的因素。”在過去,安全措施在傳統(tǒng)框架內(nèi)很有效,并且是部署在單一層。但現(xiàn)在,隨著安全團隊部署相對較新的技術(shù),或者以新方式部署傳統(tǒng)技術(shù),部署安全措施可能成為真正的挑戰(zhàn)。Asay表示,該領域的一些供應商正在努力協(xié)助企業(yè)過渡。
這種過渡可能是很艱巨的,但需要記住的是,很多問題都植根于現(xiàn)實中。那些負責網(wǎng)絡安全的人擔心“空中”資源的前景以及在生產(chǎn)環(huán)境創(chuàng)建政策,他們還擔心非安全人員構(gòu)建防火墻規(guī)則或者部署其他網(wǎng)絡措施的前景。
VMWare公司網(wǎng)絡和安全業(yè)務部門產(chǎn)品營銷主管Rob Stuhlmuller表示,思維過程是很有意義的。“我擔心會失去控制,我需要這些控制來確保企業(yè)保持合規(guī)性。”失去控制(尤其是當這可能會對網(wǎng)絡造成負面影響)可能看起來是非常糟糕的事情。如果企業(yè)能夠更好地控制對這些虛擬環(huán)境的隔離—從底層物理基礎設施或者彼此隔離,可能幫助企業(yè)提高安全度。
除了造成運營問題和組織問題,學習完全不同的安全架構(gòu)的任務可能本身也是一個挑戰(zhàn)。SDN承諾帶來的變化將是巨大的。Net Optics公司Net Optics Intergration高級副總裁Bob Shaw表示,他聽到業(yè)界領導在談論全新架構(gòu)作為創(chuàng)建安全為中心的SDN模型,“不是考慮職能職責問題,或者企業(yè)設計的方式,他們會說,‘我們?nèi)绾慰缯麄€基礎設施設計安全?’,這是一個很大的問題。”
SDN如何提高安全性
虛擬化環(huán)境不只是帶來安全挑戰(zhàn),它們也提供真正的解決方案。一方面,SDN帶來的自動化水平可能真正幫助改進安全態(tài)勢。很多人類所犯的措施可以通過虛擬化來避免(或者至少被緩解)。Hoffman解釋說:“你可以利用自動化幫助你獲得更好的可視性以及更簡化、優(yōu)化的政策部署,無論是在物理、虛擬或兩者結(jié)合,同時,避免很多人為錯誤。”這減少了人為錯誤,還可能幫助企業(yè)減少安全泄漏事故,以及提高正常運行時間和可擴展性。
按照同樣的思路,Stuhlmuller指出了虛擬化可以通過使用配置文件來提高安全性,而不是使用政策。例如,當應用程序被停用時,與之相關的規(guī)則并沒有被刪除或修改。Stuhlmuller說道:“隨著時間的推移,這些規(guī)則會越積越多,人們并不會清理它們。”如果清除這些政策可能會帶來潛在的負面影響,IT企業(yè)很可能會保留它們。幾乎在所有時候,可用性都比安全性重要。但通過配置文件,與資產(chǎn)(例如虛擬機)相關的規(guī)則將會被刪除。每個變化都會在反映在整個環(huán)境,企業(yè)不再需要依賴于人員來查找和修改或刪除政策的每個實例。
如果部署正確的話,虛擬化帶來的靈活性能夠提高安全性。 Shaw表示:“你現(xiàn)在購買的任何安全設備,從你拆箱那一刻起,已經(jīng)落后于最新技術(shù)18到24個月。”這種延遲可能帶來各種類型的安全威脅,但這也對運行虛擬化或軟件定義環(huán)境的企業(yè)是一個巨大的機會。“這讓他們能夠編寫快速新功能或新代碼,并部署它們,讓他們能夠應對新攻擊或新病毒,或者按照新方式來重新架構(gòu)網(wǎng)絡。”
Asay強調(diào)說,虛擬化并不是全有或全無的方法。我們不能因為虛擬化進入企業(yè)環(huán)境,就丟棄經(jīng)過時間考驗的硬件,例如防火墻設備。在展望未來的同時,仍然利用現(xiàn)在可行的技術(shù),能夠幫助企業(yè)更好地確定他們的應用程序需求,而這反過來,會使SDN成為安全解決方案,而不是安全問題