虚拟化世界里 SDN与安全的微妙关系 虚拟化
在虚拟化的世界里,存在很多不确定的因素,这些因素又是随时变化的,正是由于变化才带来不确定性,企业环境中虚拟化技术也不例外。对于虚拟化技术,很多企业对安全问题持怀疑态度,很多管理员想知道软件定义网络和其他虚拟架构会对他们的网络安全带来什么影响。
SDN的安全挑战
从历史上看,安全技术一直是以网络为重点。虽然我们看到过不同的安全主题(例如保护信息和应用程序),但大多数控制都部署在网络层,随着网络变得虚拟化,没有相同的功能或能力来部署基于网络的安全控制。对于很多企业来说,转变安全方法来适应SDN环境说起来比做起来容易,这可能需要企业作出很多努力来确保在正确的位置部署正确的措施。
另外,运营问题让这个问题变得更加复杂。与其他技术一样,安全总是最后才会考虑的因素。在过去,安全措施在传统框架内很有效,并且是部署在单一层。但现在,随着安全团队部署相对较新的技术,或者以新方式部署传统技术,部署安全措施可能成为真正的挑战,该领域的一些供应商正在努力协助企业过渡。
这种过渡可能是很艰巨的,但需要记住的是,很多问题都植根于现实中。那些负责网络安全的人担心“空中”资源的前景以及在生产环境创建政策,他们还担心非安全人员构建防火墙规则或者部署其他网络措施的前景。
思维过程是很有意义的。失去控制(尤其是当这可能会对网络造成负面影响)可能看起来是非常糟糕的事情。如果企业能够更好地控制对这些虚拟环境的隔离—从底层物理基础设施或者彼此隔离,可能帮助企业提高安全度。
除了造成运营问题和组织问题,学习完全不同的安全架构的任务可能本身也是一个挑战。SDN承诺带来的变化将是巨大的。不是考虑职能职责问题,或者企业设计的方式,这是一个很大的问题。
SDN如何提高安全性
虚拟化环境不只是带来安全挑战,它们也提供真正的解决方案。一方面,SDN带来的自动化水平可能真正帮助改进安全态势。很多人类所犯的措施可以通过虚拟化来避免(或者至少被缓解)。你可以利用自动化帮助你获得更好的可视性以及更简化、优化的政策部署,无论是在物理、虚拟或两者结合,同时,避免很多人为错误。这减少了人为错误,还可能帮助企业减少安全泄漏事故,以及提高正常运行时间和可扩展性。
按照同样的思路,虚拟化可以通过使用配置文件来提高安全性,而不是使用政策。例如,当应用程序被停用时,与之相关的规则并没有被删除或修改。随着时间的推移,这些规则会越积越多,人们并不会清理它们。如果清除这些政策可能会带来潜在的负面影响,IT企业很可能会保留它们。几乎在所有时候,可用性都比安全性重要。但通过配置文件,与资产(例如虚拟机)相关的规则将会被删除。每个变化都会在反映在整个环境,企业不再需要依赖于人员来查找和修改或删除政策的每个实例。
如果部署正确的话,虚拟化带来的灵活性能够提高安全性。你现在购买的任何安全设备,从你拆箱那一刻起,已经落后于最新技术18到24个月。这种延迟可能带来各种类型的安全威胁,但这也对运行虚拟化或软件定义环境的企业是一个巨大的机会。这让他们能够编写快速新功能或新代码,并部署它们,让他们能够应对新攻击或新病毒,或者按照新方式来重新架构网络。
评论:
综上所述,可以看出,在虚拟化世界里,SDN和安全之间存在一些微妙的关系,对于企业而言,不能因为虚拟化进入企业环境,就丢弃经过时间考验的硬件,例如防火墙设备。在展望未来的同时,仍然利用现在可行的技术,能够帮助企业更好地确定他们的应用程序需求,而这反过来,会使SDN成为安全解决方案,而不是安全问题,这就是这种微妙关系的实质。