隨著軟件定義網(wǎng)絡(luò)(SDN)自動化的出現(xiàn),某些方面的利益點得到了越來越多的關(guān)注。比如網(wǎng)絡(luò)功能和服務(wù)器同步配置,通過該同步配置使得應(yīng)用程序能夠在短短幾分鐘之內(nèi)可用,而不是過去的耗時數(shù)天甚至數(shù)周。
盡管經(jīng)常被忽視,但是SDN自動化仍然增強了網(wǎng)絡(luò)安全態(tài)勢,特別是通過監(jiān)控和隔離的方式來保證網(wǎng)絡(luò)安全。
隔離
想象一下以下場景:你的安全團隊擁有監(jiān)控并檢測數(shù)據(jù)中心惡意流量的基礎(chǔ)設(shè)施。結(jié)果,你發(fā)現(xiàn)了一個IP地址被盜用的服務(wù)器。同時,該服務(wù)器還在橫向盜用其他服務(wù)器并逐漸擴散到整個數(shù)據(jù)中心。阻止這種攻擊的最好方法是什么?
傳統(tǒng)的數(shù)據(jù)中心中,服務(wù)器管理員必須手動查找并刪除網(wǎng)絡(luò)中的機器。但隨著SDN自動化的到來,所有的機器都可以集中管理和識別,SDN管理員可以通過分配“檢測標(biāo)記”來快速隔離服務(wù)器。
SDN解決方案中調(diào)用REST API的網(wǎng)絡(luò)遠(yuǎn)程編程的能力,大大提升了該功能的性能,好處是你的安全設(shè)備可以很容易的與SDN解決方案集成。反之,安全設(shè)備可以通過API調(diào)用SDN解決方案,立即隔離被盜用的服務(wù)器。
最重要的是,SDN自動化減少了網(wǎng)絡(luò)中的惡意行為,這對于網(wǎng)絡(luò)維護(hù)至關(guān)重要,不僅構(gòu)建了一個安全的網(wǎng)絡(luò),還提供了安全的IT基礎(chǔ)設(shè)施。
監(jiān)控
關(guān)于SDN自動化常見的誤解是,SDN自動化會造成網(wǎng)絡(luò)可見性被破壞或丟失。這種誤解是基于這樣一種觀念——目前使用的SNMP、syslog、NetFlow看不到網(wǎng)絡(luò),這是一個錯誤的觀念。
事實上,SDN廠商想要利用現(xiàn)有的工具盡可能的集成SDN監(jiān)控。考慮到這一點,他們用傳統(tǒng)數(shù)據(jù)中心常見的技術(shù)來對你的數(shù)據(jù)中心提供監(jiān)控能力。換言之,SDN自動化可以在傳統(tǒng)數(shù)據(jù)中心里包含相同的監(jiān)控工具。
另一方面,SDN廠商也認(rèn)識到自動化提供了豐富的用于可視化并保護(hù)網(wǎng)絡(luò)當(dāng)前狀態(tài)的數(shù)據(jù)。例如,自動化可以模擬一個穿越客戶機和服務(wù)器之間網(wǎng)絡(luò)的數(shù)據(jù)包。SDN解決方案可以通過路由器、交換機、負(fù)載均衡和防火墻跟蹤這個數(shù)據(jù)包,根據(jù)這些跟蹤的信息,可以發(fā)現(xiàn)網(wǎng)絡(luò)連接問題并且確定哪些網(wǎng)絡(luò)功能導(dǎo)致了這些問題。
自動化還可以識別出網(wǎng)絡(luò)中原本允許流量通過但實際上被阻塞的網(wǎng)絡(luò)區(qū)域。利用擴展視圖功能,通過自動化收集的網(wǎng)絡(luò)數(shù)據(jù)能夠提供網(wǎng)絡(luò)健壯性的實時視圖。
簡而言之,不要忽視SDN提供安全的潛力。SDN自動化擁有監(jiān)控和隔離帶來的巨大的優(yōu)勢,應(yīng)該成為整體網(wǎng)絡(luò)和IT安全態(tài)勢的一部分。
https://www.sdxcentral.com/articles/contributed/enhancing-network-security-sdn-automation-rob-chee/2016/05/