面對(duì)網(wǎng)絡(luò)承載的日趨復(fù)雜化,有時(shí)候IT安全策略遠(yuǎn)比黑客攻擊對(duì)企業(yè)員工的影響大,例如在路由器上留下默認(rèn)密碼是不明智的。而強(qiáng)迫員工每90天就更換一次密碼,甚至一年后也不能重新使用等等,也是過(guò)猶不及的。
軟件定義網(wǎng)絡(luò)SDN
那么隨著軟件定義網(wǎng)絡(luò)(Software-defined networking,SDN)技術(shù)的興起和部署,SDN會(huì)迫使管理者更擔(dān)心其安全問(wèn)題嗎?事實(shí)上,答案是沒(méi)有的。
這倒不是說(shuō)今后無(wú)需關(guān)注SDN的安全問(wèn)題了,而是希望像此前安全顧問(wèn)Scott Hogg對(duì)SDN攻擊向量的深入調(diào)查一樣,在控制器、數(shù)據(jù)平臺(tái),以及網(wǎng)絡(luò)層面上強(qiáng)化SDN網(wǎng)絡(luò),并給出建議。
曾經(jīng),致力于SDN發(fā)展和標(biāo)準(zhǔn)化的開(kāi)放網(wǎng)絡(luò)基金會(huì)(ONF)就在關(guān)于SDN安全方案的簡(jiǎn)介中提到,邏輯上集中(硬件設(shè)備分布放置)的SDN控制器,相較傳統(tǒng)的網(wǎng)絡(luò)架構(gòu),會(huì)潛在存在一系列不同的風(fēng)險(xiǎn)和威脅。
例如,由于SDN使用集中化的網(wǎng)絡(luò)控制器,一旦出現(xiàn)單點(diǎn)的設(shè)備故障,便容易暴露出弱點(diǎn)。因此網(wǎng)絡(luò)基礎(chǔ)設(shè)施必須能承受偶爾會(huì)有SDN控制器不可用的情況發(fā)生,同時(shí)一旦控制器與設(shè)備恢復(fù)通信后,還要確保任何新的數(shù)據(jù)流能夠進(jìn)行同步。
ONF的方案介紹中還繼續(xù)闡述了SDN拒絕惡意攻擊的安全能力。但是實(shí)際上,網(wǎng)絡(luò)虛擬化技術(shù)還支持其他方面的安全性能。來(lái)自VMware的Rod Stuhlmuller就曾表示,當(dāng)利用軟件定義一切時(shí),云管理軟件可以分配計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)容量需求,并將網(wǎng)絡(luò)虛擬化添加到動(dòng)態(tài)的環(huán)境中,以及能將網(wǎng)絡(luò)屬性進(jìn)行變更的業(yè)務(wù)模型中。然而,這種深刻的變化往往令負(fù)責(zé)網(wǎng)絡(luò)安全的管理者很緊張。
網(wǎng)絡(luò)虛擬化的安全優(yōu)勢(shì)還包括可隔離、分割、分布式防御,以及“串聯(lián)”防火墻和VPN服務(wù)的能力等等。Rod Stuhlmuller認(rèn)為,網(wǎng)絡(luò)虛擬化平臺(tái)不是讓安全變得更復(fù)雜,而是可以通過(guò)結(jié)合上述這些特性,令安全操作更為簡(jiǎn)化。
當(dāng)企業(yè)戰(zhàn)略集團(tuán)(Enterprise Strategy Group,ESG)的Jon Oltsik向企業(yè)安全專業(yè)人士,調(diào)查今年夏天的SDN運(yùn)營(yíng)情況時(shí),獲得了令人印象深刻的評(píng)價(jià),其中包括:
—28%的專家認(rèn)為,可以為終端有選擇性地?cái)r截惡意流量;
—28%的專家認(rèn)為,可以提高網(wǎng)絡(luò)安全的政策審核和沖突檢測(cè);
—23%的專家認(rèn)為,可以集中網(wǎng)絡(luò)安全服務(wù)策略和配置管理;
—23%的專家認(rèn)為,可以實(shí)施自動(dòng)化的網(wǎng)絡(luò)安全補(bǔ)救任務(wù)。
然而,在本月的ESG調(diào)查中顯示,有相當(dāng)部分的組織并不關(guān)心SDN及其安全,所以41%的企業(yè)中,網(wǎng)絡(luò)團(tuán)隊(duì)擁有完整的SDN基礎(chǔ)設(shè)施決策權(quán)。而只有7%的企業(yè),決定SDN基礎(chǔ)設(shè)施分別由負(fù)責(zé)網(wǎng)絡(luò)與信息安全的IT團(tuán)隊(duì)組成。
事實(shí)上,鑒于SDN的創(chuàng)新性,進(jìn)行聯(lián)合監(jiān)管的跨部門合作是非常必要的,因此未來(lái)IT管理員將不得不分享和學(xué)習(xí)各自的專長(zhǎng),一同致力于建立協(xié)同安全、高效的基礎(chǔ)網(wǎng)絡(luò)架構(gòu),來(lái)應(yīng)對(duì)新的安全問(wèn)題出現(xiàn)。