在移动互联、大数据、云计算、物联网蓬勃发展的今天,网络已经遍及社会经济的各个领域,但是网络威胁无处不在。一连串高危漏洞写满了2014年的时间卷轴,但这并未让数据中心技术在前进的路上倒下,尤其是在“互联网+”这扇时代之门已经敞开的时候,“软件定一切”的实现更显得尤为重要。但纵观软件定义数据中心的整条生态,软件定义安全(SDS)恰似一场春雨姗姗来迟。
软件定义安全“绝非炒作”
在Gartner列出的2014数字业务安全九大热门趋势中,软件定义安全排在首位。这并不是炒作,软件定义安全是数据中心发展到一定阶段的必备之物,这又是为何呢?
数据中心正处于革命性转变阶段,而这次革命将完全改写几十年来人们对数据中心的认知。究其核心,这一转变是由“软件”基础设施的崛起而驱动的。对于数据中心三个最重要的基础设施,即:服务器、网络和存储设备,皆一准备完毕,它们会让数据中心变得更为灵活,更自动化。在这样一个大背景下,达成软件定义一切的目标就决不能缺少安全,因为它现在好像一个“掉队者”。
“掉队”的原因可以归纳为三点:
第一, 无法适应防护边界的改变。过去的防护方法通常是根据网络的物理拓扑和服务器安全域,以手动方式在安全域边界构建流量监控设备,侦测可能遭遇的攻击。但虚拟数据中心解藕了这种关系,不但安全设备部署和管理过程异常复杂,网络防护的对象也可能在任何位置。
第二, 防护体系已经失效。虚拟化让服务器的安全性变得“既更安全也更为不安全”,不同虚拟机之间的通讯不再经过网络交换机,传统的入侵检测设备因此而失效。而“黑盒子”为代表的硬件安全设备包括了硬件、OS、内置安全软件,也只有管理员操作界面,极少有面向应用软件的API,这无疑把安全硬件设备和应用割裂开了。
第三, 防护间隙的产生与危害。一些休眠的虚拟机将会最终偏离数据中心的安全规则,并引入大量的安全漏洞。如果虚拟机在部署补丁或更新防病毒软件期间,未处于联机状态,它将处于不受保护的休眠状态,一旦激活、联机后将会立即受到攻击。
软件定义让攻防“重上起跑线”
还记得吗?当云计算和大数据技术出现时,很多人都表示这离实际部署很远,但现在这些技术都已经渐渐“平民化”。那么,当软件定义一切的时代已经来了呢?
在Infonetics Research发表的《关于2014年SDN策略:北美企业调查报告》中,45%的企业将会在2015年在其数据中心生产环境实现SDN的部署,这一数据到2016年还将上升到87%。但在技术人员部署SDN的时候,新的安全威胁也会产生,人们掌握一种完全不同的安全架构会很困难,而落后的产品架构可能让安全管理人员无法应对这些威胁。其中,有一点需要你清楚,相同的开放接口和已知的SDN协议,简化了的网络编程,也为攻击者提供了机会,网络入侵的攻防可能会重新站在一条起跑线上。
趋势科技出版的《演化的数据中心安全白皮书》中,很好的解释了软件定义时代的数据中心,同样需要能够适应软件定义的安全产品,这样才能发挥软件定义的优势,并解决由此所引发的新安全问题。而趋势科技基于软件定义安全设计的Deep Security可以帮上忙。
Deep Security通过SDN接口技术与VMware NSX实现无缝对接,这可以让安全策略自由的从内部私有云和公有云平台之间移动,管理员将能够通过快速且高水平地自动追踪资源的技术。其次,Deep Security对休眠的虚拟机一样可以监控和管理,保持企业统一的安全基线,并实现自适应的规则改变。另外,在不影响业务中断的环境下,以最低的成本使用紧急的虚拟补丁保护企业核心应用程序,消除防护间隙,防止数据泄露事件的发生。
软件定义安全技术和产品上的创新也许刚刚开始,趋势科技在Deep Security上的努力也只能算是我们应对未来危险的很小一部分。而如果软件定义安全可以支持动态安全域、随心所欲的构建和拆除系统保护、跨系统一致地执行安全政策,无论它的位置如何,但又不必担心性能,这些都是让安全可以跟上数据中心奔跑的速度。
作者:童宁
来源:51CTO