安全成SDN发展阻碍 需加快与SDx技术融合对接

编者按：安全问题是SDN商用化进程停滞不前的原因之一，一边是想要颠覆传统的改革派，一边是谨小慎微的保守派，双方就安全问题展开持续斗争。但是SDN已经是一种必然，网络安全人员与其负隅顽抗不如将SDN收为己用，深入了解SDX技术研究出针对SDN的安全策略。

软件定义网络（SDN）给了IT团队一个起冲突的新理由，有些人想建立自动化的、软件定义的数据中心，而另一些负责安全方面的人员，只是一味地奉行“什么人也不信”的实用主义信条。

上述观点是Gartner分析公司研究主任Eric Ahlm表达的。之前，他在悉尼召开的IT基础架构、运营与数据中心峰会上做了题为“数据中心自动化对安全的影响”的大会发言。

Ahlm表示，“我们来看一下安全技术，安全技术的设计出发点是不要听外面来的东西怎么说。这一类安全技术系统是分立的系统”，这样做有很多理由。而SDN的精髓当然是另外有一个控制平面告诉硬件做什么，这是因为从敏捷性和更有效的资源利用方面来看这样做常常有其可取之处。而安全团队习惯于采取非常谨慎的做法，更改再小的配置都是小心翼翼的，SDN因此是个挑战。

对于安全团队目前慢悠悠的动作，支持SDN或Sdx的数据中心运营团队肯定是受够了。因此，他们一定会要求安全工具更易于实现自动化及需要更少的监督。

如果他们这样做了，那么安全团队就需要迎头赶上。时下安全团队知道资产在哪、知道它们在做什么、知道如何监视他们，也知道如何确保它们能够收集合规范的、和用于鉴识目的的数据。但是，现代数据中心不时将安全控制放在另一个机器里，而且有必要时还会用突发容量（Burst capacity） 隔空补充本地容量，会在几个云里转一圈，然后回到本地的操作。现代数据中心一旦这样做以后，安全团队就有必要学学新的技巧了。

Ahlm认为围绕这种潜在的冲突有两种解决办法：

其一，安全团队继续保留其选择和控制的作用，但改变自己选择的标准，以确保未来的购买不会阻碍SDN和其他数据中心自动化工具的使用。

第二，服务器团队自己选择安全工具，安全团队全力以赴做监控、审计和调查。

而且，Ahlm还表示，SDN为安全专家提供了一些颇有意思的、新的可能性。他提出的一个设想场景是这样的，检测到了异常活动，有可能是对系统的攻击。 这时，SDN可以容许网络配置改变，攻击者察觉不到配置有改变，但网络配置改变后将攻击者从目标引开，将其引到一个蜜罐（Honeypot）系统，蜜罐系统则捕获数据做鉴识取证用。又或者，碰到可疑的网络活动时可以动态地给相应的数据包赋予网络路由，进行附加的安全控制，多一点点额外的处理，能更放心一些。

要充分利用这一类SDN附加安全的强大威力，就必须确保安全团队参与SDx的讨论和对话，但Ahlm觉得，正在建立新型数据中心的部门需要确保不同团队的通力合作，原因很简单，窝里斗的话无助于大家做事。