软件定义向安全领域蔓延

　　通过软件就能实现对信息安全的部署、控制和管理，软件定义安全这种新兴的模式正在迅速普及。

　　毫无疑问，软件定义（Software Defined）正在席卷整个IT产业，软件定义网络、软件定义存储、软件定义数据中心等层出不穷。当然，安全也不例外。作为一种新兴的安全服务模式，软件定义安全（SDS）能够通过软件实现对信息安全的部署、控制和管理，而这种新兴的模式正在迅速普及。

　　通过SDS，未来安全控制会变得与网络分段、入侵检测和访问控制等一样简单，通过软件就可以实现全面的自动化和可视化。

　　市场研究机构Gartner将SDS视为2014年IT安全领域十大技术之一，这足以说明其将对安全产业造成的影响。“SDS并不意味着企业不再需要专用的安全设备。”该公司说，“恰恰相反，就像软件定义网络一样，SDS只是将更多的操作和管理转移到了软件层面。”

　　虽然目前SDS属于相对比较新颖的话题，各厂商对于SDS的见解也不尽相同。但是考虑到近些年软件定义的发展势头，SDS的发展普及可以说已是必然。

　　究竟SDS能够带来哪些好处？通过采访行业分析师和安全管理人员，他们给出了以下建议。

　　更简单

　　通过使网络层和安全层分离，SDS能够使安全环境变得更加简单，西捷航空公司IT安全部门解决方案架构师Richard Sillito表示，“我们公司已经启动了一系列信息安全改造项目，其中包括实施SDS，这将帮助公司IT架构进一步实现更大规模的自动化和最终的自服务。”

　　据悉，西捷航空已经在其一个数据中心部署了VMware的NSX网络虚拟化和安全平台，目前该数据中心的第一个应用程序也正在实施当中。

　　“我们的IT团队正在学习与VMware NSX配套API接口的相关开发工作，包括如何自动化地创建逻辑交换机、构建安全组织、应用安全策略等。”Sillito说，“目前，该团队正在使用相关工具创建和策划今后的工作流程。”

　　“这意味着安全配置将成为工作流程的一个部分，从而确保安全并不会因为急于生产而被忽略。”Sillito说。未来，该团队还会使用其他工具来发布服务，向自助式服务的目标更进一步。

　　“SDS允许我们将网络层和安全层剥离。”Sillito补充说，“因此，我们没有必要再将数据包单独路由到防火墙过滤，流量过滤将统一在网络层之上进行。这意味着企业不再需要购买多个防火墙并在不同的数据中心进行部署。”

　　网络层和安全层分离会减少互相之间的依赖，Sillito说，对企业而言这意味着更少的变化和更低的总体成本支出。“简单是实现自动化的第一步，越简单的东西越容易实现自动化。任何能够帮助简化IT和安全的技术都是有益的。”

　　“当前，我们的计算环境已经非常复杂。不过，随着智能终端数量及种类的不断增加，IT环境的复杂性还会愈演愈烈。”Kusnetzky集团创始人兼杰出分析师Dan Kusnetzky说。

　　“有如此多可移动的设备，企业必须能够做到时刻锁定所有的访问设备，即便他们是虚拟化的设备。”Kusnetzky说。“使用传统方法保障安全需要绑定所有的设备。但面对日益复杂的IT环境，这显然已经不适用。如今的安全工具必须变得足够敏捷，以应对愈发复杂的IT环境。”

　　网络更可信

　　SDS将能够使零信任（Zero Trust）网络变得更加安全。零信任的本质是企业不信任全部的网络流量，而这就需要企业使用先进技术密切监测企业内部和外部的所有网络流量，Forrester副总裁兼首席分析师John Kindervag说，“Zero Trust”是必要的，因为现有的基于信任机制的安全方法并不起效。Forrester说，不过组织机构需要摆脱内部网络可信，外部网络不可信的想法。

　　“SDS技术能够帮助用户更简便地构建部署Zero Trust网络安全。”Kindervag说。“在组织机构中通过软件管理安全，使得用户能够为网络环境建立更细致的安全策略，而且安全策略的设定也将变得更加简单。网络同时变得更加灵活、更加安全。”

　　除了灵活性，SDS还能使安全系统更便捷地与多个网络系统相集成。“通过第三方接口，用户可以更方便地将两套不同的网络系统集成在一起。”Kindervag说。

　　加强管控

　　软件定义安全不仅能够帮助组织机构消除现有单个安全产品漏洞可能产生的影响，而且能使用户对基础设施的安全控制更为直接，独立安全与研究咨询公司Securosis CEO兼分析师Rich Mogull说。“举例而言，通过SDS，你可以瞬间识别所有脱离管理的服务器，然后自动隔离、识别服务器的所有者，并引导进入管理软件，或采取其他措施来进行安全保障。”

　　这使得安全工作流程的建立变得更加简便。在大幅减少手动操作和运营成本的同时，也有助于改善安全灵活性以满足新兴业务的需求，Mogull说，“听起来有些不可思议，但目前确实已有真实的应用案例，而非供应商的虚假承诺，我们已经看到了用户自身所发生的变革。”

　　随需而动

　　如今，围绕IT的所有部分都在发生变革，安全同样也不例外。组织机构信息安全负责人应该认真考虑每一种能够保护资产并满足业务目标的技术，数据存储技术提供商Iron Mountain副总裁兼首席信息安全官Lorna Koppel说，“软件定义安全就是一个值得考虑的技术。”

　　这对于不再想构建传统物理边界的组织机构而言十分重要，Koppel说，“传统安全工具通过获取具体的路由路径，并通过物理隔离来保障数据安全。但面对日益复杂的环境时，这些远远不够，因为一个组织机构没法掌控所有的基础设施。”

　　SDS能够以灵活的方式提高组织对云服务或虚拟化系统的保护，Koppel说，“因为即便运行在相同设备上、相同的虚拟环境中的不同应用仍有着不同的安全需求。因此，考虑到所有资源是处于动态环境中的，用户想要实现对资源的安全保护，且不增加更多的人力成本，就必须参与到每一个变化之中，随需而动。”

　　这其中的关键在于用户是否能够把握运营支持的每一个环节，包括数据处理、安全漏洞及威胁分析等，Koppel说，“在这方面，软件定义安全通过简化管理能为企业节约更多的精力和资源，这对企业而言无疑是个巨大的帮助。”（编译／刘贝贝）

　　SDS将能够使零信任（Zero Trust）网络变得更加安全。零信任的本质是企业不信任全部的网络流量，而这就需要企业使用先进技术密切监测企业内部和外部的所有网络流量。

　　Bob Violino

关注读览天下微信， 100万篇深度好文， 等你来看……