軟件定義向安全領域蔓延

毫無疑問，軟件定義（Software Defined）正在席卷整個IT產業，軟件定義網絡、軟件定義存儲、軟件定義數據中心等層出不窮。當然，安全也不例外。作為一種新興的安全服務模式，軟件定義安全（SDS）能夠通過軟件實現對信息安全的部署、控制和管理，而這種新興的模式正在迅速普及。

通過SDS，未來安全控制會變得與網絡分段、入侵檢測和訪問控制等一樣簡單，通過軟件就可以實現全面的自動化和可視化。

市場研究機構Gartner將SDS視為2014年IT安全領域十大技術之一，這足以說明其將對安全產業造成的影響。“SDS并不意味著企業不再需要專用的安全設備。”該公司說，“恰恰相反，就像軟件定義網絡一樣，SDS只是將更多的操作和管理轉移到了軟件層面。”

雖然目前SDS屬于相對比較新穎的話題，各廠商對于SDS的見解也不盡相同。但是考慮到近些年軟件定義的發展勢頭，SDS的發展普及可以說已是必然。

究竟SDS能夠帶來哪些好處？通過采訪行業分析師和安全管理人員，他們給出了以下建議。

更簡單

通過使網絡層和安全層分離，SDS能夠使安全環境變得更加簡單，西捷航空公司IT安全部門解決方案架構師Richard Sillito表示，“我們公司已經啟動了一系列信息安全改造項目，其中包括實施SDS，這將幫助公司IT架構進一步實現更大規模的自動化和最終的自服務。”

據悉，西捷航空已經在其一個數據中心部署了VMware的NSX網絡虛擬化和安全平臺，目前該數據中心的第一個應用程序也正在實施當中。

“我們的IT團隊正在學習與VMware NSX配套API接口的相關開發工作，包括如何自動化地創建邏輯交換機、構建安全組織、應用安全策略等。”Sillito說，“目前，該團隊正在使用相關工具創建和策劃今后的工作流程。”

“這意味著安全配置將成為工作流程的一個部分，從而確保安全并不會因為急于生產而被忽略。”Sillito說。未來，該團隊還會使用其他工具來發布服務，向自助式服務的目標更進一步。

“SDS允許我們將網絡層和安全層剝離。”Sillito補充說，“因此，我們沒有必要再將數據包單獨路由到防火墻過濾，流量過濾將統一在網絡層之上進行。這意味著企業不再需要購買多個防火墻并在不同的數據中心進行部署。”

網絡層和安全層分離會減少互相之間的依賴，Sillito說，對企業而言這意味著更少的變化和更低的總體成本支出。“簡單是實現自動化的第一步，越簡單的東西越容易實現自動化。任何能夠幫助簡化IT和安全的技術都是有益的。”

“當前，我們的計算環境已經非常復雜。不過，隨著智能終端數量及種類的不斷增加，IT環境的復雜性還會愈演愈烈。”Kusnetzky集團創始人兼杰出分析師Dan Kusnetzky說。

“有如此多可移動的設備，企業必須能夠做到時刻鎖定所有的訪問設備，即便他們是虛擬化的設備。”Kusnetzky說。“使用傳統方法保障安全需要綁定所有的設備。但面對日益復雜的IT環境，這顯然已經不適用。如今的安全工具必須變得足夠敏捷，以應對愈發復雜的IT環境。”

網絡更可信

SDS將能夠使零信任（Zero Trust）網絡變得更加安全。零信任的本質是企業不信任全部的網絡流量，而這就需要企業使用先進技術密切監測企業內部和外部的所有網絡流量，Forrester副總裁兼首席分析師John Kindervag說，“Zero Trust”是必要的，因為現有的基于信任機制的安全方法并不起效。Forrester說，不過組織機構需要擺脫內部網絡可信，外部網絡不可信的想法。

“SDS技術能夠幫助用戶更簡便地構建部署Zero Trust網絡安全。”Kindervag說。“在組織機構中通過軟件管理安全，使得用戶能夠為網絡環境建立更細致的安全策略，而且安全策略的設定也將變得更加簡單。網絡同時變得更加靈活、更加安全。”

除了靈活性，SDS還能使安全系統更便捷地與多個網絡系統相集成。“通過第三方接口，用戶可以更方便地將兩套不同的網絡系統集成在一起。”Kindervag說。

加強管控

軟件定義安全不僅能夠幫助組織機構消除現有單個安全產品漏洞可能產生的影響，而且能使用戶對基礎設施的安全控制更為直接，獨立安全與研究咨詢公司Securosis CEO兼分析師Rich Mogull說。“舉例而言，通過SDS，你可以瞬間識別所有脫離管理的服務器，然后自動隔離、識別服務器的所有者，并引導進入管理軟件，或采取其他措施來進行安全保障。”

這使得安全工作流程的建立變得更加簡便。在大幅減少手動操作和運營成本的同時，也有助于改善安全靈活性以滿足新興業務的需求，Mogull說，“聽起來有些不可思議，但目前確實已有真實的應用案例，而非供應商的虛假承諾，我們已經看到了用戶自身所發生的變革。”

隨需而動

如今，圍繞IT的所有部分都在發生變革，安全同樣也不例外。組織機構信息安全負責人應該認真考慮每一種能夠保護資產并滿足業務目標的技術，數據存儲技術提供商Iron Mountain副總裁兼首席信息安全官Lorna Koppel說，“軟件定義安全就是一個值得考慮的技術。”

這對于不再想構建傳統物理邊界的組織機構而言十分重要，Koppel說，“傳統安全工具通過獲取具體的路由路徑，并通過物理隔離來保障數據安全。但面對日益復雜的環境時，這些遠遠不夠，因為一個組織機構沒法掌控所有的基礎設施。”

SDS能夠以靈活的方式提高組織對云服務或虛擬化系統的保護，Koppel說，“因為即便運行在相同設備上、相同的虛擬環境中的不同應用仍有著不同的安全需求。因此，考慮到所有資源是處于動態環境中的，用戶想要實現對資源的安全保護，且不增加更多的人力成本，就必須參與到每一個變化之中，隨需而動。”

這其中的關鍵在于用戶是否能夠把握運營支持的每一個環節，包括數據處理、安全漏洞及威脅分析等，Koppel說，“在這方面，軟件定義安全通過簡化管理能為企業節約更多的精力和資源，這對企業而言無疑是個巨大的幫助。”（編譯/劉貝貝）

SDS將能夠使零信任（Zero Trust）網絡變得更加安全。零信任的本質是企業不信任全部的網絡流量，而這就需要企業使用先進技術密切監測企業內部和外部的所有網絡流量。