软件定义网络安全:一种"零接触"方法

日期:2016-11-18作者:Keith Townsend

【TechTarget中国原创】

实现软件定义网络安全的方法之一是对网络管理采用“零接触”的方法。下面让我们了解如何实现这种方法以及在这之前需要做出什么改变。

软件定义网络(SDN)是比较宽泛的术语,SDN对于不同的人意味着不同的东西。其中一个原始定义偏向于流量控制,网络虚拟化和NFV通常也被认为是SDN;另一种SDN概念则侧重于设备管理和配置,而通过SDN提供软件定义网络安全又是另一个主题。IT顾问Kevin Beaver详细介绍了利用零信任的概念和通过网络虚拟化的网络分段。在这篇文章中,我们将探讨如何通过扩展SDN来实现软件定义网络安全,我们还将解释SDN为何需要一种新方法来保护SDN的管理。

网络管理安全的现状

在我们开始谈论数据包之前,让我们讨论一个实际考虑因素——管理安全。在当今的数据中心中,网络管理并不是重点,管理安全已经在近20年没有改变。现在,网络管理员仍然使用传统身份和访问管理(IAM)工具来控制及记录对网络设备的访问,在以设备为中心的模式中,这似乎过于复杂。

在以设备为中心的模式中,安全管理员通过TACACS+部署设备级权限,TACACS+可能会绑定回LDAP。高级环境可能部署基于角色的安全,以提供对网络功能不同级别的访问。这里的挑战是,这种方法并不会考虑目的是什么。这里需要大量工作来绑定设备级权限以符合管理员的特定要求。例如,初级管理员有权限创建VLAN来支持通用应用,然而,初级管理员不应该有权限在相同交换机上创建从非安全区域到PCI区域的路径。

软件定义网络安全

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Keith Townsend
Keith Townsend

TechTarget特约作者

信息系统管理>更多

  • 用融合基础设施来消除IT复杂性

    融合系统的吸引力源于其具备一个优化的平台,能够消除IT环境中大量的复杂性。那么,什么时候是转向融合基础设施的最佳时间呢?

  • 航空公司数据中心频宕机:仅靠DR远远不够

    去年达美航空公司的宕机在平静的航空业掀起了涟漪,而后宕机事件可谓前赴后继。IT中断给乘客带来不好的用户体验外,也让航空公司遭受巨大的经济损失。那么航空公司有没有从这一起起事件中获得一些经验教训呢?

  • 当GPU加速计算遇上传统数据中心……

    曾经被视为游戏技术的GPU,如今已经进入企业数据中心,并促进了在这一领域机器学习、人工智能等方面的发展……

  • 企业掌握不好节奏?看双模IT效果如何

    双模式IT的理念——一个由Gartner所创建的术语,指IT公司在两个方面都要保持关注性,并引导企业走入未来。不言自明的是,这些任务往往需要不同的属性……

相关推荐

技术手册>更多

  • 网络访问控制NAC指导手册

    网络安全日益严峻,我们还能相信谁?幸好有网络访问控制(NAC),它采用了SSL VPN,禁止没有采取健全安全措施的客户端访问网络。

  • 使用脚本管理Windows网络(更新版)

    “授人以鱼,不如授人以渔。”的确如此。而在忙碌的IT世界里,这也适用于脚本化管理:“给人一个有用的脚本,不如教他自己写脚本。”

  • 云计算对广域网的影响

    云计算对于广域网的影响深远。曾经的WAN只用来进行分发互联工作,而现在我们正进入一个全新的WAN时代:云计算。

  • 路由协议基础

    路由器提供了将异构网互联的机制,实现将一个网络的数据包发送到另一个网络。而路由就是指导IP数据包发送的路径信息。路由协议就是在路由指导IP数据包发送过程中事先约定好的规定和标准。管理路由器需要了解这种路由器的基本语言,也就是路由协议。你对基本的路由协议越熟悉,将来诊断网络路由协议中的故障就越容易。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

实现软件定义网络安全的方法之一是对网络管理采用“零接触”的方法。下面让我们了解如何实现这种方法以及在这之前需要做出什么改变。

软件定义网络(SDN)是比较宽泛的术语,SDN对于不同的人意味着不同的东西。其中一个原始定义偏向于流量控制,网络虚拟化和NFV通常也被认为是SDN;另一种SDN概念则侧重于设备管理和配置,而通过SDN提供软件定义网络安全又是另一个主题。IT顾问Kevin Beaver详细介绍了利用零信任的概念和通过网络虚拟化的网络分段。在这篇文章中,我们将探讨如何通过扩展SDN来实现软件定义网络安全,我们还将解释SDN为何需要一种新方法来保护SDN的管理。

网络管理安全的现状

在我们开始谈论数据包之前,让我们讨论一个实际考虑因素——管理安全。在当今的数据中心中,网络管理并不是重点,管理安全已经在近20年没有改变。现在,网络管理员仍然使用传统身份和访问管理(IAM)工具来控制及记录对网络设备的访问,在以设备为中心的模式中,这似乎过于复杂。

在以设备为中心的模式中,安全管理员通过TACACS+部署设备级权限,TACACS+可能会绑定回LDAP。高级环境可能部署基于角色的安全,以提供对网络功能不同级别的访问。这里的挑战是,这种方法并不会考虑目的是什么。这里需要大量工作来绑定设备级权限以符合管理员的特定要求。例如,初级管理员有权限创建VLAN来支持通用应用,然而,初级管理员不应该有权限在相同交换机上创建从非安全区域到PCI区域的路径。

软件定义网络安全

解决上述安全问题的方法之一是对网络更改采取零接触的设计。Facebook和谷歌等大公司已经不再通过工程师登录到单个网络上来进行网络变更,毕竟这种技术并不适合企业级数据中心。为此,笔者采访了Matt Oswalt,他正在牵头做一个名为Testing on Demand Driven(ToDD)的开源项目,ToDD允许网络工程师测试网络配置更改,Oswalt将ToDD视为机器中的螺丝钉,以实现SDN自动化。

在未来,SDN控制器和配套应用及工具将支持零接触的配置策略。基于模板的配置将取代基于设备的规则和配置,对配置的验证将通过集中管理和安全审计工具来实现。管理员将不再通过命令行(CLI)界面来配置设备,而将通过集中编排工具进行更改,这些工具会验证提议的更改是否符合企业数据安全策略。

在零接触技术以及软件定义网络安全广泛普及之前,我们还有大量的工作要做。除了技术挑战,现有网络管理员和工程师的心态也需要改变。企业将需要抛弃现有网络变更管理和安全的概念,以完全支持自动化以及更高的安全标准。