在移动互联、大数据、云计算、物联网蓬勃发展的今天，网络已经遍及社会经济的各个领域，但是网络威胁无处不在。一连串高危漏洞写满了2014年的时间卷轴，但这并未让数据中心技术在前进的路上倒下，尤其是在“互联网+”这扇时代之门已经敞开的时候，“软件定一切”的实现更显得尤为重要。但纵观软件定义数据中心的整条生态，软件定义安全(SDS)恰似一场春雨姗姗来迟。

软件定义安全“绝非炒作”

在Gartner列出的2014数字业务安全九大热门趋势中，软件定义安全排在首位。这并不是炒作，软件定义安全是数据中心发展到一定阶段的必备之物，这又是为何呢?

数据中心正处于革命性转变阶段，而这次革命将完全改写几十年来人们对数据中心的认知。究其核心，这一转变是由“软件”基础设施的崛起而驱动的。对于数据中心三个最重要的基础设施，即：服务器、网络和存储设备，皆一准备完毕，它们会让数据中心变得更为灵活，更自动化。在这样一个大背景下，达成软件定义一切的目标就决不能缺少安全，因为它现在好像一个“掉队者”。

“掉队”的原因可以归纳为三点：

第一， 无法适应防护边界的改变。过去的防护方法通常是根据网络的物理拓扑和服务器安全域，以手动方式在安全域边界构建流量监控设备，侦测可能遭遇的攻击。但虚拟数据中心解藕了这种关系，不但安全设备部署和管理过程异常复杂，网络防护的对象也可能在任何位置。

第二， 防护体系已经失效。虚拟化让服务器的安全性变得“既更安全也更为不安全”，不同虚拟机之间的通讯不再经过网络交换机，传统的入侵检测设备因此而失效。而“黑盒子”为代表的硬件安全设备包括了硬件、OS、内置安全软件，也只有管理员操作界面，极少有面向应用软件的API，这无疑把安全硬件设备和应用割裂开了。

第三， 防护间隙的产生与危害。一些休眠的虚拟机将会最终偏离数据中心的安全规则，并引入大量的安全漏洞。如果虚拟机在部署补丁或更新防病毒软件期间，未处于联机状态，它将处于不受保护的休眠状态，一旦激活、联机后将会立即受到攻击。

软件定义让攻防“重上起跑线”

还记得吗?当云计算和大数据技术出现时，很多人都表示这离实际部署很远，但现在这些技术都已经渐渐“平民化”。那么，当软件定义一切的时代已经来了呢?

在Infonetics Research发表的《关于2014年SDN策略：北美企业调查报告》中，45%的企业将会在2015年在其数据中心生产环境实现SDN的部署，这一数据到2016年还将上升到87%。但在技术人员部署SDN的时候，新的安全威胁也会产生，人们掌握一种完全不同的安全架构会很困难，而落后的产品架构可能让安全管理人员无法应对这些威胁。其中，有一点需要你清楚，相同的开放接口和已知的SDN协议，简化了的网络编程，也为攻击者提供了机会，网络入侵的攻防可能会重新站在一条起跑线上。

趋势科技出版的《演化的数据中心安全白皮书》中，很好的解释了软件定义时代的数据中心，同样需要能够适应软件定义的安全产品，这样才能发挥软件定义的优势，并解决由此所引发的新安全问题。而趋势科技基于软件定义安全设计的Deep Security可以帮上忙。

Deep Security通过SDN接口技术与VMware NSX实现无缝对接，这可以让安全策略自由的从内部私有云和公有云平台之间移动，管理员将能够通过快速且高水平地自动追踪资源的技术。其次，Deep Security对休眠的虚拟机一样可以监控和管理，保持企业统一的安全基线，并实现自适应的规则改变。另外，在不影响业务中断的环境下，以最低的成本使用紧急的虚拟补丁保护企业核心应用程序，消除防护间隙，防止数据泄露事件的发生。

软件定义安全技术和产品上的创新也许刚刚开始，趋势科技在Deep Security上的努力也只能算是我们应对未来危险的很小一部分。而如果软件定义安全可以支持动态安全域、随心所欲的构建和拆除系统保护、跨系统一致地执行安全政策，无论它的位置如何，但又不必担心性能，这些都是让安全可以跟上数据中心奔跑的速度。

作者：童宁

来源：51CTO