编者按：尽管SDN有众多的优点，但并不是所有人都决定拥抱SDN，企业的安全负责人对SDN仍然是抱着怀疑态度，毕竟它还不成熟。

如今说起软件定义网络SDN，在网络世界可谓是无人不晓。这一起源于校园网络的“创新”，如今已经在数据中心等领域全面发扬光大。然而不得不说的是，SDN给数据中心带来的不仅仅是灵活性、可编程、自动化、低成本等诸多优势，还给数据中心的IT团队带来了一场新的“争论”，其中运维管理团队被SDN带来的自动化创新深深吸引，而安全团队则对此表示担忧。

近日，在悉尼召开的IT基础架构、运营与数据中心峰会上，Gartner的分析师研究主管Eric Ahlm就发表了关于“数据中心自动化对安全的影响”的主题演讲。

当前的安全技术，设计初衷不是由外部设备告诉它该做什么。Ahlm表示，出于多种因素考虑，安全系统通常被设计成为孤立的系统。然而在SDN的架构下，所有的硬件设备都要听从Controller（控制器）的指挥，旨在更敏捷、更高效地利用资源；相比之下，安全团队通常是小心翼翼，即使是很小的配置修改，也会非常谨慎。因此引入SDN，在安全团队看来是大改变、大挑战。

当然，支持SDN或SDX（软件定义一切）的数据中心运营团队肯定希望安全团队能够提速，特别是安全工具要变得更易实现自动化，并减少人的操作监管。

不过要实现这些，安全团队面临的挑战更大——当前他们可以清楚的掌控企业的资产在什么位置，这些资产在用于什么，并且可以实时监视、收集相关数据信息。但当SDN引入数据中心，安全的控制由不同的设备在不同的时间掌控，甚至在流量峰值出现时，安全的资源还回到其它数据中心“转几圈”，再回到本地...。针对这一新挑战，安全团队必须学会新的技巧。

针对上述挑战，Ahlm认为有两种解决办法：

第一，安全团队继续担当其选择和控制的角色，但要改变原来的选择标准，以便未来购买时，不会拒绝SDN或其它的数据中心自动化工具。

第二，让服务器团队去选择他们自己的安全工具，而安全团队则专注于监控、审计和调查。

当然，借助SDN，你还能看到有意思的创新解决方案，Ahlm举例谈到，当我们检测到一个针对系统的攻击时，借助SDN可以改变网络配置，而此时攻击者是无法察觉到配置变化的，这样即可将攻击者从原有目标上转移，转移到蜜罐系统之中，并保留数据以备取证；此外，针对可疑的流量，还可借助外部控制，修改其路由，从而提升安全性。

未来，SDN有望为安全带来更多创新，因此企业的IT团队应该团结一致，特别是安全团队，需要尽快了解SDN、以及SDX技术，这样才能真正提升企业的安全防护能力。
 
转载自：中关村在线