安全可以被軟件定義嗎?
軟件定義網(wǎng)絡(SDN)一直以來都是各方關注的熱點,網(wǎng)絡世界持續(xù)對 SDN進行前沿、廣泛的報道,但極少呈現(xiàn)有關軟件定義信息安全(SDIS)的相關報道文章。然而安全在信息領域一直占有不可撼動的重要地位,重要卻鮮
軟件定義網(wǎng)絡(SDN)一直以來都是各方關注的熱點,網(wǎng)絡世界持續(xù)對 SDN進行前沿、廣泛的報道,但極少呈現(xiàn)有關軟件定義信息安全(SDIS)的相關報道文章。然而安全在信息領域一直占有不可撼動的重要地位,重要卻鮮有人涉足,不禁引起了筆者對SDIS這個新概念的關注、研究、調(diào)查、采訪。以期為讀者從不同角度、客觀地呈現(xiàn)這個概念的概貌。
近日一個由眾多用戶和安全研究人員組成的名為“逐鹿安全”的組織吸引了筆者的關注與參與,而筆者參與的這次活動正是討論軟件定義與信息安全的關系。通過近4個小時的深入探討,傾聽了幾位來自大型企業(yè)的應用開發(fā)者,新興互聯(lián)網(wǎng)公司的高管,以及幾位安全研究人員的言論,讓筆者對于SDIS有了新的認識。
如何理解SDIS
國內(nèi)外有個別廠商已經(jīng)在研究SDN的安全或軟件定義信息安全(SDIS)的雛形。然而,研究方向基本上是遵照傳統(tǒng)的“軟件定義(SDX)”路線來研究。X可以是網(wǎng)絡、存儲、數(shù)據(jù)中心等等。但是“軟件定義”與“信息安全”碰撞在一起,是否真的可以按照SDX的路線來研究呢?信息安全的那些特質可否改變一般意義上的“軟件定義”形式?
首先簡單了解下目前已有的一些有關SDIS雛形的研究成果。用友軟件公司資深工程師白小勇(微博@quickbundle)的理念代表了目前IT從業(yè)人員從SDN視角來理解SDIS的部分觀點。他認為,安全硬件設備從前是一個整體黑盒子(硬件+OS+內(nèi)置安全軟件),只有管理員操作界面,極少有面向應用軟件的API,這無疑把安全硬件設備和應用割裂開了。遵循SDN的思路,SDIS就是要強調(diào)安全設備打開黑盒子、提升可編程性、向應用開放有價值的API、同時確保安全邊界(例如API適當開放)。
上述論點僅代表了一類應用開發(fā)者的觀點,如若從安全從業(yè)者的視角觀察,可能會發(fā)現(xiàn)一些不同。目前所謂的軟件定義網(wǎng)絡、存儲等等全部都依托于硬件。然而,安全的本質是“軟”的,對硬件的依賴不是決定性的。一套完善的安全體系不只是涉及硬件,人的因素、管理因素、威脅建模等等都是安全體系中不可分割的重要組成部分。
更進一步,某大型國企的信息安全從業(yè)人員黃晟表示,信息安全需要遵循的“鐵律”中包含:縱深防御和最小權限配置。顯然,這兩條安全“鐵律”和之前對于SDIS的認知有些相悖的地方。安全定律是要收窄,而上述的SDIS是要有開放的API。一個要收窄,一個要開放,二者很難相容,因此這樣的SDIS意義不大。
SDIS終歸何處
黃晟表示,安全的本質就是要確保一件事情通過IT實現(xiàn)后必須按照原有設計的方式去執(zhí)行,不被一些蓄意導致的因素所改變。比如需要采用信息安全手段確保一個實現(xiàn)了三級審批的應用系統(tǒng)必須嚴格遵循三級審批,而不能因為系統(tǒng)被攻擊而跳過一級審批。這樣的應用安全需求是與業(yè)務風險控制需求緊密結合的,安全要服務于應用。假設SDIS技術提供了上層應用可以動態(tài)控制下層防護策略的機制,那么就有人可以利用各種方式去打破已有的規(guī)則,從應用威脅到底層。因此,盲目向上層應用開發(fā)API控制接口的軟件定義安全形式存在的意義不大。立足加強應用安全防護能力的需求,尊重信息安全的特點,以業(yè)務需求、應用特點和風險控制為驅動,為應用系統(tǒng)設計并實現(xiàn)“貼身”的安全防護體系,從而做到安全服務于應用、安全融合于應用的“軟件定義”。
逐鹿安全沙龍成員,明朝萬達總裁王志海認為,軟件定義信息安全本質上是強調(diào)應用為中心的信息安全,即還是實現(xiàn)安全與應用的緊密融合,而不是簡單的網(wǎng)絡安全硬件API化。他的微博也表示:“軟件定義信息安全”有幾個核心點需要商議:該理念是信息安全防御體系自身整合的需要,是應用與安全融合以提升信息安全防護水平和用戶體驗的需要,也將推動以應用為中心構造安全防護邊界,更是IT異構化及網(wǎng)絡邊界模糊化趨勢的必然結果。
企業(yè)想打造一套完善的信息安全體系,就要從應用系統(tǒng)的視角,進行體系化的安全風險、需求分析,以及安全方案設計。目前對于SDIS中與SDN相似的一些理念與想法,可能是SDN相關安全的發(fā)展思路,或者只是部分思路,絕不應該是SDIS的全部。
近日一個由眾多用戶和安全研究人員組成的名為“逐鹿安全”的組織吸引了筆者的關注與參與,而筆者參與的這次活動正是討論軟件定義與信息安全的關系。通過近4個小時的深入探討,傾聽了幾位來自大型企業(yè)的應用開發(fā)者,新興互聯(lián)網(wǎng)公司的高管,以及幾位安全研究人員的言論,讓筆者對于SDIS有了新的認識。
如何理解SDIS
國內(nèi)外有個別廠商已經(jīng)在研究SDN的安全或軟件定義信息安全(SDIS)的雛形。然而,研究方向基本上是遵照傳統(tǒng)的“軟件定義(SDX)”路線來研究。X可以是網(wǎng)絡、存儲、數(shù)據(jù)中心等等。但是“軟件定義”與“信息安全”碰撞在一起,是否真的可以按照SDX的路線來研究呢?信息安全的那些特質可否改變一般意義上的“軟件定義”形式?
首先簡單了解下目前已有的一些有關SDIS雛形的研究成果。用友軟件公司資深工程師白小勇(微博@quickbundle)的理念代表了目前IT從業(yè)人員從SDN視角來理解SDIS的部分觀點。他認為,安全硬件設備從前是一個整體黑盒子(硬件+OS+內(nèi)置安全軟件),只有管理員操作界面,極少有面向應用軟件的API,這無疑把安全硬件設備和應用割裂開了。遵循SDN的思路,SDIS就是要強調(diào)安全設備打開黑盒子、提升可編程性、向應用開放有價值的API、同時確保安全邊界(例如API適當開放)。
上述論點僅代表了一類應用開發(fā)者的觀點,如若從安全從業(yè)者的視角觀察,可能會發(fā)現(xiàn)一些不同。目前所謂的軟件定義網(wǎng)絡、存儲等等全部都依托于硬件。然而,安全的本質是“軟”的,對硬件的依賴不是決定性的。一套完善的安全體系不只是涉及硬件,人的因素、管理因素、威脅建模等等都是安全體系中不可分割的重要組成部分。
更進一步,某大型國企的信息安全從業(yè)人員黃晟表示,信息安全需要遵循的“鐵律”中包含:縱深防御和最小權限配置。顯然,這兩條安全“鐵律”和之前對于SDIS的認知有些相悖的地方。安全定律是要收窄,而上述的SDIS是要有開放的API。一個要收窄,一個要開放,二者很難相容,因此這樣的SDIS意義不大。
SDIS終歸何處
黃晟表示,安全的本質就是要確保一件事情通過IT實現(xiàn)后必須按照原有設計的方式去執(zhí)行,不被一些蓄意導致的因素所改變。比如需要采用信息安全手段確保一個實現(xiàn)了三級審批的應用系統(tǒng)必須嚴格遵循三級審批,而不能因為系統(tǒng)被攻擊而跳過一級審批。這樣的應用安全需求是與業(yè)務風險控制需求緊密結合的,安全要服務于應用。假設SDIS技術提供了上層應用可以動態(tài)控制下層防護策略的機制,那么就有人可以利用各種方式去打破已有的規(guī)則,從應用威脅到底層。因此,盲目向上層應用開發(fā)API控制接口的軟件定義安全形式存在的意義不大。立足加強應用安全防護能力的需求,尊重信息安全的特點,以業(yè)務需求、應用特點和風險控制為驅動,為應用系統(tǒng)設計并實現(xiàn)“貼身”的安全防護體系,從而做到安全服務于應用、安全融合于應用的“軟件定義”。
逐鹿安全沙龍成員,明朝萬達總裁王志海認為,軟件定義信息安全本質上是強調(diào)應用為中心的信息安全,即還是實現(xiàn)安全與應用的緊密融合,而不是簡單的網(wǎng)絡安全硬件API化。他的微博也表示:“軟件定義信息安全”有幾個核心點需要商議:該理念是信息安全防御體系自身整合的需要,是應用與安全融合以提升信息安全防護水平和用戶體驗的需要,也將推動以應用為中心構造安全防護邊界,更是IT異構化及網(wǎng)絡邊界模糊化趨勢的必然結果。
企業(yè)想打造一套完善的信息安全體系,就要從應用系統(tǒng)的視角,進行體系化的安全風險、需求分析,以及安全方案設計。目前對于SDIS中與SDN相似的一些理念與想法,可能是SDN相關安全的發(fā)展思路,或者只是部分思路,絕不應該是SDIS的全部。
責任編輯:熊川
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡
