安全可以被軟件定義嗎?
軟件定義網絡(SDN)一直以來都是各方關注的熱點,網絡世界持續對 SDN進行前沿、廣泛的報道,但極少呈現有關軟件定義信息安全(SDIS)的相關報道文章。然而安全在信息領域一直占有不可撼動的重要地位,重要卻鮮
軟件定義網絡(SDN)一直以來都是各方關注的熱點,網絡世界持續對 SDN進行前沿、廣泛的報道,但極少呈現有關軟件定義信息安全(SDIS)的相關報道文章。然而安全在信息領域一直占有不可撼動的重要地位,重要卻鮮有人涉足,不禁引起了筆者對SDIS這個新概念的關注、研究、調查、采訪。以期為讀者從不同角度、客觀地呈現這個概念的概貌。
近日一個由眾多用戶和安全研究人員組成的名為“逐鹿安全”的組織吸引了筆者的關注與參與,而筆者參與的這次活動正是討論軟件定義與信息安全的關系。通過近4個小時的深入探討,傾聽了幾位來自大型企業的應用開發者,新興互聯網公司的高管,以及幾位安全研究人員的言論,讓筆者對于SDIS有了新的認識。
如何理解SDIS
國內外有個別廠商已經在研究SDN的安全或軟件定義信息安全(SDIS)的雛形。然而,研究方向基本上是遵照傳統的“軟件定義(SDX)”路線來研究。X可以是網絡、存儲、數據中心等等。但是“軟件定義”與“信息安全”碰撞在一起,是否真的可以按照SDX的路線來研究呢?信息安全的那些特質可否改變一般意義上的“軟件定義”形式?
首先簡單了解下目前已有的一些有關SDIS雛形的研究成果。用友軟件公司資深工程師白小勇(微博@quickbundle)的理念代表了目前IT從業人員從SDN視角來理解SDIS的部分觀點。他認為,安全硬件設備從前是一個整體黑盒子(硬件+OS+內置安全軟件),只有管理員操作界面,極少有面向應用軟件的API,這無疑把安全硬件設備和應用割裂開了。遵循SDN的思路,SDIS就是要強調安全設備打開黑盒子、提升可編程性、向應用開放有價值的API、同時確保安全邊界(例如API適當開放)。
上述論點僅代表了一類應用開發者的觀點,如若從安全從業者的視角觀察,可能會發現一些不同。目前所謂的軟件定義網絡、存儲等等全部都依托于硬件。然而,安全的本質是“軟”的,對硬件的依賴不是決定性的。一套完善的安全體系不只是涉及硬件,人的因素、管理因素、威脅建模等等都是安全體系中不可分割的重要組成部分。
更進一步,某大型國企的信息安全從業人員黃晟表示,信息安全需要遵循的“鐵律”中包含:縱深防御和最小權限配置。顯然,這兩條安全“鐵律”和之前對于SDIS的認知有些相悖的地方。安全定律是要收窄,而上述的SDIS是要有開放的API。一個要收窄,一個要開放,二者很難相容,因此這樣的SDIS意義不大。
SDIS終歸何處
黃晟表示,安全的本質就是要確保一件事情通過IT實現后必須按照原有設計的方式去執行,不被一些蓄意導致的因素所改變。比如需要采用信息安全手段確保一個實現了三級審批的應用系統必須嚴格遵循三級審批,而不能因為系統被攻擊而跳過一級審批。這樣的應用安全需求是與業務風險控制需求緊密結合的,安全要服務于應用。假設SDIS技術提供了上層應用可以動態控制下層防護策略的機制,那么就有人可以利用各種方式去打破已有的規則,從應用威脅到底層。因此,盲目向上層應用開發API控制接口的軟件定義安全形式存在的意義不大。立足加強應用安全防護能力的需求,尊重信息安全的特點,以業務需求、應用特點和風險控制為驅動,為應用系統設計并實現“貼身”的安全防護體系,從而做到安全服務于應用、安全融合于應用的“軟件定義”。
逐鹿安全沙龍成員,明朝萬達總裁王志海認為,軟件定義信息安全本質上是強調應用為中心的信息安全,即還是實現安全與應用的緊密融合,而不是簡單的網絡安全硬件API化。他的微博也表示:“軟件定義信息安全”有幾個核心點需要商議:該理念是信息安全防御體系自身整合的需要,是應用與安全融合以提升信息安全防護水平和用戶體驗的需要,也將推動以應用為中心構造安全防護邊界,更是IT異構化及網絡邊界模糊化趨勢的必然結果。
企業想打造一套完善的信息安全體系,就要從應用系統的視角,進行體系化的安全風險、需求分析,以及安全方案設計。目前對于SDIS中與SDN相似的一些理念與想法,可能是SDN相關安全的發展思路,或者只是部分思路,絕不應該是SDIS的全部。
近日一個由眾多用戶和安全研究人員組成的名為“逐鹿安全”的組織吸引了筆者的關注與參與,而筆者參與的這次活動正是討論軟件定義與信息安全的關系。通過近4個小時的深入探討,傾聽了幾位來自大型企業的應用開發者,新興互聯網公司的高管,以及幾位安全研究人員的言論,讓筆者對于SDIS有了新的認識。
如何理解SDIS
國內外有個別廠商已經在研究SDN的安全或軟件定義信息安全(SDIS)的雛形。然而,研究方向基本上是遵照傳統的“軟件定義(SDX)”路線來研究。X可以是網絡、存儲、數據中心等等。但是“軟件定義”與“信息安全”碰撞在一起,是否真的可以按照SDX的路線來研究呢?信息安全的那些特質可否改變一般意義上的“軟件定義”形式?
首先簡單了解下目前已有的一些有關SDIS雛形的研究成果。用友軟件公司資深工程師白小勇(微博@quickbundle)的理念代表了目前IT從業人員從SDN視角來理解SDIS的部分觀點。他認為,安全硬件設備從前是一個整體黑盒子(硬件+OS+內置安全軟件),只有管理員操作界面,極少有面向應用軟件的API,這無疑把安全硬件設備和應用割裂開了。遵循SDN的思路,SDIS就是要強調安全設備打開黑盒子、提升可編程性、向應用開放有價值的API、同時確保安全邊界(例如API適當開放)。
上述論點僅代表了一類應用開發者的觀點,如若從安全從業者的視角觀察,可能會發現一些不同。目前所謂的軟件定義網絡、存儲等等全部都依托于硬件。然而,安全的本質是“軟”的,對硬件的依賴不是決定性的。一套完善的安全體系不只是涉及硬件,人的因素、管理因素、威脅建模等等都是安全體系中不可分割的重要組成部分。
更進一步,某大型國企的信息安全從業人員黃晟表示,信息安全需要遵循的“鐵律”中包含:縱深防御和最小權限配置。顯然,這兩條安全“鐵律”和之前對于SDIS的認知有些相悖的地方。安全定律是要收窄,而上述的SDIS是要有開放的API。一個要收窄,一個要開放,二者很難相容,因此這樣的SDIS意義不大。
SDIS終歸何處
黃晟表示,安全的本質就是要確保一件事情通過IT實現后必須按照原有設計的方式去執行,不被一些蓄意導致的因素所改變。比如需要采用信息安全手段確保一個實現了三級審批的應用系統必須嚴格遵循三級審批,而不能因為系統被攻擊而跳過一級審批。這樣的應用安全需求是與業務風險控制需求緊密結合的,安全要服務于應用。假設SDIS技術提供了上層應用可以動態控制下層防護策略的機制,那么就有人可以利用各種方式去打破已有的規則,從應用威脅到底層。因此,盲目向上層應用開發API控制接口的軟件定義安全形式存在的意義不大。立足加強應用安全防護能力的需求,尊重信息安全的特點,以業務需求、應用特點和風險控制為驅動,為應用系統設計并實現“貼身”的安全防護體系,從而做到安全服務于應用、安全融合于應用的“軟件定義”。
逐鹿安全沙龍成員,明朝萬達總裁王志海認為,軟件定義信息安全本質上是強調應用為中心的信息安全,即還是實現安全與應用的緊密融合,而不是簡單的網絡安全硬件API化。他的微博也表示:“軟件定義信息安全”有幾個核心點需要商議:該理念是信息安全防御體系自身整合的需要,是應用與安全融合以提升信息安全防護水平和用戶體驗的需要,也將推動以應用為中心構造安全防護邊界,更是IT異構化及網絡邊界模糊化趨勢的必然結果。
企業想打造一套完善的信息安全體系,就要從應用系統的視角,進行體系化的安全風險、需求分析,以及安全方案設計。目前對于SDIS中與SDN相似的一些理念與想法,可能是SDN相關安全的發展思路,或者只是部分思路,絕不應該是SDIS的全部。
責任編輯:熊川
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡