Программно-конфигурируемые сети (software-defined networking, SDN), получающие в настоящее время все более широкое распространение, начинают брать новые высоты в области ИТ-безопасности, а некоторые поставщики утверждают, что в ближайшее время они выведут нас на недостижимый пока уровень интероперабельности.
«Мы видим, что SDN — это открытая сетевая инфраструктура, которая уводит людей от проприетарных решений, — отметил главный разработчик стратегии безопасности Citrix Systems Курт Ремер. — В перспективе сети будут определяться с помощью более открытых динамических ‘потоков’, а не взаимоотношений на уровне IP, в большей степени зависящих от поставщиков. Думаю, что проект OpenDaylight, реализуемый организацией Linux Foundation, будет способствовать объединению поставщиков и обеспечению открытости продуктов SDN, что должно привести к созданию более безопасных сетей.
Здесь есть потенциал для укрепления безопасности на уровне организации рабочей нагрузки и связи, в среде, которая предусматривает надежное шифрование. Есть потенциал для разработки соответствующих стандартов безопасности организациями, в число которых входят IETF и Trusted Computing Group.
Другие специалисты также настроены оптимистично, но полагают, что о силе влияния SDN на ИТ-безопасность говорить еще слишком рано.
«Помогут ли решения на основе SDN укреплять безопасность в целом? На наш взгляд, безусловно, — заявил Риши Бхаргава, генеральный менеджер и вице-президент подразделения Intel Security Solutions, занимающийся вопросами программно-конфигурируемых ЦОД. — В программно-конфигурируемых центрах обработки данных управление безопасностью выводится на более высокий уровень детализации, а решение соответствующих задач осуществляется с помощью программно-аппаратных комплексов. Однако нам еще только предстоит определить, что означает интероперабельность в сфере безопасности для SDN с точки зрения OpenStack. Поэтому утверждать что-либо пока слишком рано».
Вопросы безопасности виртуальных машин обсуждались на конференции VMworld Conference, прошедшей в августе в Сан-Франциско. Основное внимание там уделялось платформе программно-конфигурируемых сетей и безопасности VMware NSX. Подразделение Intel Security Solutions (куда входит и приобретенный корпорацией Intel бизнес McAfee) анонсировало контроллер, предназначенный для приема с управляющей консоли VMware NSX команд, которые позволят существующим системам предотвращения вторжения McAfee защитить виртуальные машины в среде NSX. Решение это оптимизировано для работы на серверах с процессорами Intel Xeon.
Бхаргава указал, что новый подход позволяет отказаться от используемых сейчас неудобных элементов ручного управления. Потенциальный же недостаток такой интеграции заключается в невозможности изменения политик в тех случаях, когда консоль управления NSX по каким-то причинам недоступна. Ожидается, что поставки контроллера безопасности Intel/McAfee, представленного сейчас в виде бета-версии, начнутся в четвертом квартале.
В Intel Security намерены расширять интеграцию с VMware NSX, не ограничиваясь одной лишь системой предотвращения вторжения. Сюда будет добавлена поддержка межсетевого экрана McAfee Next-Generation Firewall, продуктов предотвращения потери данных и антивирусного пакета для виртуальных сред MOVE AntiVirus. В перспективе аналогичная интеграция возможна и с OpenStack.
Директор McAfee по маркетингу продуктов Джей Кей Лиалиас, отвечающий за решения в области безопасности серверов, защиты данных и управления безопасностью, сообщил, что новые программные коннекторы для облачных платформ OpenStack KVM и Microsoft Windows Azure дополнят возможности средства управления безопасностью серверов функциями традиционной консоли управления McAfee ePolicy Orchestrator.