《软件定义安全》之三：用软件定义的理念做安全

第3章 用软件定义的理念做安全

1.不进则退，传统安全回到“石器时代”

1.1 企业业务和IT基础设施的变化

随着企业办公环境变得便利，以及对降低成本的天然需求，企业始终追求IT集成设施的性价比、灵活性、稳定性和开放性。而云计算、移动办公等新技术和业务模式的出现，已经使企业的IT基础设施发生了极大的变革，此时传统安全已很难适应新的业务环境。

1.2 传统安全面临的挑战

目前传统安全面临着巨大的挑战，其原因主要有两点：IT系统的变革及安全威胁的挑战。
在云计算场景中，云计算平台使以往传统IT基础设施中的安全设备和安全机制失效，同时云计算平台本身的机制（如虚拟资源的申请和开通）也会改变IT和安全运维的方法和流程。如果这些问题不能解决，则将制约云计算平台的进一步发展。
关于前一个问题，传统安全体系在软件化、虚拟化网络环境中存在的问题如下。

1）虚拟化环境中，现有的物理安全机制可能无法观测到恶意攻击。

下图所示，虚拟机VM1和VM2在同一台物理主机内，那么两者的通信只存在于VM1、虚拟交换机和VM2之间，无法被外部的防火墙监控到，自然就不能做访问控制。

2）虚拟化网络中，数据包难以被现有安全机制所理解。

下图所示，虚拟机VM1和VM2在不同的物理主机内，虽然两者的通信经过外部防火墙，但由于物理主机间通过隧道相连，如果防火墙只是简单地部署在物理交换机一侧，那么它只能看到Host1到Host2的数据包，而不