淺談軟件定義、超融合架構的資安防禦策略

HCI(Hyper Converged Infrastructure)超融合架構是一種建基於 Web Scale 概念而成的全新軟件定義網絡架構,所有基於 Web Scale 概念的網絡架構,例如現時的 Google、AWS 等,由於是採用軟件定義的方式建立,因此均具有極高靈活性,而且能做到按需要靈活及快速地完成重新架構,過程之中亦不會影響正常的服務。

擁有如此高度的靈活性,對於 IT 人而言,當然是十分開心,事關每次擴展基建架構時,都無需大費周章,然而高靈活性會帶來另一問題,就是當中的資安防禦策略應該如何部署呢?

保安部署亦需配合高靈活性
傳統的數據中心資安方案,多是針對不同範疇作相應資安部署,例如針對網絡部署防火牆即可提供有效防禦能力!不過在一個大型的基建架構之中,本身已是相當複雜,而要針對不同部份部署資安方案明顯絕不簡單,而且亦需要考慮到管理上的種種困難!

在一個主打靈活性的 SDDC(Software-defined data centre)或 HCI 架構之中,要將傳統的資安方案套用在內,其實反而會影響架構本身的靈活性,因此傳統方法絕不適用於針對 SDDC 或 HCI 方案之上,那究竟怎樣的方案才合適呢?答案就像軟件定義一樣,需要擁有高度靈活性的防禦方案才可!一些基於策略管理 Policy-based 的防禦方案相對適合,事關基於應用的 Policy-based 防禦能擁有較高靈活性,亦有利於應用資料在網絡之內迅速傳輸交換期間持續提供保護。

另一方面,基於應用的 Policy-based 防禦亦能有效降低整體的複雜性,同時更可令資安防禦工作集中於針對應用負載而非傳統所針對的 ports 進行防禦等等;至於獨立的伺服器或者用戶的工作負載,則可採用政策 Policy-based 以限制用戶在使用期間的行為,從而達致有效的資安防禦工作。

配置全天侯監控方案
然後便是針對系統配置一些全天侯監控方案,這些方案能針對整個 SDDC 或 HCI 之中的各個虛擬機進行監控,當設定或其他配置出現變動時,管理員可即時收到通知,這樣即使不幸被駭客入侵,亦可有效得知他們的動作並進行相應防禦對策。

避免平台被入侵
除了這些策略 Policy-based 的防禦之外,我們 back to basics,想分享一下另一個常見的資安問題,那就是控制平台被入侵!一個控制平台,尤其是 HCI 的控制平台,基本上能擁有整個軟件定義網絡的權限,因此要如何避免被入侵,亦是十分重要的! 其中一個老生常談的說法,就是請經常更新你的系統以及採用組合較為複雜的密碼,一個小小的動作便可大大提升整體的安全性。

總結
現時 HCI 以及 SDDC 對於很多企業來說,仍然是一個較新的領域!但隨著未來 HCI 或 SDDC 的部署方式更為普及,相信很快便會出現一些專門針對相關範疇的資安方案,但暫時來說,以上的方式相信會是一個不錯的防禦方法。