安全可以被軟件定義嗎?

軟件定義網(wǎng)絡(luò)[注](SDN[注])一直以來(lái)都是各方關(guān)注的熱點(diǎn)，網(wǎng)絡(luò)世界持續(xù)對(duì) SDN進(jìn)行前沿、廣泛的報(bào)道，但極少呈現(xiàn)有關(guān)軟件定義信息安全(SDIS)的相關(guān)報(bào)道文章。然而安全在信息領(lǐng)域一直占有不可撼動(dòng)的重要地位，重要卻鮮有人涉足，不禁引起了筆者對(duì)SDIS這個(gè)新概念的關(guān)注、研究、調(diào)查、采訪。以期為讀者從不同角度、客觀地呈現(xiàn)這個(gè)概念的概貌。

近日一個(gè)由眾多用戶和安全研究人員組成的名為“逐鹿安全”的組織吸引了筆者的關(guān)注與參與，而筆者參與的這次活動(dòng)正是討論軟件定義與信息安全的關(guān)系。通過(guò)近4個(gè)小時(shí)的深入探討，傾聽(tīng)了幾位來(lái)自大型企業(yè)的應(yīng)用開(kāi)發(fā)者，新興互聯(lián)網(wǎng)公司的高管，以及幾位安全研究人員的言論，讓筆者對(duì)于SDIS有了新的認(rèn)識(shí)。

如何理解SDIS

國(guó)內(nèi)外有個(gè)別廠商已經(jīng)在研究SDN的安全或軟件定義信息安全(SDIS)的雛形。然而，研究方向基本上是遵照傳統(tǒng)的“軟件定義(SDX)”路線來(lái)研究。X可以是網(wǎng)絡(luò)、存儲(chǔ)、數(shù)據(jù)中心等等。但是“軟件定義”與“信息安全”碰撞在一起，是否真的可以按照SDX的路線來(lái)研究呢?信息安全的那些特質(zhì)可否改變一般意義上的“軟件定義”形式?

首先簡(jiǎn)單了解下目前已有的一些有關(guān)SDIS雛形的研究成果。用友軟件公司資深工程師白小勇(微博@quickbundle)的理念代表了目前IT從業(yè)人員從SDN視角來(lái)理解SDIS的部分觀點(diǎn)。他認(rèn)為，安全硬件設(shè)備從前是一個(gè)整體黑盒子(硬件+OS+內(nèi)置安全軟件)，只有管理員操作界面，極少有面向應(yīng)用軟件的API，這無(wú)疑把安全硬件設(shè)備和應(yīng)用割裂開(kāi)了。遵循SDN的思路，SDIS就是要強(qiáng)調(diào)安全設(shè)備打開(kāi)黑盒子、提升可編程性、向應(yīng)用開(kāi)放有價(jià)值的API、同時(shí)確保安全邊界(例如API適當(dāng)開(kāi)放)。

上述論點(diǎn)僅代表了一類應(yīng)用開(kāi)發(fā)者的觀點(diǎn)，如若從安全從業(yè)者的視角觀察，可能會(huì)發(fā)現(xiàn)一些不同。目前所謂的軟件定義網(wǎng)絡(luò)、存儲(chǔ)等等全部都依托于硬件。然而，安全的本質(zhì)是“軟”的，對(duì)硬件的依賴不是決定性的。一套完善的安全體系不只是涉及硬件，人的因素、管理因素、威脅建模等等都是安全體系中不可分割的重要組成部分。

更進(jìn)一步，某大型國(guó)企的信息安全從業(yè)人員黃晟(@phreaker)表示，信息安全需要遵循的“鐵律”中包含：縱深防御和最小權(quán)限配置。顯然，這兩條安全“鐵律”和之前對(duì)于SDIS的認(rèn)知有些相悖的地方。安全定律是要收窄，而上述的SDIS是要有開(kāi)放的API。一個(gè)要收窄，一個(gè)要開(kāi)放，二者很難相容，因此這樣的SDIS意義不大。

SDIS終歸何處

黃晟表示，安全的本質(zhì)就是要確保一件事情通過(guò)IT實(shí)現(xiàn)后必須按照原有設(shè)計(jì)的方式去執(zhí)行，不被一些蓄意導(dǎo)致的因素所改變。比如需要采用信息安全手段確保一個(gè)實(shí)現(xiàn)了三級(jí)審批的應(yīng)用系統(tǒng)必須嚴(yán)格遵循三級(jí)審批，而不能因?yàn)橄到y(tǒng)被攻擊而跳過(guò)一級(jí)審批。這樣的應(yīng)用安全需求是與業(yè)務(wù)風(fēng)險(xiǎn)控制需求緊密結(jié)合的，安全要服務(wù)于應(yīng)用。假設(shè)SDIS技術(shù)提供了上層應(yīng)用可以動(dòng)態(tài)控制下層防護(hù)策略的機(jī)制，那么就有人可以利用各種方式去打破已有的規(guī)則，從應(yīng)用威脅到底層。因此，盲目向上層應(yīng)用開(kāi)發(fā)API控制接口的軟件定義安全形式存在的意義不大。立足加強(qiáng)應(yīng)用安全防護(hù)能力的需求，尊重信息安全的特點(diǎn)，以業(yè)務(wù)需求、應(yīng)用特點(diǎn)和風(fēng)險(xiǎn)控制為驅(qū)動(dòng)，為應(yīng)用系統(tǒng)設(shè)計(jì)并實(shí)現(xiàn)“貼身”的安全防護(hù)體系，從而做到安全服務(wù)于應(yīng)用、安全融合于應(yīng)用的“軟件定義”。

逐鹿安全沙龍成員，明朝萬(wàn)達(dá)總裁王志海認(rèn)為，軟件定義信息安全本質(zhì)上是強(qiáng)調(diào)應(yīng)用為中心的信息安全，即還是實(shí)現(xiàn)安全與應(yīng)用的緊密融合，而不是簡(jiǎn)單的網(wǎng)絡(luò)安全硬件API化。他的微博也表示：“軟件定義信息安全”有幾個(gè)核心點(diǎn)需要商議：該理念是信息安全防御體系自身整合的需要，是應(yīng)用與安全融合以提升信息安全防護(hù)水平和用戶體驗(yàn)的需要，也將推動(dòng)以應(yīng)用為中心構(gòu)造安全防護(hù)邊界，更是IT異構(gòu)化及網(wǎng)絡(luò)邊界模糊化趨勢(shì)的必然結(jié)果。

企業(yè)想打造一套完善的信息安全體系，就要從應(yīng)用系統(tǒng)的視角，進(jìn)行體系化的安全風(fēng)險(xiǎn)、需求分析，以及安全方案設(shè)計(jì)。目前對(duì)于SDIS中與SDN相似的一些理念與想法，可能是SDN相關(guān)安全的發(fā)展思路，或者只是部分思路，絕不應(yīng)該是SDIS的全部。