实现软件定义网络安全的方法之一是对网络管理采用“零接触”的方法。下面让我们了解如何实现这种方法以及在这之前需要做出什么改变。

软件定义网络（SDN）是比较宽泛的术语，SDN对于不同的人意味着不同的东西。其中一个原始定义偏向于流量控制，网络虚拟化和NFV通常也被认为是SDN；另一种SDN概念则侧重于设备管理和配置，而通过SDN提供软件定义网络安全又是另一个主题。IT顾问Kevin Beaver详细介绍了利用零信任的概念和通过网络虚拟化的网络分段。在这篇文章中，我们将探讨如何通过扩展SDN来实现软件定义网络安全，我们还将解释SDN为何需要一种新方法来保护SDN的管理。

网络管理安全的现状

在我们开始谈论数据包之前，让我们讨论一个实际考虑因素——管理安全。在当今的数据中心中，网络管理并不是重点，管理安全已经在近20年没有改变。现在，网络管理员仍然使用传统身份和访问管理（IAM）工具来控制及记录对网络设备的访问，在以设备为中心的模式中，这似乎过于复杂。

在以设备为中心的模式中，安全管理员通过TACACS+部署设备级权限，TACACS+可能会绑定回LDAP。高级环境可能部署基于角色的安全，以提供对网络功能不同级别的访问。这里的挑战是，这种方法并不会考虑目的是什么。这里需要大量工作来绑定设备级权限以符合管理员的特定要求。例如，初级管理员有权限创建VLAN来支持通用应用，然而，初级管理员不应该有权限在相同交换机上创建从非安全区域到PCI区域的路径。

软件定义网络安全

解决上述安全问题的方法之一是对网络更改采取零接触的设计。Facebook和谷歌等大公司已经不再通过工程师登录到单个网络上来进行网络变更，毕竟这种技术并不适合企业级数据中心。为此，笔者采访了Matt Oswalt，他正在牵头做一个名为Testing on Demand Driven（ToDD）的开源项目，ToDD允许网络工程师测试网络配置更改，Oswalt将ToDD视为机器中的螺丝钉，以实现SDN自动化。

在未来，SDN控制器和配套应用及工具将支持零接触的配置策略。基于模板的配置将取代基于设备的规则和配置，对配置的验证将通过集中管理和安全审计工具来实现。管理员将不再通过命令行（CLI）界面来配置设备，而将通过集中编排工具进行更改，这些工具会验证提议的更改是否符合企业数据安全策略。

在零接触技术以及软件定义网络安全广泛普及之前，我们还有大量的工作要做。除了技术挑战，现有网络管理员和工程师的心态也需要改变。企业将需要抛弃现有网络变更管理和安全的概念，以完全支持自动化以及更高的安全标准。