安全可以被软件定义吗?

安全可以被软件定义吗?

软件定义网络[注](SDN[注])一直以来都是各方关注的热点，网络世界持续对 SDN进行前沿、广泛的报道，但极少呈现有关软件定义信息安全(SDIS)的相关报道文章。然而安全在信息领域一直占有不可撼动的重要地位，重要却鲜有人涉足，不禁引起了笔者对SDIS这个新概念的关注、研究、调查、采访。以期为读者从不同角度、客观地呈现这个概念的概貌。

近日一个由众多用户和安全研究人员组成的名为“逐鹿安全”的组织吸引了笔者的关注与参与，而笔者参与的这次活动正是讨论软件定义与信息安全的关系。通过近4个小时的深入探讨，倾听了几位来自大型企业的应用开发者，新兴互联网公司的高管，以及几位安全研究人员的言论，让笔者对于SDIS有了新的认识。

如何理解SDIS

国内外有个别厂商已经在研究SDN的安全或软件定义信息安全(SDIS)的雏形。然而，研究方向基本上是遵照传统的“软件定义(SDX)”路线来研究。X可以是网络、存储、数据中心等等。但是“软件定义”与“信息安全”碰撞在一起，是否真的可以按照SDX的路线来研究呢?信息安全的那些特质可否改变一般意义上的“软件定义”形式?

首先简单了解下目前已有的一些有关SDIS雏形的研究成果。用友软件公司资深工程师白小勇(微博@quickbundle)的理念代表了目前IT从业人员从SDN视角来理解SDIS的部分观点。他认为，安全硬件设备从前是一个整体黑盒子(硬件+OS+内置安全软件)，只有管理员操作界面，极少有面向应用软件的API，这无疑把安全硬件设备和应用割裂开了。遵循SDN的思路，SDIS就是要强调安全设备打开黑盒子、提升可编程性、向应用开放有价值的API、同时确保安全边界(例如API适当开放)。

上述论点仅代表了一类应用开发者的观点，如若从安全从业者的视角观察，可能会发现一些不同。目前所谓的软件定义网络、存储等等全部都依托于硬件。然而，安全的本质是“软”的，对硬件的依赖不是决定性的。一套完善的安全体系不只是涉及硬件，人的因素、管理因素、威胁建模等等都是安全体系中不可分割的重要组成部分。

更进一步，某大型国企的信息安全从业人员黄晟(@phreaker)表示，信息安全需要遵循的“铁律”中包含：纵深防御和最小权限配置。显然，这两条安全“铁律”和之前对于SDIS的认知有些相悖的地方。安全定律是要收窄，而上述的SDIS是要有开放的API。一个要收窄，一个要开放，二者很难相容，因此这样的SDIS意义不大。

SDIS终归何处

黄晟表示，安全的本质就是要确保一件事情通过IT实现后必须按照原有设计的方式去执行，不被一些蓄意导致的因素所改变。比如需要采用信息安全手段确保一个实现了三级审批的应用系统必须严格遵循三级审批，而不能因为系统被攻击而跳过一级审批。这样的应用安全需求是与业务风险控制需求紧密结合的，安全要服务于应用。假设SDIS技术提供了上层应用可以动态控制下层防护策略的机制，那么就有人可以利用各种方式去打破已有的规则，从应用威胁到底层。因此，盲目向上层应用开发API控制接口的软件定义安全形式存在的意义不大。立足加强应用安全防护能力的需求，尊重信息安全的特点，以业务需求、应用特点和风险控制为驱动，为应用系统设计并实现“贴身”的安全防护体系，从而做到安全服务于应用、安全融合于应用的“软件定义”。

逐鹿安全沙龙成员，明朝万达总裁王志海认为，软件定义信息安全本质上是强调应用为中心的信息安全，即还是实现安全与应用的紧密融合，而不是简单的网络安全硬件API化。他的微博也表示：“软件定义信息安全”有几个核心点需要商议：该理念是信息安全防御体系自身整合的需要，是应用与安全融合以提升信息安全防护水平和用户体验的需要，也将推动以应用为中心构造安全防护边界，更是IT异构化及网络边界模糊化趋势的必然结果。

企业想打造一套完善的信息安全体系，就要从应用系统的视角，进行体系化的安全风险、需求分析，以及安全方案设计。目前对于SDIS中与SDN相似的一些理念与想法，可能是SDN相关安全的发展思路，或者只是部分思路，绝不应该是SDIS的全部。