软件定义安全正在成为一个IT流行词，但它是否盛名之下，其实难副？本文中，专家Kevin Beaver探讨了在企业中该技术的优势和劣势。

也许你还没有听说过，现在网络安全的最新流行语是软件定义安全。

软件定义网络（SDN）的姊妹技术——软件定义安全（SDS）让企业可以通过软件部署和自动化网络分段、入侵检测及其他网络安全控制，而不是使用更传统的孤立的安全控制。SDS利用类似虚拟化的与硬件层分离的资源来跨越我们所知道的传统界限，例如网络分段和业务功能，从而把安全控制带到更高的层次。

那么，SDS适合你的企业吗？从表面上看，SDS似乎与现在我们管理安全所做的事情差不多，它只是通过为特定企业定义和定制化的政策和对象来在更高层次管理安全性。这类似于现在企业管理某些存储系统、防火墙政策和目录服务内对象的方式。SDS只是将这个概念构建在更高层次的抽象化中。这是逻辑与物理的区别。

软件定义安全提供了很多可改善企业安全性的优势，例如：

• 让企业可以跨越物理和逻辑界限管理特定的安全组和系统（例如，通过针对主机、应用和类似网络实体的政策），这些已被证明很难有效地管理。

• 简化移动、云计算和整个传统企业网络系统的动态安全域，让企业可以按意愿构建和拆除系统，同时，可以跨系统一致地执行安全政策，无论时间和这些系统的位置如何。
• 对于企业内已经部署的其他软件定义技术（例如SDN），SDS提供与它们更好的整合，从而为入侵防御、身份和访问管理、数据丢失防护和地理位置等安全技术提供更加全面的自动化。

• 在更高层次专注于智能化，即在软件层，而不是硬件层，这允许企业架构师和安全管理人员把重点放在政策，而不是在较低水平运行系统。

当然，事物都有两面性，SDS也有一些潜在的缺点，包括如下：

• 跨越可能或可能不支持SDS的各种系统及平台配置、部署和执行安全政策最初可能需要时间学习。

• 创建和管理安全政策可能会带来新型的复杂性。在你的企业部署该技术之前，应该明确谁、什么、何时、何地以及为什么等问题。

• 运行SDS仍将需要特定服务器硬件（在你的企业或者云中）。

• 价格可能是一个问题：虽然硬件相对便宜，大多数SDS产品都很昂贵，并有更高的利润。

• 恶意软件保护和内容过滤安全等技术的外围安全控制可能无法在这种水平扩展

你的企业将需要认真考虑来决定哪些安全控制将通过SDS来部署。有些企业可能会比其他企业更加受益于SDS，例如在高度管制的行业（如金融行业）或者具有全国性或全球性规模的大型企业。SDS并不是放之四海而皆准的技术；每个企业的用例都会有所不同。最后，重点不应该是你的安全控制是基于硬件还是基于软件，而是真正能够帮助你减小风险的控制。

目前来看，笔者认为SDS的重点应该导致企业最大痛苦的领域，这些可能是IPS、访问控制和事件日志记录及监控等领域，但你的部署肯定会受限于供应商所支持的范围。然而，如果你是英特尔或赛门铁克用户，你就很幸运：这些供应商现在可以提供这些服务给你。

正如云计算、大数据以及网络安全，笔者认为SDS将会成为下一个热门流行语，我们将会不断地听到这个词。对于它是否会给企业带来积极的影响，我们还要拭目以待。笔者对于这个领域的创新持乐观态度。