dcsimg

IPv6安全性要求自动化

IPv6部署和其他下一代网络问题日益复杂,需要自动化和编排。这就是为什么。

 By 裘德超
第页  |  返回第1页

在这里 企业网络星球,我们已投入大量空间讨论虚拟化,云和软件定义的网络如何要求高水平的自动化和编排。但是,这些并不是影响未来网络的唯一因素。全世界范围内IPv6的缓慢但确定的增长将带来新的安全挑战。网络安全公司Tufin的联合创始人兼首席技术官Reuven Harrison表示,与下一代网络的其他领域一样,自动化和编排可以帮助解决这些挑战。

自动化和协调以应对IPv6安全挑战

哈里森说,IPv6提供的128位寻址空间“给已经非常复杂的网络环境增加了很多复杂性,”他不祥地补充说,“黑客最好的朋友就是复杂性”。他解释说,这种复杂性带来了越来越多的漏洞被利用的机会。

它也不止于此。哈里森说,双栈配置允许机器在同一接口上同时具有IPv4和IPv6地址,这只会增加混乱,考虑到到目前为止IPv6的采用速度较慢,“这可能会持续很长时间。” 。现在添加人为错误的真正可能性。 IPv6地址的长度—哈里森指出,只要“大多数普通人都无法记住”—可能会在抄录和复制中出现错误。

所有这些因素加起来就是从安全漏洞到设备错误配置的大量可能出错的事情。哈里森说,那就是图芬进来的地方。 Tufin安全套件的三个要素—Tufin SecureTrack,Tufin SecureChange和Tufin SecureApp—协同工作以自动化网络安全配置。他使用三层的最低层和最接近网络的层SecureTrack监视网络,特别是其防火墙,路由器,交换机和负载平衡器,它使用实时配置信息“来构建网络的逻辑模型”。说过。

Tufin的软件(基于Cent OS的Tufin OS)知道如何从供应商的解决方案管理的防火墙和路由器中读取IPv6配置。该知识使软件可以将IPv6纳入其整体网络模型,从而可以提供IPv6支持。

“因此,我们的系统基本上是遍及整个网络的。它了解网络中的每个地址对,例如,它们是IPv4还是IPv6,是否已连接,或者理论上是否可以建立连接,有关路由,NAT和安全策略的信息。”使用该网络模型,该解决方案可以构建其变更自动化系统。

但是,这不仅仅涉及自动化,因为Harrison谨慎地阐明了这一点。他说,他更喜欢编排,这意味着围绕自动化的智能水平,因此“它不仅仅是盲目地行事的机器人,”他说。编排可以借鉴各种孤岛上的输入:“网络工程人员,应用程序人员和安全人员都可以使用我们的系统来自动化连接更改请求,”并且一旦实施,该解决方案便知道何时将自动任务升级为人类。如果需要进行人工审查或出现其他歧义。

云和SDN

Tufin现在正在展望云和SDN问题。根据哈里森的说法,该公司的解决方案与其他安全解决方案一样,“由于我们所管理信息的敏感性,将成为迁移到云的最后一种类型。”当前,大多数Tufin部署都在本地专用设备上运行。他补充说,该公司确实具有多域支持和可伸缩性以支持虚拟和云环境,因此已经为云做好了准备。

软件定义的网络也是如此。哈里森说:“我们的系统非常适合SDN,因为我们可以采用RESTful API,并将这些API请求转换为命令行,以便在我们管理的设备上自动运行。”

Tufin的前进道路看起来很有希望。哈里森(Harrison)和鲁维·基托夫(Ruvi Kitov)于2005年创立,这两家公司都来自Check Point,现在与Cisco,F5 Networks,McAfee,Palo Alto Networks,Fortinet,Juniper和Check Point等合作,以支持“所有企业防火墙,以及路由器和负载平衡器。”哈里森说。基于渠道的供应商在全球拥有200多家经销商和分销商。

展望未来,该公司计划专注于围绕自动化和编排定位公司,以支持IPv6,虚拟化,云和SDN。

哈里森说:“安全人员理应担心自动化,因为它们可能会失去控制权。” Tufin难题的编排片断可能有助于确保这些恐惧不会成真。

ENP编辑裘德超 裘德超(Jude Chao)是《企业网络星球》的执行编辑。在推特上关注她 @judechao.

本文最初于2013年9月18日发布
通过网络更新新闻获取最新消息