datahall


Grundidén med virtualiserade och mjukvarudefinierade nätverk eller software-defined networks (sdn) är att den underliggande hårdvaran och den mjukvara som styr vad som händer i nätverket separeras. Resultat blir på pappret en mera flexibel infrastruktur som kan automatiseras och snabbt skräddarsys.

Dagens säkerhet i datahallen skyddar servrar, enskilda tillämpningar eller till och med hela datacentret. I en sdn-miljö blir det dock lättare att gräva djupare och istället sätta upp regler som skyddar separata processer, säger IDC:s säkerhetsanalytiker Duncan Brown.

Läs också: Dags att uppdatera – Cisco lagar allvarliga säkerhetshål i flera företagsprodukter

Det här konceptet kallas mikrosegmentering och möjliggörs av produkter som VMwares NSX-plattform. Det kan till exempel komma i form av speciella regler för att skydda finansiell data.

För att det här ska fungera ställs det dock höga krav på administrationsarbetet och tätt samarbete mellan säkerhets- och nätverksavdelningarna. Helst ska säkerheten vara en integrerad del redan från dag ett när sdn-arbetet börjar.

Den kloke it-chefen lär sig också av vad som gick fel när servervirtualisering rullades ut i datahallen. Då blev ett av problemen så kallad virtual machine sprawl – virtualiseringsutspridning. Det blev så enkelt att skapa nya servrar att för många konfigurerades. Det fick högre kostnader och komplexitet som följdverkan.

Det här gäller dock inte bara nätverksområdet. Det som ska bli en mjukvarudefinierad datahall, inklusive nätverk, lagring, servrar och säkerhet, står och faller med perfekt koll på företagets processer.

Mikrosegmentering är inte den enda potentiella säkerhetsförbättringen som virtualiserade och mjukvarudefinierade nätverk kan erbjuda. Den centraliserade arkitekturen öppnar för mer effektiv intrångsdetektering.

Läs också: 11 konkreta tips för att upptäcka intrång i dina system

Baksidan av det är att en hackare som kan ta över den centrala kontrollenheten kan göra mycket mer skada än om bara en vanlig växel komprometteras. Att skydda den och mot både intrång och överbelastningsattacker ligger högst upp på prioritetslistan. Trafiken som går mellan kontrollenheten och växlarna måste också skyddas.

Det här är ett område som fortfarande befinner sig in sin linda och med det kommer ett mått av osäkerhet. Utvecklingen går dock snabbt och produkter som NSX, Ciscos ACI samt öppna plattformar som OpenDaylight eller Open Network Operating System är så pass mogna att det är väl värt att börja analysera läget.

Läs också: Micro-segmentation for dummies. 
Läs också: Snabbguide till Micro-segmentation.
Läs också: VMware NSX design guide.