云安全聯盟(CSA)近日針對軟件定義網絡和云環境，提出了一個創新的加密安全架構，該架構的某些靈感來自美國國防部和情報機構所使用的高安全性網絡。

CSA提出的這個叫做“軟件定義邊界”的架構采用了類似VPN的認證和加密方法，利用一個安全流程便可嚴格地確定云環境中的服務和應用的有效性。在上周召開的CSA大會上，參與該架構制定的一些技術作者稱此架構為“軟件定義邊界”，其使命是為云安全建立最佳實踐和相關標準。

[[91628]]

我們認為軟件定義邊界可能會成為規則改變者。需要做的正確事情就是把它交給開源社區，讓云計算不再是你必須考慮的一件事情。

——Bob Flores，美國中情局前任CTO

在他們看來，云服務的興起加速了企業對傳統網絡邊界的不滿，因此必須采用新的方法來保護在云數據中心、企業網絡和移動設備間共享的數據。

“這個創新架構的一部分是提出了一種易于調整的方式去調整邊界，”美國中情局前任CTO Bob Flores說。他也是“軟件定義邊界”架構文檔的編撰者之一。CSA所提出的這個概念有可能改變人、應用和數據流的授權認證方式，會在接入網絡之前便要求進行認證。

“軟件定義邊界”所使用的技術包括基于數字證書交換的所謂“mutual TLS”以及強認證加密等，Vidder公司的CTO Jamaid Islam解釋道。他也是“軟件定義邊界”架構文檔的編撰者之一。該架構文檔的其他編撰者還有可口可樂公司企業架構與新興技術總監Alan Boehme，Verizon首席創新架構師Jeff Schweitzer。

Vidder的Islam稱，CSA的這一概念對于實現強大的云安全來說是很理想的。這個直接源自美國國防部高安全性網絡的方法能夠嵌入目前市面上出現的各種SDN產品中去。CSA這一計劃的優勢在于，它能夠實現一個所謂“黑箱”網絡，即在互聯網上看不到的網絡，因而也更難以對其進行攻擊。

“國防部的網絡就是個黑箱，”Flores說。“要對其加以攻擊非常困難，因為實際上人們根本不知道它的存在，也根本看不到它的界面。”

Vidder的Islam承認，CSA的這一概念能否成功取決于密鑰管理結構能否及時到位。他說，這里可能就是云服務提供商可以發揮作用的地方，會有越來越多的云服務商為其客戶提供各種硬件安全模塊(HSM)。但企業客戶還是會在企業內維持他們自己的密鑰管理流程。Islam說他的企業就構建了這種高安全網絡為私營企業提供服務。

Flores說有家大企業目前正在其生產環境中使用CSA的“軟件定義邊界”，而明年將舉辦的RSA大會上也將會看到更多的關于行業支持這一概念的新聞。CSA計劃讓“軟件定義邊界”軟件作為開源軟件供公眾采用。

“我們認為軟件定義邊界可能會成為規則改變者。需要做的正確事情就是把它交給開源社區，讓云計算不再是你必須考慮的一件事情。”