在傳統的網絡架構中,需要阻止的是外部的惡意攻擊,需要保護的是網絡設備本身。而隨著軟件定義網絡SDN的引入,網絡架構中又多了一個控制層(SDN將控制平面和數據平面解耦),并且可以讓上層應用通過可編程的方式控制網絡。
這種架構上的改變,讓用戶不再擔心底層的網絡設備,因為其只負責數據的傳輸。而擔心的重點集中在了SDN控制器、上層應用和APIs上,因為它們極有可能印象整個網絡的安全。
當然,目前采用純SDN的網絡架構還不多,通常是采用混合的網絡架構,其中傳統、核心業務依然由傳統網絡架構支撐,而創新業務則遷移到SDN架構上。所以在安全防護方面,也變得更加復雜,下面就一起來看看國外安全專家Terry Ip的看法和建議:
在不斷變化的環境中阻止安全威脅
首先,要確定整個基礎架構中最重要的部分,即最重要的數據信息存儲在什么位置,這里就是防護的重點。此時,傳統的防護措施,比如防火墻規則和ACL等依然有用;不過引入SDN后,由于虛機在網絡中不斷變化,所以防火墻的規則也要變得更加靈活。而借助VLANs和容器可實現快速配置并將虛擬主機放在一個可以控制、監測流量的網絡區域,以提升安全性。
其次,通過網絡控制器的接口也有可能威脅到管理和監測系統,或將出現一個內部虛擬主機連接惡意IP地址或域名的情況,這就要求防火墻的規則必須可以自動修改,防止這種鏈接。而使用帶外數據控制流量,使用堡壘機來保護管理界面也是很重要的防護方法。
此外,以往使用加密信道、端到端監測等防護手段,很難靈活應用于云服務之中,因此防護應該是針對日志進行數據分析。
SDN可以節省成本 但安全成本不能節省
如今運營商積極擁抱SDN的重要原因之一就是可以節省成本,包括可以選擇白牌硬件設備,選擇開源的軟件等等。但在安全防護方面,必須保證一定的投入,包括提升IT團隊的安全防護能力,特別是要普及SDN的相關知識,因為只有熟悉了SDN的理念,才能做出正確的安全防護策略。然后再配以響應的防護(開源)工具,才能將安全威脅降到最低。
未來,大數據防護才是關鍵
面向未來,無論運營商的網絡架構發生怎樣的變革,傳統的防護理念必須發生轉變——從現在的“被動式”防護變為基于大數據分析的主動防護,以應對各種0day和未知威脅;與此同時,還需要實現防護設備的聯動、以及威脅情報的共享等等,這樣才能應對不斷變化的安全挑戰。
京公網安備 11010502049343號