網絡當中接入的設備和云計算的興起,已經將傳統網絡的性能推到了極限,這也是為什么在經過深思熟慮之后,傳統網絡正在積極向虛擬化網絡功能和控制器過渡,電信公司正在部署SDN和NFV技術,以實現更快的速度和網絡彈性提高網絡性能。事實上,SDN有可能通過提供靈活性來適應當今應用程序和工作負載的動態性來徹底改變數據中心。
然而,在涉及到SDN的安全性方面,雖然服務和策略是分布式的,但仍然通過集中的SDN控制器從單點進行管理。誠然這能夠給SDN提高效率,但如果SDN控制器受到攻擊,攻擊者可以快速影響整個網絡后果不堪設想。在SDN環境中DDoS攻擊成為影響SDN控制器有效性的重要方面。本文將探討DDoS攻擊在SDN環境中的安全隱患,并希望為SDN的用戶提供建議。
什么是虛擬網絡?組織為什么需要虛擬網絡?SDN是一種全新的技術,它使得網絡管理員通過開放接口和較低級功能的抽象來創建動態網絡。SDN從實際移動數據(轉發平面)的硬件分離決定發送信息的智能化,即所謂的控制平面與轉發平面的分離。這兩個平面的分離使得決策過程在集中的、基于軟件的控制器中執行,而不是讓網絡中的每個節點做出自己的決策。所有應用程序通過控制器進行配置請求,該控制器具有對整個網絡的可見性,并為每個節點做出轉發決策。但是,這也意味著IT安全團隊需要考慮如何保護控制平面,因為這將成為唯一的故障節點,稍有漏洞就可能導致整個網絡癱瘓。
盡管SDN帶來了很多好處,如改進網絡接入控制的細粒度安全策略等,與傳統的網絡架構相比,它也引入了傳統網絡配置過程中不曾有過的挑戰。
SDN的安全問題在安全性方面,SDN終于實現了為每個虛擬化工作負載提供最大限度的保護所需的細粒度策略,并且這些策略在虛擬化基礎設施周圍遷移時自動遵循這些工作負載。
所面臨的挑戰在于,這可能導致SDN控制器成為整個網絡的單一妥協點,一旦被DDoS攻擊很容易被竊取數據導致網絡重大中斷。
將SDN與管道系統進行比較,這相當于一次泄露,降低系統壓力并影響整個網絡。事實上,與SDN部署相關的spine帶寬顯著增加了攻擊面,即使是相對較小的多千兆DDoS攻擊也可能使整個數據中心宕機。最終即時是一個單一的,低容量的DDoS攻擊也可能導致嚴重的損害,甚至給組織造成長期的損失。
最佳的安全方式當使用SDN和NFV創建彈性和安全的環境時,必須在數據中心邊緣部署始終運行的自動DDoS檢測和緩解工具,這是獲得實時響應事件所需的可見性的唯一方式。通過在SDN控制器和DDoS防御之間聯合API,可以控制對SDN控制器造成的破壞,并可以緩解DDoS攻擊。在發生超飽和事件時,DDoS防御可以迅速向上游發送信息,以報告此類攻擊事件。
結論總體而言,SDN和NFV為組織需要的關鍵網絡功能帶來巨大的優勢,消除了對專有物理設備的需求,這使得組織能夠降低成本和復雜性,并同時享受改進的可擴展性、彈性和更便捷的部署。但是,盡管具備了這樣的優勢,也使得網絡更容易受到攻擊。希望從SDN或NFV獲益的組織必須確保他們能夠全面了解其虛擬化環境以減輕這些風險。通過在系統之間聯合API來集成DDoS保護來展開網絡防御,只有密切關注虛擬化環境的管道,才能保持其操作和數據的安全性。
京公網安備 11010502049343號