管理網絡已經變得越來越復雜,隨著物聯(lián)網設備的數(shù)量持續(xù)激增,管理網絡面臨著更加嚴重的挑戰(zhàn),這種復雜性使得難以及時重新配置傳統(tǒng)網絡來響應惡意事件或修復配置錯誤。
軟件定義網絡(SDN)可以幫助網絡工程師靈活、動態(tài)地改變網絡在節(jié)點上的行為,這種傳統(tǒng)網絡中通常是不可用的。SDN使用虛擬化來簡化網絡資源的管理,并提供增加容量的解決方案,且不會顯著增加成本。
隨著網絡控制從硬件轉向軟件,結果是多個設備合并成一個控制器,使網絡工程師能夠控制整個網絡,但是這一模式存在明顯的安全隱患,必須得以解決。
SDN的優(yōu)勢SDN使得將諸如實時高清視頻會議和云應用等服務整合到企業(yè)的環(huán)境中更加容易,應用程序開發(fā)人員或測試人員可以隔離和運行工作負載,而無需擔心生產網絡中的虛擬租戶。這可以加快解決問題的速度,并減少部署之前測試所需的時間。
SDN通過集中的儀表板帶來了更高的可見性和控制的優(yōu)勢。控制器可以確定每個應用程序的業(yè)務流的最佳路由、擁塞狀況、鏈路健康狀況和優(yōu)先級以實時跟蹤,而通過不同路徑或多路徑路由特定應用流量的能力提供了冗余的功能。
例如,如果企業(yè)的應用程序由兩個獨立的云服務提供商托管,則可以將特定用戶的流量路由到平均延遲較低的云服務提供商,這可以使企業(yè)能夠提供更更好的用戶體驗。
SDN的另一個優(yōu)勢是不用擔心廠商鎖定,SDN的目標是使用開放標準。企業(yè)可以輕松使用多廠商的產品,這有助于降低成本。通過在低成本商用服務器上集合多個計算、存儲和處理功能,可以顯著降低資本支出,這種虛擬化可以使大量手動網絡配置變得自動化并提高其可追溯性。
安全性也是企業(yè)使用SDN的一大優(yōu)勢,這意味著企業(yè)可以將防御功能從簡單地阻止特定攻擊擴展到主動修改以適應新的威脅。SDN控制器可以通過網絡集中推送全局安全策略更新,虛擬交換機可以在網絡邊緣過濾數(shù)據包,并將可疑流量重定向到其他安全設備以供進一步分析。
SDN的安全問題關于SDN安全性的一個重要問題是虛擬化網絡基礎設施的每個方面都會放大攻擊的影響,SDN控制器通常是攻擊者的主要目標,因為它是網絡決策的中心點,也理所當然成為攻擊的中心。
攻擊者可以嘗試通過闖入控制器或偽裝成一個控制網絡,一旦中央控制器遭到破壞,攻擊者就可以完全控制你的網絡。這是一種極端的狀況,但隨著SDN使用量的持續(xù)增長,這種攻擊現(xiàn)象極有可能成為現(xiàn)實。
一些新的拒絕服務攻擊類型,通過查找使用大量CPU的特定自動進程來嘗試利用SDN基礎設施的潛在擴展限制。由于控制和數(shù)據平面的分離,SDN可能非常容易受到攻擊,兩個平面之間的通信鏈路中斷可能會導致攻擊者找到漏洞。
由于SDN控制器的可編程性,工程師們可以在控制器的北向接口上安全安全應用,為網絡上的安全策略開辟新的途徑,當然可編程北向接口也是一個潛在的漏洞。
另外,安裝在控制器上的應用程序可能會重新配置網絡,攻擊者可以誘騙網絡工程師安裝已經被入侵的應用程序,并可能使網絡完全出乎意料。
如何保護你的SDN控制器對SDN控制器的訪問控制非常重要,能夠防止未經授權的活動。應該使用基于角色的訪問策略,并且一致地審查。任何未經授權的嘗試都應該向安全人員發(fā)出警報,此外,必須對其配置更改進行定期審核。
使用高可用性控制器體系架構來防止分布式拒絕服務(DDoS)攻擊非常重要,在設計中具有高可用性將使得企業(yè)能夠測試生產環(huán)境中的更新或更改,以及如果更新無法正常工作,則提供故障轉移的選擇。
北向通信應通過TLS或SSH進行加密,此外任何北向的應用程序都應該安全編碼。對這些應用程序的任何攻擊或妥協(xié)都可能影響控制器的安全性和操作。此外,避免為這些應用程序使用默認密碼,并確保應用程序在于控制器進行通信執(zhí)勤啊有某種形式的身份驗證。
對于南向通信,使用TLS對端點進行身份驗證非常重要,控制協(xié)議流量應與主數(shù)據流隔離,最好通過一個帶外網絡來完成。
在設計SDN解決方案時必須考慮安全因素,控制器是SDN的核心,保護控制器和與之通信的應用程序以及控制器和應用程序之間的流量至關重要。
京公網安備 11010502049343號