隨著數字化企業努力尋求最佳安全解決方案來保護其不斷擴張的網絡,很多企業正在尋求提供互操作性功能的下一代工具。
軟件定義網絡(SDN)具有很多的優勢,通過將多個設備的控制平面整合到單個控制器中,該控制器將成為整個網絡中的決策者,實現集中控制。但是開發人員在構建SDN產品時仍然沒有安全保證,因此SDN中存在可能危及企業安全的弱點。
羅馬Sapienza大學博士生Fabio De Gaspari表示:“SDN相關的主要風險是控制平面的妥協以及控制平面潛在的可擴展性問題。”
控制平面的實現方式決定了其脆弱性,但是如果攻擊者能夠訪問控制器,那么攻擊者造成的災難范圍就擴大到對整個網絡的完全控制,在多控制器SDN中有很高的安全風險,其中非妥協控制器(non compromised controllers)可以檢測和減輕受損的控制器。
一般來說,主要的安全風險來自設備配置不良或不正確,這不僅是SDN中面臨的問題。盡管安全方面存在差距,但SDN仍然是現代網絡問題的新興替代解決方案。 Hellfire Security的網絡安全行動Gregory Pickett表示,SDN帶來了很多好處。
Gregory Pickett表示:“SDN能夠改變提供商幾十年來的運營方式,如用戶出口選擇等,通過基于可信任路由選擇增強的BGP安全性、更快的路由收斂和IXP的粒度對等操作。”
Pickett在Black Hat 2015演示文稿“濫用軟件定義網絡”中表示,SDN提供了讓網絡能夠自動應對威脅的能力,但SDN仍然有很多安全漏洞。Pickett說:“人們在發布產品之前并不關注安全漏洞,他們還沒有認真對待安全問題。”
Pickett認為,安全性仍然是SDN的挑戰的一個原因是,軟件定義網絡實際上并沒有明確的定義。他說:“我的印象是,這個概念至今不明確,你的SDN可能不是我的SDN,而根據提供商的不同,SDN的各種版本也各不相同。提供商以適應其產品線的方式定義了SDN,現在的情況是產品線不是在向SDN的方向發展,而SDN的定義在向產品線發展。”
諷刺的是高級首席分析師Jon Oltsik表示,SDN本應該為網絡帶來一致性,但是SDN本身具有很大的歧義,因為企業正在圍繞SDN進行戰略規劃,他們需要讓安全團隊參與其中。Oltsik表示安全從業者是能夠識別和降低風險的人員,他說:“安全從業者可以在技術、實施或操作中找出風險,并降低這些風險。”
雖然SDN不是新發展出來的,但是由于新設計了很多協議,使得它與新技術非常相似。Oltsik表示:“我們還沒有動搖所有的BUG,就已經發生了很大的創新,但并不像現有技術那樣穩定。”
Oltenik表示軟件正在迅速變化,但是相關的SDN領域的安全專家并不多。他說:“這是由一個想要簡化網絡團隊或數據中心運營團隊建立的,他們正在試圖通過軟件來實現這一目標,但他們不是安全專家。”擁有控制網絡的現代手段的愿望引發了新一輪的網絡管理工具,但新產品面臨的安全風險并沒有減輕。
ScaleFT聯合創始人兼CTO abc Paul Querna表示:“安全風險與網絡中的風險并沒有什么不同,目前攻擊者已經知道如何在SDN領域中訪問網絡,對于較弱的攻擊者來說,SDN相對安全,因為它們可以更容易地實現路由功能。”
然而,風險根據所使用的SDN技術而有所不同。Querna表示:“如果您正在部署SDN,則需要注意交換機,以及如何在硬件中實現這些規則。”
卡巴斯基實驗室的解決方案業務主管,數據中心和虛擬化安全解決方案業務主管Vitaly Mzokov表示:“無論組織是否擁有SDN,他們的安全策略都應該繼承多層網絡安全來保護企業環境。組織不得不預測網絡犯罪分子將如何攻擊公司的基礎設施,以及他們可能使用的攻擊載體,然后開始設計合適的IT環境,并配置網絡和防火墻策略。”
但現代網絡犯罪分子已經學會了靈活性是成功的關鍵。隨著技術的發展,他們必須近乎實時地改變他們的攻擊戰術。較新的網絡威脅很難識別,因為業界對這些威脅的理解較少,難以用老式的安全解決方案進行檢測。Mzokov說:“SDN使得企業更快地重新配置環境,并且還可以將微分段引入其中。”
Mzokov表示:“如果沒有適當的集成或與惡意軟件解決方案的互操作性,任何SDN技術都只是人們利用不足的工具。組織應該從安全角度簡單地讓SDN知道虛擬機內部正在發生的事情,他們將看到更多的內容、更高效的SDN運營。”
傳統保護控制器的手段仍然可以應用于保護軟件定義網絡的安全,但仍然需要全新的方式去實現SDN的安全。