什么是SDN？為什么通訊可見(jiàn)性對(duì)安全至關(guān)重要？

軟件定義網(wǎng)絡(luò)（SDN）旨在將現(xiàn)代網(wǎng)絡(luò)和數(shù)據(jù)中心變成可以根據(jù)不斷變化的業(yè)務(wù)需求進(jìn)行快速重新配置的高度敏捷的框架結(jié)構(gòu)。盡管SDN對(duì)于公眾來(lái)講還比較陌生，但實(shí)際上幾乎所有的組織都在制定這方面的計(jì)劃，以適應(yīng)這個(gè)號(hào)稱(chēng)可以通過(guò)對(duì)包括帶寬分配在內(nèi)的每個(gè)網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)按需供應(yīng)，將服務(wù)器虛擬化和云計(jì)算效率擴(kuò)展到前所未有高度的最終架構(gòu)的轉(zhuǎn)變。

不過(guò)，許多的組織也認(rèn)識(shí)到，高度移動(dòng)的工作負(fù)載和自動(dòng)配置的應(yīng)用程序以及服務(wù)，意味著通訊能見(jiàn)度的損失，并且還在損失了性能優(yōu)化功能的同時(shí)，削弱了安全性。然而，在謹(jǐn)慎中進(jìn)步總是必要的，因?yàn)榍八从械男屎鸵?guī)模效應(yīng)，云計(jì)算和向SDN的遷移一定是大勢(shì)所趨。要實(shí)現(xiàn)盡可能的平滑遷移，并確保安全不被弱化，最重要的是要采取一些基本的步驟，其中設(shè)備對(duì)于網(wǎng)絡(luò)通訊總體可持續(xù)的能見(jiàn)度是重中之重。

那么究竟什么是SDN？

SDN架構(gòu)實(shí)現(xiàn)了將控制層和數(shù)據(jù)層的分離或分隔。由此產(chǎn)生的是一種可以查看控制框架并且提供單一邏輯抽象網(wǎng)絡(luò)的高度可編程和可伸縮的架構(gòu)。

在這種架構(gòu)中，編排和提供的服務(wù)更容易通過(guò)一致而自動(dòng)應(yīng)用的預(yù)期配置進(jìn)行管理。這種新型的網(wǎng)絡(luò)架構(gòu)使底層硬件基礎(chǔ)設(shè)施的規(guī)模、靈活性以及可選擇性都達(dá)到了前所未有的全新水平。除了顯著節(jié)省了資產(chǎn)成本和運(yùn)營(yíng)成本，SDN架構(gòu)還在幾乎沒(méi)有任何破壞和開(kāi)銷(xiāo)的情況下刺激了創(chuàng)新，適應(yīng)了迅速變化的需要。

　　開(kāi)放網(wǎng)絡(luò)基金會(huì)推出的SDN架構(gòu)圖

那么又該如何區(qū)分云安全和SDN安全呢？

在實(shí)際中，人們常常把云安全問(wèn)題和SDN安全問(wèn)題相提并論，那是因?yàn)樵朴?jì)算框架的關(guān)鍵支撐，即服務(wù)器和存儲(chǔ)的虛擬化，與SDN使用了一些相同的概念。而事實(shí)上對(duì)于云來(lái)講，有著與SDN完全不同的安全挑戰(zhàn)，在此有必要做一下總結(jié)說(shuō)明。

云安全問(wèn)題

首先，非常重要的一點(diǎn)是，云經(jīng)常會(huì)以虛擬化計(jì)算和存儲(chǔ)為核心。在虛擬化設(shè)計(jì)中，虛擬化工作負(fù)載或虛擬機(jī)取代物理服務(wù)器，只須點(diǎn)點(diǎn)鼠標(biāo)就可以進(jìn)行服務(wù)器的分配、設(shè)置和操作。威睿公司（VMWare）的ESX、思杰公司（Citrix）的XEN和微軟公司的Hyper V都是支撐服務(wù)器虛擬化的虛擬機(jī)監(jiān)控程序。云計(jì)算框架有三種不同的配置形態(tài)：私有云、公共云和混合云。

私有云全部是部署在組織內(nèi)部及可控范圍內(nèi)的服務(wù)器和存儲(chǔ)虛擬化。這意味著組織或公司對(duì)云框架擁有所有權(quán)，對(duì)其安全負(fù)責(zé)。這里的安全問(wèn)題一般是一個(gè)虛擬機(jī)感染了惡意軟件，而當(dāng)該虛擬機(jī)在數(shù)據(jù)中心中進(jìn)行移動(dòng)、變更或重新分配時(shí)，造成共享相同主機(jī)的其他虛擬機(jī)被感染。

傳統(tǒng)安全設(shè)備無(wú)法“看到”惡意軟件在虛擬機(jī)之間的傳播，因?yàn)樘摂M機(jī)之間的通訊主要都是在虛擬網(wǎng)段進(jìn)行的。在這種情況下，就要使地面網(wǎng)絡(luò)上的安全設(shè)備實(shí)現(xiàn)虛擬化通訊的可視化，以及在建立訪問(wèn)控制時(shí)實(shí)現(xiàn)特定的或有目的的虛擬化。

公共云歸提供云訪問(wèn)共享框架租賃服務(wù)的企業(yè)所有，如亞馬遜AWS、微軟Azure等。這里的安全問(wèn)題一般是用戶隔離方面的問(wèn)題。因?yàn)楸姸嘟M織的工作負(fù)載和資產(chǎn)都托管給了云服務(wù)提供商，任何疏忽造成的用戶訪問(wèn)界限不清、用戶訪問(wèn)權(quán)限交叉都會(huì)構(gòu)成風(fēng)險(xiǎn)。

這里的安全控制主要就是針對(duì)兩件事：對(duì)云服務(wù)提供商托管的工作負(fù)載進(jìn)行訪問(wèn)控制，并要求供應(yīng)商服務(wù)平面協(xié)議提供通訊能見(jiàn)度和托管資源的安全控制。

混合云或許是最常見(jiàn)的框架。大多數(shù)組織和企業(yè)有一些工作負(fù)載是以虛擬機(jī)的形式承載和實(shí)現(xiàn)的，同時(shí)，還會(huì)有一些工作負(fù)載會(huì)放在公共云上，這就形成了一種公共云和私有云同時(shí)存在的“混合云”框架結(jié)構(gòu)。

混合云的安全機(jī)制當(dāng)然也要遵守上述建議，不過(guò)也要密切關(guān)注市場(chǎng)選擇，因?yàn)槭袌?chǎng)瞬息萬(wàn)變。目前混合云的可見(jiàn)性和安全控制框架還需要拼湊一些技術(shù)，但這么大的一個(gè)市場(chǎng)需求，必定會(huì)出現(xiàn)一些統(tǒng)一的和專(zhuān)業(yè)的供應(yīng)商。有趣的是，在新興領(lǐng)域還有一些采用疊加的技術(shù)。混合云的利益相關(guān)者需要對(duì)市場(chǎng)動(dòng)向保持警惕，尤其是在向到SDN遷移的時(shí)候。

SDN安全問(wèn)題

前面我們說(shuō)過(guò)，SDN不僅僅是對(duì)服務(wù)器的虛擬化，而且對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和管理的方方面面都進(jìn)行了虛擬化。SDN所涉及到的安全問(wèn)題除了網(wǎng)絡(luò)基礎(chǔ)設(shè)施，還擴(kuò)展到了包括控制平面和數(shù)據(jù)平面在內(nèi)的很多方面。

舉例來(lái)說(shuō)，如果攻擊者能夠接管控制平面或SDN控制器，從本質(zhì)上講，他們將會(huì)擁有整個(gè)網(wǎng)絡(luò)及其所有包含在內(nèi)的基礎(chǔ)設(shè)施的所有權(quán)，可以說(shuō)是擁有了無(wú)限大的權(quán)限。感染了數(shù)據(jù)平面理論上能夠以更快的速度進(jìn)行傳播，因?yàn)镾DN比服務(wù)器虛擬化的部署更普遍。控制平面和數(shù)據(jù)平面之間的通訊困難和混亂也有可能為攻擊者使用新方法攻破網(wǎng)絡(luò)外圍創(chuàng)造漏洞。

說(shuō)到如何構(gòu)建安全的SDN，早就有了詳細(xì)的架構(gòu)指南，部分原因是現(xiàn)有的供應(yīng)商和開(kāi)源組織有許多不同的方法來(lái)實(shí)現(xiàn)SDN。這里的關(guān)鍵是確保所有網(wǎng)絡(luò)的可見(jiàn)性，包括傳統(tǒng)網(wǎng)絡(luò)、虛擬化網(wǎng)絡(luò)和軟件定義網(wǎng)絡(luò)。理解這些網(wǎng)絡(luò)類(lèi)型之間的通訊流，將確保盲點(diǎn)得到糾正，瓶頸得以最迅速的方式解決。

這種“可見(jiàn)性”跨越所有網(wǎng)絡(luò)和工作負(fù)載類(lèi)型，以確保可見(jiàn)視圖的普遍性和持續(xù)性。這就是為什么可見(jiàn)性所提供的不是一個(gè)點(diǎn)解決方案，而是一套可以和虛擬化相提并論的架構(gòu)層。

可見(jiàn)性在SDN中的作用

網(wǎng)絡(luò)的可見(jiàn)性是在地面網(wǎng)絡(luò)中的一個(gè)基本元素，并且在高度動(dòng)態(tài)的SDN架構(gòu)中變得更加重要。然而，SDN失去網(wǎng)絡(luò)可見(jiàn)性并不會(huì)阻礙公司的前進(jìn)步伐。提供可見(jiàn)性構(gòu)造的公司已經(jīng)與標(biāo)準(zhǔn)社區(qū)和主要的SDN架構(gòu)供應(yīng)商走在了一起，以確保應(yīng)用程序在SDN遷移過(guò)程中及遷移完成后的性能和安全得到維護(hù)。

加速SDN可見(jiàn)性構(gòu)造

可見(jiàn)性構(gòu)造實(shí)質(zhì)上使網(wǎng)絡(luò)（包括SDN）實(shí)現(xiàn)可見(jiàn)，作為一個(gè)普遍的層，將通信流的視圖結(jié)合在物理和虛擬網(wǎng)絡(luò)段。具體地講，網(wǎng)絡(luò)可見(jiàn)性提供通訊流的詳細(xì)信息和在這些網(wǎng)絡(luò)至關(guān)重要的數(shù)據(jù)包：

監(jiān)控SDN網(wǎng)絡(luò)本身的狀態(tài)

監(jiān)控SDN可用的應(yīng)用程序

確保維護(hù)安全

　　私有云或SDN環(huán)境安全交付平臺(tái)的可見(jiàn)性架構(gòu)實(shí)現(xiàn)

無(wú)論選擇的SDN架構(gòu)是建立在OpenFlow，還是建立在類(lèi)似VMWare的NSX和思科ACI或是某個(gè)其他框架的網(wǎng)絡(luò)虛擬化上，上面的關(guān)鍵需求依然存在。在SDN中，控制和轉(zhuǎn)發(fā)層雖然實(shí)現(xiàn)了獨(dú)立管理，但還需要功能的結(jié)合。由于網(wǎng)絡(luò)延遲或供應(yīng)商網(wǎng)絡(luò)基礎(chǔ)設(shè)施差異會(huì)引起的這些層之間的同步問(wèn)題，會(huì)造成瓶頸和破壞。

當(dāng)談到SDN應(yīng)用程序和服務(wù)，按需供應(yīng)的好處是不可否認(rèn)的。但這種動(dòng)態(tài)配置會(huì)導(dǎo)致不可預(yù)測(cè)的通訊模式，使得通過(guò)將性能管理工具放置在網(wǎng)絡(luò)中可預(yù)見(jiàn)的地方的傳統(tǒng)方法很難解決。

SDN當(dāng)中的通訊可見(jiàn)性需要常數(shù)化，并且要將工具集中，以便得到通所有的通訊流和數(shù)據(jù)包。類(lèi)似的邏輯也同樣適用于對(duì)安全的需求。而安全設(shè)備可以放在傳統(tǒng)網(wǎng)絡(luò)的重要網(wǎng)段，在SDN中是站不住腳的。對(duì)于所有內(nèi)部SDN通訊的集中布置和總體訪問(wèn)，給安全和性能管理技術(shù)提供了最好的統(tǒng)計(jì)嵌入惡意軟件和異常模式出現(xiàn)的機(jī)會(huì)。