摘要:雖然軟件定義的網絡可以有助于企業提高應用程序的性能,并幫助緩解管理任務,但其同樣也會創建一些新的安全漏洞。
現如今,軟件定義的網絡可以說是企業的一大福音,其為企業在削減管理成本的同時提高網絡的靈活性提供了機會。但是,SDN技術同樣也相應的帶來了一些新的安全風險問題,而企業將如何管理這些風險則可能意味著成功的業務實施與毀滅性災難之間的顯著差別。
借助SDN架構模型,可以從物理基礎設施對網絡的控制解耦,使管理員能夠跨來自多個供應商的不同類型的設備管理網絡服務。企業可以解耦系統,并做出關于流量從系統去到哪里(控制平面)的決策,并將流量轉發到指定目的地(數據平面)。
SDN可以為數據中心和企業網絡提供自動配置,網絡虛擬化和網絡編程。而隨著企業進一步深入遷移到諸如云計算、移動技術和物聯網等領域,日益增強的網絡靈活性則也會有助于企業。
“SDN可以說是新的IT時代的新的架構和場外異地處理。”國際災難恢復研究所的IT災難恢復導師丹尼爾·米庫爾斯基表示說,該研究所專門負責提供專業認證和教育計劃。 “隨著云服務、大數據的興起,以及IT通過移動計算和物聯網所帶來的IT 消費化,網絡靈活性和適應性需要其能夠與相關技術創新等相吻合。”
整個IT業界對于技術的需求預計將進一步增長:據IDC估計,到2018年,全球SDN市場將達到80億美元。這一預測包括了已經在使用中的物理網絡基礎設施、控制器和網絡虛擬化軟件,SDN網絡和安全服務及其相關應用程序,以及與SDN相關的專業服務。
而隨著對于SDN需求的增長,業界對于SDN的普遍采用所帶來的相關安全問題的擔憂也進一步增加。
“其中一個最大的安全問題便是,這仍然是一款相對不成熟的技術,所以我們并不確切地知道企業可能會遭遇什么類型的安全風險問題。”位于芝加哥的伊利諾伊大學公共衛生學院的IT主管弗蘭克·塞文表示說。
而關于SDN,仍然有很多我們有待進一步了解的地方。而那些已經開始探索這項技術的隱患安全專家們則表示,有很多方法可以幫助您保護您企業的系統。
在層內的技術
雖然這項技術相對而言是比較新的,但在SDN架構內,特定的安全漏洞已經被確定了,特別是數據平面和控制層內。
在數據平面層,許多協議的仍然是新的。“所以我們并不知道他們到底有多強大。”塞文說。 “某些協議并不需要認證或加密,所以網絡上的一個錯誤配置組件會成為攻擊媒介、在不經意間允許流量被轉移挪用或檢查的情況發生是有可能的。”
在一般情況下,SDN的數據平面層也很容易受到自然或人為災害而發生中斷。 “鑒于大多數重大災害都是區域性的,這或將導致網絡基礎設施的物理破壞,因此SDN將需要進行配置,以滿足正常的容量能力。”米庫爾斯基表示說。
然而,因為災難恢復變得越來越依賴于網絡,“我們不能確定,重新配置網絡是否能夠應對對于容量能力的額外需求。”他說。
企業需要詢問他們的網絡供應商,了解網絡供應商是否有應急計劃,以便能夠在發生災難的情況下增加容量能力。虛擬化是重新分配資源的一種方式,米庫爾斯基表示說。但物理容量也必須是可以使用和訪問的。
在數據平面,一些老的數據中心接入技術已經部署,包括隧道、虛擬可擴展局域網和各種橋接協議,一家專業提供風險管理和合規服務的供應商Coalfire公司的云計算和虛擬化技術總監克里斯·克魯格表示說。
“黑客捕捉這些流量,可以了解并洞察網絡是如何部署實現的,這是由于它們的有效載荷是非加密的,并且經常有糟糕的分段或安全擔保。”克魯格說。“通過監控,然后偽造數據中心互連鏈路的流量,各種破壞性和侵入的事件均可能會發生。”
瞄準控制平面
安全風險在控制平面內被放大了,因為“其在SDN環境成為了一個單一故障點,并在很大程度上嚴重依賴于自動化。”安全技術供應商Gemalto公司的高速加密產品經理Stan Mesceda如是說。
“如果控制器被攻破,有拒絕服務的風險,誤導流量,并導致閑置或傳輸中的數據被曝光。”Mesceda說。“此外,在一個SDN控制器或業務流程引擎內的人為錯誤可能會在整個網絡產生連鎖反應。”
SDN控制器可能會被證明是高價值的目標。再次強調,盡管清楚的了解企業可能會遭受什么樣的攻擊還為時尚早,網絡安全公司 BeyondTrust的首席技術官布拉德·希伯特表示說。
“大多數漏洞都是利用補丁,但由于資源有限,缺乏進程等等原因,這些補丁尚未部署。”希伯特說。 “當在談論網絡設備和管理程序時,如果其遭到破壞,可能會對一家企業組織的風險狀況造成災難性的影響,這些都是需要被排在最高優先級的,并包含在您企業持續的漏洞管理和修補程序的項目之中。”
另一個明顯的漏洞仍將是過度訪問和對網絡設備的管理和行政監督的缺失,無論是在企業內部部署的基礎設施還是在云中。
“無論是在企業內部的部署或是采用外部托管——通過一個帳戶直接訪問以管理這樣的網絡和數據中心組件,不僅可以影響到可用性,而且也開放了渠道,讓惡意軟件和信息的漏網之魚得以進入企業網絡,并滲漏出企業網絡。”希伯特說。
隨著一個典型的企業網絡中,至少對于相關特權的規則是很重要的,云托管公司Armor的安全威脅情報部門主管Chase Cunningham補充說。“但借助一款SDN系統,如果任何一個用戶被授予其原本不應該獲得訪問的權限,那么,則會導致整個企業的網絡項目的幾乎每一個資產配置和數據庫均處于危險之中。”
他們所需要的只是通過一個錯誤小配置和惡意用戶。或一臺受網絡病毒感染的機器,便可以訪問、控制或修改項目,超出了他們的預期用途的范圍,Cunningham說。
“如果其是在一臺虛擬主機上,可以檢測到惡意軟件,并嘗試實際控制服務器或整個網絡實體。”他說。 “這可能會是一個大災難,因為惡意軟件在理論上可以發出命令,并控制在SDN和整個虛擬環境中運行的一切。”
SDN的一個優點之一便是其具備對分布式拒絕服務攻擊自適應的能力,塞文說。”該軟件可以簡單地調整網絡結構,以規避攻擊,而不是只是試圖阻止攻擊,這是對于過去策略的一個顯著的改善”。他說。
但是SDN軟件堆棧本身也會被攻擊,塞文說。 “如果有人開發出能淹沒堆棧,使其試圖重新配置網絡,考慮到不同類型的攻擊的持續,這當然可以會使網絡陷于停頓。”
鎖定SDN環境
下面就讓我們來看看安全專家們給予那些正計劃部署SDN技術的企業的一些具體的建議吧。
積極主動地了解SDN安全。鑒于SDN技術在企業中的部署變得越來越普遍,攻擊媒介向量可能會進一步增加。企業需要對這些安全漏洞做好充分的準備,并盡量采取相關措施以減輕這些安全漏洞對于其業務運營的影響。
“當您開始設計一個企業網絡的時候,您企業應該有一個預先確定的安全計劃。”克魯格說。包括建筑架構的任務和安全設備/裝置實施指南,其必須已經由您公司的首席信息安全官審查過,且是嚴格符合您企業的相關政策和實施準則指令的。
“在不久的將來,SDN技術的使用將相當普及,并將憑借云服務供應商成為企業用戶更多的關鍵業務工作負載的實際基礎設施,這個話題將在未來幾年引發更多的興趣和更加突出重點的曝光度。”克魯格說。“在您企業實施SDN技術環境之前,務必確保提前將安全設計擺在首位,從而打破作為一種事后的補救措施來增加安全防護的方法。”
標準的安全做法可以實現確保SDN的安全,米庫爾斯基補充道。 “而這需要嚴格的政策執行和控制,監測,定期修補和維護,以及實施移動目標防御算法。”他說。
然而,在SDN安全性環境下,您企業應采取相關的和測試場景措施,假定網絡攻擊已經成功,以預演您企業應該采取的應對措施。程序應包括檢測異常,從健康網絡隔離其余部分的問題,然后在網絡內實施自動自愈。
使用網絡訪問和用戶身份驗證提高警惕。“SDN最明顯的問題是配置的精細化管理,確保只有那些對于某些特定項目或區域需要進行訪問的用戶才授予網絡訪問設置權限。” Cunningham說。
“鎖定權限,并定期進行雙重檢查,以確保配置是正確的。”他說。
至于身份認證,“確保用戶與他們宣稱的身份是一致的,同時也需要驗證應用程序”,實施網絡虛擬化功能,Mesceda說。 “隨著新的電路或應用程序運行加速,確保架構和應用程序的安全性,及其執行情況是理想的。”
保持所有層的可見性。 “適用于SDN的最佳做法,應遵循這些云計算和網絡基礎設施有關的安全性。”全球通信網絡運營商Level 3 Communications公司安全服務管理部門高級副總裁克里斯·里克特說。
“Level 3 Communications公司所采用的來解決這些問題的方法是一個多層次的,基于網絡的模式。”里克特說。
他解釋說,讓各個層面上都有具有可視性,掌握它們是如何相互作用的,以及系統如何訪問這些層“是檢測異常的活動的關鍵”。 “您不能為您自己看不到的東西實施防御。一旦您可以看到發生了什么,您才能確定適當的對策。”
此外,企業需要對于誰負責管理每層的政策有一個明確的定義。 “一個強大的業務流程引擎的設計可以平衡業務和安全需求,但安全政策大綱應列出哪些安全功能是自動化的。”Mesceda說。
要注意在您企業遷移到SDN環境過程中所發生的任何變化。Cunningham建議,企業在遷移到SDN環境時,可以先行建立一個穩固且詳細的系統基準。“如果不了解正在發生的遷移,您怎么知道可能會發生什么改變?”他說。
保持對于一切定期間隔的圖像和快照,并準備摧毀任何異常行為。 “稍微一點失誤即可破壞整個SDN環境。” Cunningham說。 “確保即使看似良性的項目,如虛擬路由器和數據庫也只能夠根據他們的運營需要進行通信交流。而不應該有任何孔或不需要的開放端口。”
利用安全威脅情報
安全威脅情報可以幫助提醒IT經理關于SDN環境的新威脅。這種類型的信息可通過大量和不斷增長的來源而獲得,無論是包含安全工具,或可通過獨立的業務服務來源。
這些資源可以幫助您主動跟上最新的安全威脅,特別是那些最有可能對于您的公司或行業造成破壞的安全威脅。
“我們使用安全威脅環境的視圖來為正常流量設置基線。”里克特說。“新生的但發展迅速的安全威脅情報領域是我們所面臨的不斷升級的網絡格局的關鍵。”
保持您企業的網絡安全程序是最新的。鑒于正在不斷發生變化的SDN的安全威脅和脆弱性,安全問題并不是一成不變的,故而企業需要使用相應的工具,以保持系統的安全性。
新的安全產品面世時,您企業應該升級您的防御系統,并更新您的政策,以應對新的安全威脅的現實。
“安全性是一個持續的業務;不要覺得設置了一次就一勞永逸,然后忘記拋諸腦后了。”Mesceda說。不幸的是,并不是每個人都聽從這一建議。 “通常情況下,企業關鍵補丁都沒有部署,系統也往往沒有盡興充分的重新評估,而且架構也沒有采用專門的安全方法,會迅速變得脆弱。”他說。 “許多公司使用分階段部署的方法,但他們未能重新審視早期的推出的部署,也就無法保證系統仍然堅持了安全最佳實踐方法。”
京公網安備 11010502049343號