SDN在創立之初就受到了全球矚目并發展迅速,SDN的發展壯大帶來網絡產業格局重大調整的同時,也勢必會波及到網絡安全設備行業。網絡側安全產品在本質上是一種特殊用途的網絡設備,SDN技術將對跨L2-L7的整個協議棧產生影響,因此在網絡基礎架構發生變化時,甚至是發生變化之前,網絡安全設備的工作機制和解決方案也會發生相應的變化。
回到虛擬化,它給數據中心和企業網絡帶來了新的問題和挑戰。一方面,傳統的安全產品和安全解決方案無法解決在虛擬化后出現新的網絡安全問題;另一方面,網絡虛擬化自身也面臨一些安全問題。網絡在虛擬化后主要面臨的問題有:
·物理安全設備存在觀測死角
虛擬機與外界存在數據交換,在虛擬化環境中的數據流有兩類,即跨物理主機的VM 數據流和同一物理主機內部的VM 數據流。前者一般通過隧道或VLAN 等模式進行傳輸,現有的IDS/IPS 等安全設備需要在所有的傳輸路徑上進行監控,后者只經過物理主機中的虛擬交換機,無法被實體的安全設備監控到,成為整個安全系統的死角。攻擊者可以在內部虛擬網絡中發動任何攻擊,而不會被安全設備所察覺。
·虛擬網絡的數據流難以理解
雖然安全設備無法獲得物理主機內部的VM 間的數據包,但可以獲取跨物理主機間VM 的數據流。盡管如此,傳統的安全設備還是不能理解這些數據流,也就無法應用正確的安全策略。例如,兩個租戶分別在兩臺物理主機上租用了一臺虛擬機,當租戶A從VM1向VM3發數據包時,防火墻能接收到物理主機1到物理主機2的數據包,但不知道到底是租戶A還是租戶B的程序在發送數據包,也不知道是哪兩臺VM在通信。此外,很多虛擬機之間的數據包是經過GRE隧道傳輸的,所以傳統的網絡安全設施可能不能解析這些封裝后的數據流。
·安全策略難以遷移
虛擬化解決方案的重要優點是彈性和快速,例如當VM從一臺物理主機無縫快速地遷移到另一臺物理主機時,或當增加或刪除VM時,網絡虛擬化管理工具可快速調整網絡拓撲,在舊物理網絡中刪除VM 的網絡資源(地址、路由策略等),并在新的物理網絡中分配VM的網絡資源。相應地,安全解決方案也應將原網絡設備和安全設備的安全控制(ACL和QoS)跟隨遷移,然而現有安全產品缺乏對安全策略遷移的支持,導致安全邊界不能適應虛擬網絡的變化。
·網絡流量不可見
在傳統網絡中,所有數據包經由交換或路由設備,這些設備可以感知并學習當前環境的數據流量,可以針對目前的網絡狀況動態調整路由策略。但基于OpenFlow的SDN架構中的網絡控制器只
會收到底層設備發來的部分數據包,并不了解控制域中大部分直接被轉發的數據流具體內容。
·控制器的單點失效
除了傳統網絡升級到SDN后網絡層的新問題外,SDN本身也會存在漏洞,特別是復雜的SDN的控制器。數據平面和控制平面的分離主要是由控制器實現的,所以控制器就成為網絡虛擬化的最重要的設施。
然而控制器需要應對各種動態的網絡拓撲,解析各種類型的數據包,接收上層應用的信息,并控制底層網絡設備的行為,所以功能實現將會非常復雜,也就可能存在不少漏洞。當攻擊者攻破控制器,就可以向所有的網絡設施發送指令,很容易癱瘓整個網絡;或將某些數據流重定向到惡意VM,造成敏感信息的泄露。
所以,針對傳統安全產品對內部網絡不可見的缺點,安全廠商需推出支持虛擬化的安全產品,這些安全產品以軟件的形式存在,并兼容主流的虛擬化解決方案,可監控內部虛擬網絡中的數據流。要想達到真正的軟件定義安全,就需要在保護現有和新增設備以及內部虛擬網絡的基礎上,深刻理解SDN的工作模式,提出松耦合但與之匹配的安全架構,設計網絡控制器和安全控制器聯動的安全機制,建立基于環境的數據傳輸決策模型。
京公網安備 11010502049343號